VPC-to-on-premises inspection du trafic - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

VPC-to-on-premises inspection du trafic

Le schéma suivant montre le flux de trafic si une instance Amazon Elastic Compute Cloud (Amazon EC2) Workload spoke VPC1 souhaite communiquer avec un serveur sur site.

Le flux de trafic entre une EC2 instance Amazon dans Spoke VPC 1 et un serveur sur site

Le schéma suivant illustre le flux de travail suivant :

  1. Un paquet provenant d'une EC2 instance située Workload spoke VPC 1 dans la zone de disponibilité 1 arrive à l'interface réseau élastique de Transit Gateway dans la zone de disponibilité 1 dans le sous-réseau de la passerelle de transit pourWorkload spoke VPC 1. Sur la base de la table de routage VPC associée au sous-réseau de l’interface réseau élastique Transit Gateway, le paquet arrive sur la passerelle de transit.

  2. Dans la passerelle de transit, la Spoke transit gateway route table est associé à l’attachement Workload spoke VPC 1, ce qui détermine le prochain saut.

  3. Le prochain saut est le VPC d’appareil. Sur la base d’un hachage à 4 tuples pour la durée de vie d’un flux, le Transit Gateway détermine l’interface réseau élastique Transit Gateway vers laquelle envoyer le trafic.

  4. Si Transit Gateway choisit l’interface réseau élastique Transit Gateway dans la zone de disponibilité 1, il vérifie la table de routage VPC associée au sous-réseau de l’interface réseau élastique Transit Gateway dans la zone de disponibilité 1 du VPC d’appareil. Transit Gateway envoie le trafic au point de terminaison Gateway Load Balancer dans la zone de disponibilité 1.

  5. Le point de terminaison Gateway Load Balancer est connecté logiquement au Gateway Load Balancer par le biais AWS PrivateLink duquel le trafic est ensuite transféré au dispositif de pare-feu pour inspection du trafic. Le Gateway Load Balancer crée un tunnel GENEVE entre le Gateway Load Balancer et l’appareil de pare-feu.

  6. Si le trafic est autorisé, le paquet est renvoyé au Gateway Load Balancer et au point de terminaison Gateway Load Balancer dans la zone de disponibilité 1.

  7. Au point de terminaison de Gateway Load Balancer, le paquet vérifie la table de routage VPC et le prochain saut est la passerelle de transit.

  8. Le paquet arrive à la passerelle de transit et effectue une recherche dans la table de routage de la passerelle de transit de l’appareil associé à l’attachement VPC d’appareil pour le prochain saut vers le réseau 172.16.0.0/16.

  9. Le paquet est ensuite envoyé au serveur de destination sur site. Le trafic de réponse suit le même chemin, mais en sens inverse.