Inspeksi lalu lintas keluar melalui gateway NAT dan gateway internet

Paket dari instans Amazon Elastic Compute Cloud EC2 (Amazon) di Workload spoke VPC1 Availability Zone 1 tiba di Transit Gateway elastic network interface di Availability Zone 1. Menurut tabel Workload spoke VPC1 rute yang terkait dengan sumbernya, paket tiba di Transit Gateway.

Di Transit Gateway, tabel rute gateway transit spoke dikaitkan dengan Workload spoke VPC1 lampiran, yang menentukan lompatan berikutnya.

Hop berikutnya Appliance VPC adalah Transit Gateway menentukan antarmuka elastis network Transit Gateway mana yang akan mengirim lalu lintas berdasarkan hash 4-tuple.

Jika Transit Gateway memilih Transit Gateway elastic network interface di Availability Zone 2, maka akan memeriksa tabel rute VPC yang terkait dengan subnet antarmuka elastis network Transit Gateway di Availability Zone 2 untuk Appliance VPC dan kemudian mengirimkan lalu lintas ke titik akhir Gateway Load Balancer berdasarkan rute default.

Endpoint Load Balancer Gateway secara logis terhubung ke Load Balancer Gateway AWS PrivateLink , yang meneruskan lalu lintas ke alat firewall untuk inspeksi lalu lintas. Gateway Load Balancer membuat terowongan GENEVE antara itu dan peralatan firewall.

Jika lalu lintas diizinkan maka paket dikirim kembali ke Load Balancer Gateway dan titik akhir Load Balancer Gateway di Availability Zone 1 dari mana asalnya berdasarkan metadata yang melekat pada payload.

Pada titik akhir Load Balancer Gateway di Availability Zone 1, paket memeriksa tabel rute VPC untuk menentukan lompatan berikutnya.

Paket tiba NAT gateway 1 dan melihat tabel rute gateway NAT, dengan rute default menjadi gateway internet.

Paket tersebut kemudian dikirim ke tujuannya melalui gateway internet. Lalu lintas kembali mengikuti jalur yang sama tetapi sebaliknya.