Ispezione del traffico in uscita tramite un gateway NAT e un gateway Internet - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ispezione del traffico in uscita tramite un gateway NAT e un gateway Internet

Il diagramma seguente mostra il flusso di lavoro se è necessario ispezionare il traffico in uscita proveniente da un VPC verso Internet.

Ispeziona il traffico da un VPC verso Internet tramite un gateway NAT e un gateway Internet.

Il diagramma mostra il flusso di lavoro seguente:

  1. Il pacchetto proveniente da un'istanza Amazon Elastic Compute Cloud EC2 (Amazon) Workload spoke VPC1 nella Zona di disponibilità 1 arriva all'interfaccia di rete elastica Transit Gateway nella Zona di disponibilità 1. In base alla tabella delle Workload spoke VPC1 rotte associata all'origine, il pacchetto arriva al Transit Gateway.

  2. In Transit Gateway, la tabella di routing del gateway di transito spoke è associata al collegamento Workload spoke VPC1, che determina il punto di accesso successivo.

  3. Il punto di accesso successivo è il Appliance VPC. Transit Gateway determina a quale interfaccia di rete elastica Transit Gateway inviare il traffico in base all'hash a 4 tuple.

  4. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 2, controlla la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 2 per il Appliance VPC, quindi invia il traffico all'endpoint Gateway Load Balancer in base al percorso predefinito.

  5. L'endpoint Gateway Load Balancer è collegato logicamente a Gateway Load Balancer tramite AWS PrivateLink , che inoltra il traffico all'appliance firewall per l'ispezione del traffico. Il Gateway Load Balancer crea un tunnel GENEVE tra sé stesso e i dispositivi firewall.

  6. Se il traffico è consentito, allora il pacchetto viene restituito al Gateway Load Balancer e all'endpoint del Gateway Load Balancer nella zona di disponibilità 1, da cui proveniva in base ai metadati collegati al payload.

  7. Nell'endpoint del Gateway Load Balancer nella zona di disponibilità 1, il pacchetto controlla la tabella di routing VPC per determinare il punto successivo.

  8. Il pacchetto arriva al NAT gateway 1 e analizza la tabella di routing del gateway NAT, con il percorso predefinito che è il gateway Internet.

  9. Il pacchetto viene quindi inviato a destinazione tramite il gateway Internet. Il traffico di ritorno segue lo stesso percorso ma in senso inverso.