Configurazione del routing e dell'ispezione del traffico middlebox in un VPC
Considera lo scenario in cui devi ispezionare il traffico che entra in un VPC dal gateway Internet ed è destinato alla sottorete utilizzando un parco istanze di appliance di sicurezza configurate con un Gateway Load Balancer. Il proprietario del VPC del consumer del servizio crea un endpoint Gateway Load Balancer in una sottorete nel suo VPC (rappresentato da un'interfaccia di rete dell'endpoint). Tutto il traffico che entra nel VPC attraverso il gateway Internet viene instradato all'endpoint Gateway Load Balancer per l’ispezione prima di essere instradato nella sottorete dell’applicazione. Analogamente, tutto il traffico che esce dalla sottorete dell’applicazione viene instradato sull'endpoint Gateway Load Balancer per l’ispezione prima di essere instradato su Internet.
La procedura guidata di routing middlebox esegue automaticamente le operazioni seguenti:
-
Crea le tabelle di routing.
-
Aggiunge le route necessarie alle nuove tabelle di routing.
-
Dissocia le tabelle di routing correnti associate alle sottoreti.
-
Associa alle sottoreti le tabelle di routing create dalla procedura guidata di routing middlebox.
-
Crea un tag che indica che è stato creato dalla procedura guidata di routing middlebox e un tag che indica la data di creazione.
La procedura guidata di routing middlebox non modifica le tabelle di routing esistenti. Crea nuove tabelle di routing e quindi le associa alle risorse del gateway e della sottorete. Se le risorse sono già associate esplicitamente a tabelle di routing esistenti, le tabelle di routing esistenti vengono prima dissociate e quindi le nuove tabelle di routing vengono associate alle risorse. Le tabelle di routing esistenti non vengono eliminate.
Se non si utilizza la procedura guidata di routing middlebox, è necessario configurare manualmente e quindi assegnare le tabelle di routing alle sottoreti e al gateway Internet.
Tabella di routing del gateway Internet
La tabella di instradamento del gateway Internet ha gli instradamenti seguenti:
| Destinazione | Target | Scopo |
|---|---|---|
CIDR VPC consumer |
Locale | Route locale |
CIDR sottorete applicazione |
ID endpoint |
Indirizza il traffico destinato alla sottorete dell’applicazione all’endpoint Gateway Load Balancer. |
Esiste un'associazione edge con il gateway.
Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:
-
La chiave è “Origin” e il valore è “Middlebox wizard”
-
La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")
Tabella di instradamento della sottorete
La tabella di instradamento per la sottorete dell'applicazione ha gli instradamenti seguenti.
| Destinazione | Target | Scopo |
|---|---|---|
CIDR VPC consumer |
Locale | Route locale |
| 0.0.0.0/0 | ID endpoint |
Indirizza il traffico dai server dell’applicazione all’endpoint Gateway Load Balancer prima di indirizzarlo su Internet. |
Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:
-
La chiave è “Origin” e il valore è “Middlebox wizard”
-
La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")
Tabella di instradamento della sottorete del provider
La tabella di instradamento per la sottorete del provider ha gli instradamenti seguenti:
| Destinazione | Target | Scopo |
|---|---|---|
CIDR VPC provider |
Locale | Instradamento locale. Assicura che il traffico proveniente da Internet venga indirizzato ai server delle applicazioni. |
| 0.0.0.0/0 | igw-id |
Indirizza tutto il traffico al gateway Internet. |
Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:
-
La chiave è “Origin” e il valore è “Middlebox wizard”
-
La chiave è “date_created” e il valore è l’ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")
