本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
VPC 至內部部署流量檢查
下圖顯示了 Workload spoke VPC1 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體要與內部部署伺服器通訊時的流量流程。
該圖顯示以下工作流程:
-
來自可用區域 1
Workload spoke VPC 1中的 EC2 執行個體的封包到達Workload spoke VPC 1的傳輸閘道子網路的可用區域 1 中的 Transit Gateway 彈性網路介面。根據與 Transit Gateway 彈性網路介面子網路關聯的 VPC 路由表,封包會登陸傳輸閘道。 -
在傳輸閘道中,
Spoke transit gateway route table與Workload spoke VPC 1連接關聯,這決定了下一個跳轉。 -
下一個跳轉是設備 VPC。Transit Gateway 會根據流程生命週期內的 4 元組雜湊確定將流量傳送至哪個 Transit Gateway 彈性網路介面。
-
如果 Transit Gateway 選擇可用區域 1 中的 Transit Gateway 彈性網路介面,它會檢查與設備 VPC 之可用區域 1 中的 Transit Gateway 彈性網路介面子網路關聯的 VPC 路由表。Transit Gateway 會將流量傳送至可用區域 1 中的 Gateway Load Balancer 端點。
-
Gateway Load Balancer 端點透過 邏輯上連接到 Gateway Load Balancer AWS PrivateLink ,然後將流量轉送到防火牆設備以進行流量檢查。Gateway Load Balancer 會在 Gateway Load Balancer 與防火牆設備之間建立 GENEVE 通道。
-
如果允許流量,封包會傳回至 Gateway Load Balancer 和可用區域 1 中的 Gateway Load Balancer 端點。
-
在 Gateway Load Balancer 端點,封包檢查 VPC 路由表,下一個跳轉是傳輸閘道。
-
封包到達傳輸閘道,並在與設備 VPC 連接關聯的設備傳輸閘道路由表中執行查詢,以查詢至
172.16.0.0/16網路的下一個跳轉。 -
然後,封包傳送至內部部署的目的地伺服器。回應流量會遵循相同的路徑,但方向相反。
