VPC 至內部部署流量檢查 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC 至內部部署流量檢查

下圖顯示了 Workload spoke VPC1 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體要與內部部署伺服器通訊時的流量流程。

支點 VPC 1 中的 Amazon EC2 執行個體與內部部署伺服器之間的流量流程

該圖顯示以下工作流程:

  1. 來自可用區域 1 Workload spoke VPC 1 中的 EC2 執行個體的封包到達 Workload spoke VPC 1 的傳輸閘道子網路的可用區域 1 中的 Transit Gateway 彈性網路介面。根據與 Transit Gateway 彈性網路介面子網路關聯的 VPC 路由表,封包會登陸傳輸閘道。

  2. 在傳輸閘道中,Spoke transit gateway route tableWorkload spoke VPC 1 連接關聯,這決定了下一個跳轉。

  3. 下一個跳轉是設備 VPC。Transit Gateway 會根據流程生命週期內的 4 元組雜湊確定將流量傳送至哪個 Transit Gateway 彈性網路介面。

  4. 如果 Transit Gateway 選擇可用區域 1 中的 Transit Gateway 彈性網路介面,它會檢查與設備 VPC 之可用區域 1 中的 Transit Gateway 彈性網路介面子網路關聯的 VPC 路由表。Transit Gateway 會將流量傳送至可用區域 1 中的 Gateway Load Balancer 端點。

  5. Gateway Load Balancer 端點透過 邏輯上連接到 Gateway Load Balancer AWS PrivateLink ,然後將流量轉送到防火牆設備以進行流量檢查。Gateway Load Balancer 會在 Gateway Load Balancer 與防火牆設備之間建立 GENEVE 通道。

  6. 如果允許流量,封包會傳回至 Gateway Load Balancer 和可用區域 1 中的 Gateway Load Balancer 端點。

  7. 在 Gateway Load Balancer 端點,封包檢查 VPC 路由表,下一個跳轉是傳輸閘道。

  8. 封包到達傳輸閘道,並在與設備 VPC 連接關聯的設備傳輸閘道路由表中執行查詢,以查詢至 172.16.0.0/16 網路的下一個跳轉。

  9. 然後,封包傳送至內部部署的目的地伺服器。回應流量會遵循相同的路徑,但方向相反。