Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplo: Dispositivo en una VPC de servicios compartidos
Puede configurar un dispositivo (como un dispositivo de seguridad) en una VPC de servicios compartidos. Todo el tráfico enrutado entre la puerta de enlaces de tránsito lo inspecciona primero el dispositivo en la VPC de servicios compartidos. Cuando se habilita el modo de dispositivo, una puerta de enlace de tránsito selecciona una única interfaz de red en la VPC del dispositivo, mediante un algoritmo hash de flujo, para enviar tráfico a lo largo de la vida útil del flujo. La puerta de enlace de tránsito utiliza la misma interfaz de red para el tráfico de retorno. Esto garantiza que el tráfico bidireccional se enrute simétricamente: se enruta a través de la misma zona de disponibilidad en la conexión de VPC durante el tiempo de vida del flujo. Si tiene varias puertas de enlace de tránsito en su arquitectura, cada puerta de enlace de tránsito mantiene su propia afinidad de sesión y cada puerta de enlace de tránsito puede seleccionar una interfaz de red diferente.
Debe conectar exactamente una puerta de enlace de tránsito a la VPC del dispositivo para garantizar la adherencia del flujo. La conexión de varias puertas de enlace de tránsito a una sola VPC del dispositivo no garantiza la adherencia del flujo porque las puertas de enlace de tránsito no comparten información de estado de flujo entre sí.
importante
-
El tráfico en modo dispositivo se enruta correctamente siempre que el tráfico de origen y de destino llegue a una VPC centralizada (VPC de inspección) desde la misma conexión de puerta de enlace de tránsito. El tráfico puede disminuir si el origen y el destino proceden de dos conexiones de puerta de enlace de tránsito diferente. El modo Dispositivo no se aplica al tráfico que entra en la red a través de una VPN.
-
La activación del modo dispositivo en un archivo adjunto existente puede afectar a la ruta actual de ese archivo adjunto, ya que el archivo adjunto puede fluir a través de cualquier zona de disponibilidad. Cuando el modo dispositivo no está habilitado, el tráfico se mantiene en la zona de disponibilidad de origen.
Información general
El siguiente diagrama muestra los componentes clave de la configuración de este escenario. La puerta de enlace de tránsito tiene tres conexiones de VPC. VPC C es una VPC de servicios compartidos. El tráfico entre VPC A y VPC B se enruta a la puerta de enlace de tránsito y, a continuación, se enruta a un dispositivo de seguridad en VPC C para su inspección antes de que se enrute al destino final. El dispositivo es un dispositivo con estado, por lo que se inspecciona el tráfico de solicitud como el de respuesta. Para una alta disponibilidad, hay un dispositivo en cada zona de disponibilidad de VPC C.
Cree los siguientes recursos para este escenario:
-
Tres VPC Para obtener información sobre la creación de una VPC, consulte Creación de una VPC en la Guía del usuario de Amazon Virtual Private Cloud.
-
Una puerta de enlace de tránsito. Para obtener más información, consulte Crear una puerta de enlace de tránsito.
-
Tres conexiones de VPC: una para cada una de las VPC. Para obtener más información, consulte Crear una vinculación de la puerta de enlace de tránsito a una VPC.
Para cada conexión de VPC, especifique una subred en cada zona de disponibilidad. Para la VPC de servicios compartidos, estas son las subredes donde el tráfico se enruta a la VPC desde la puerta de enlace de tránsito. En el ejemplo anterior, se trata de subredes A y C.
Para las conexiones de VPC para VPC C, habilite la compatibilidad con el modo de dispositivo para que el tráfico de respuesta se enrute a la misma zona de disponibilidad en VPC C que el tráfico de origen.
La consola de Amazon VPC admite el modo de dispositivo. También puede utilizar la API de Amazon VPC, un SDK de AWS o la AWS CLI para habilitar el modo de dispositivo o AWS CloudFormation. Por ejemplo, añada
--options ApplianceModeSupport=enableal comando create-transit-gateway-vpc-attachment o modify-transit-gateway-vpc-attachment.
nota
La rigidez del flujo en el modo de dispositivo solo está garantizada para el tráfico de origen y destino que se dirige a la VPC de inspección.
Dispositivos con estado y modo de dispositivo
Si las conexiones de VPC abarcan varias zonas de disponibilidad y necesita que el tráfico entre hosts de origen y destino se enrute a través del mismo dispositivo para una inspección con estado, habilite la compatibilidad con el modo de dispositivo para la conexión de VPC en que se encuentra el dispositivo.
Para obtener más información, consulte Centralized inspection architecture (Arquitectura de inspección centralizada
Comportamiento cuando el modo de dispositivo no está habilitado
Cuando el modo de dispositivo no está habilitado, una puerta de enlace de tránsito intenta mantener el tráfico enrutado entre las conexiones de la VPC en la zona de disponibilidad de origen hasta que llegue a su destino. El tráfico cruza zonas de disponibilidad entre conexiones solo si se produce un error en la zona de disponibilidad o si no hay subredes asociadas con una conexión de VPC en esa zona de disponibilidad.
El siguiente diagrama muestra un flujo de tráfico cuando la compatibilidad con el modo de dispositivo no está habilitada. El tráfico de respuesta que se origina en la zona de disponibilidad 2 de la VPC B se enruta por la puerta de enlace de tránsito a la misma zona de disponibilidad en VPC C. Por lo tanto, el tráfico se elimina porque el dispositivo de la zona de disponibilidad 2 no conoce la solicitud original del origen en VPC A.
Enrutamiento
Cada VPC tiene una o varias tablas de enrutamiento y la puerta de enlace de tránsito tiene dos tablas de enrutamiento.
Tablas de enrutamiento de la VPC
VPC A y VPC B
VPC A y B tienen tablas de enrutamiento con 2 entradas. La primera fila es la entrada predeterminada para el direccionamiento IPv4 local de la VPC. Esta entrada predeterminada permite que los recursos de esta VPC se comuniquen entre sí. La segunda entrada enruta el resto del tráfico de subredes de IPv4 a la puerta de enlace de tránsito. A continuación, se muestra la tabla de enrutamiento para VPC A.
| Destino | Objetivo |
|---|---|
|
10.0.0.0/16 |
local |
|
0.0.0.0/0 |
tgw-id |
VPC C
La VPC de servicios compartidos (VPC C) tiene tablas de enrutamiento diferentes para cada subred. La puerta de enlace de tránsito utiliza la subred A (debe especificar esta subred al crear la conexión de VPC). La tabla de enrutamiento de la subred A enruta todo el tráfico al dispositivo de la subred B.
| Destino | Objetivo |
|---|---|
|
192.168.0.0/16 |
local |
|
0.0.0.0/0 |
appliance-eni-id |
La tabla de enrutamiento de la subred B (que contiene el dispositivo) enruta el tráfico de vuelta a la puerta de enlace de tránsito.
| Destino | Objetivo |
|---|---|
|
192.168.0.0/16 |
local |
|
0.0.0.0/0 |
tgw-id |
Tablas de enrutamiento de la puerta de enlace de tránsito
Esta puerta de enlace de tránsito utiliza una tabla de enrutamiento para VPC A y VPC B y una tabla de enrutamiento para la VPC de servicios compartidos (VPC C).
Las conexiones de VPC A y VPC B se asocian con la siguiente tabla de enrutamiento. La tabla de enrutamiento enruta todo el tráfico a VPC C.
| Destino | Objetivo | Tipo de ruta |
|---|---|---|
|
0.0.0.0/0 |
|
estático |
La conexión de VPC C se asocia con la siguiente tabla de enrutamiento. Enruta el tráfico a VPC A y VPC B.
| Destino | Objetivo | Tipo de ruta |
|---|---|---|
|
10.0.0.0/16 |
|
propagada |
|
10.1.0.0/16 |
|
propagada |
