AWS Transit Gatewayflusso di traffico e routing asimmetrico - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Transit Gatewayflusso di traffico e routing asimmetrico

Prima di descrivere i diversi casi d'uso dell'ispezione del traffico, è importante capire come scorre il trafficoAWS Transit Gateway. Il diagramma seguente illustra il flusso del traffico attraverso Transit Gateway.

Diagramma dell'architettura di un esempio di flusso di traffico attraversoAWS Transit Gateway

Il diagramma mostra il flusso di traffico quando un'istanza Amazon Elastic Compute Cloud (Amazon EC2) di origineWorkload spoke VPC 1 nella zona di disponibilità 1 invia traffico tramite Transit Gateway a un'istanza EC2 di destinazioneWorkload spoke VPC2 nella zona di disponibilità 2:

  1. Dall'istanza EC2 di origineWorkload spoke VPC1 nella zona di disponibilità 1, il pacchetto passa all'elastic network interface Transit GatewayWorkload spoke VPC1 nella zona di disponibilità 1.

  2. Il pacchetto atterra sul gateway di transito. L'hop successivo del pacchetto viene determinato in base alla tabella di routing VPC associata alla sottorete.

  3. In base alla tabella delle rotte del gateway di transito associata all'allegato, il traffico viene inviato all'elastic network interface Transit GatewayWorkload spoke VPC2 nella zona di disponibilità 1 prima di essere inviato all'istanza EC2 di destinazione Workload spoke VPC2 nella zona di disponibilità 2.

  4. Il percorso per il traffico di ritorno proviene dall'istanza EC2 di destinazioneWorkload spoke VPC2 nella zona di disponibilità 2.

  5. Il pacchetto va all'elastic network interface Transit GatewayWorkload spoke VPC2 nella zona di disponibilità 2.

  6. Il pacchetto raggiunge il gateway di transito.

  7. In base alla tabella degli itinerari del gateway di transito associata all'allegato, il traffico viene inviato all'elastic network interface Transit GatewayWorkload spoke VPC1 nella zona di disponibilità 2.

  8. Il traffico arriva all'istanza EC2 di origineWorkload spoke VPC1 nella zona di disponibilità 1.

Per impostazione predefinita, Transit Gateway mantiene l'affinità della zona di disponibilità, il che significa che utilizza la stessa zona di disponibilità per inoltrare il traffico da dove è entrato nel gateway di transito. Sebbene sia appropriato per la maggior parte dei casi d'uso, questo approccio può causare problemi di routing asimmetrico per le appliance firewall stateful. Il routing asimmetrico si verifica quando la richiesta e la risposta utilizzano interfacce di rete diverse, il che può causare l'interruzione del traffico. Per evitare ciò, è necessario attivare la modalità appliance nell'allegato gateway di transito del VPC dell'appliance. Questo risolve i problemi di routing asimmetrico nei modelli di architettura da VPC a VPC quando le istanze EC2 di origine e destinazione si trovano in due diverse zone di disponibilità e su diversi VPC. Per ulteriori informazioni, consultare Appliance in un VPC con servizi condivisi nella documentazione Amazon Virtual Private Cloud (Amazon VPC).