VPC-to-on-premises ispezione del traffico - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

VPC-to-on-premises ispezione del traffico

Il diagramma seguente mostra il flusso di traffico se un'istanza Amazon Elastic Compute Cloud EC2 (Amazon) Workload spoke VPC1 desidera comunicare con un server locale.

Il flusso di traffico tra un' EC2 istanza Amazon in spoke VPC 1 e un server locale

Il diagramma mostra il flusso di lavoro seguente:

  1. Un pacchetto proveniente da un' EC2 istanza Workload spoke VPC 1 nella Zona di disponibilità 1 arriva all'interfaccia di rete elastica Transit Gateway nella Zona di disponibilità 1 nella sottorete del gateway di transito per. Workload spoke VPC 1 Seguendo la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica di Transit Gateway, il pacchetto arriva al gateway di transito.

  2. Nel gateway di transito, la Spoke transit gateway route table è associata al collegamento del Workload spoke VPC 1 e ciò determina il punto successivo.

  3. Il punto successivo è il VPC di appliance. In base all'hash a 4 tuple per la durata di un flusso, Transit Gateway determina a quale interfaccia di rete elastica di Transit Gateway inviare il traffico.

  4. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1, controlla la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1 nel VPC di appliance. Transit Gateway invia il traffico all'endpoint del Gateway Load Balancer nella zona di disponibilità 1.

  5. L'endpoint Gateway Load Balancer è collegato logicamente al Gateway Load Balancer attraverso AWS PrivateLink il quale inoltra quindi il traffico all'appliance firewall per l'ispezione del traffico. Il Gateway Load Balancer crea un tunnel GENEVE tra il Gateway Load Balancer e i dispositivi firewall.

  6. Se il traffico è consentito, allora il pacchetto viene restituito al Gateway Load Balancer e all'endpoint del Gateway Load Balancer nella zona di disponibilità 1.

  7. All'endpoint del Gateway Load Balancer, il pacchetto controlla la tabella di routing VPC e il punto successivo è il gateway di transito.

  8. Il pacchetto arriva al gateway di transito ed esegue una ricerca sulla tabella di routing del gateway di transito dell'appliance associata al collegamento del VPC di appliance per l'accesso successivo alla rete 172.16.0.0/16.

  9. Il pacchetto viene quindi inviato al server di destinazione on-premise. Il traffico di risposta segue lo stesso percorso ma in senso inverso.