Exemplo: dispositivo em uma VPC de serviços compartilhados - Amazon VPC
Visão geralDispositivos com estado e modo de dispositivoRoteamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo: dispositivo em uma VPC de serviços compartilhados

Você pode configurar um dispositivo (como um dispositivo de segurança) em uma VPC de serviços compartilhados. Todo o tráfego que é roteado entre anexos de gateway de trânsito é inspecionado primeiro pelo dispositivo na VPC de serviços compartilhados. Quando o modo de dispositivo está habilitado, um gateway de trânsito seleciona uma única interface de rede no dispositivo da VPC, usando um algoritmo de hash de fluxo, para enviar tráfego durante a vida útil do fluxo. O gateway de trânsito usa a mesma interface de rede para o tráfego de retorno. Isso garante que o tráfego bidirecional seja roteado simetricamente. Ele é roteado pela mesma zona de disponibilidade no anexo da VPC durante a vida útil do fluxo. Se você tiver vários gateways de trânsito na arquitetura, cada um deles mantém a própria afinidade de sessão e pode selecionar uma interface de rede diferente.

Você deve conectar exatamente um gateway de trânsito à VPC do dispositivo para garantir a aderência do fluxo. Conectar vários gateways de trânsito a uma única VPC de dispositivo não garante a aderência do fluxo porque os gateways de trânsito não compartilham informações de estado de fluxo entre si.

Importante

  • O tráfego no modo de dispositivo é roteado corretamente, desde que o tráfego de origem e de destino chegue a uma VPC centralizada (VPC de inspeção) do mesmo anexo do Transit Gateway. O tráfego pode ser descartado se a origem e o destino vierem de dois anexos do Transit Gateway diferentes. O modo do dispositivo não se aplica ao tráfego que entra na rede por meio de uma VPN.

  • Ativar o modo de equipamento em um anexo existente pode afetar a rota atual desse anexo, pois o anexo pode fluir por qualquer zona de disponibilidade. Quando o modo de dispositivo não está ativado, o tráfego é mantido na zona de disponibilidade de origem.

Visão geral

O diagrama a seguir mostra os principais componentes da configuração deste cenário. O gateway de trânsito tem três anexos de VPC. A VPC C é uma VPC de serviços compartilhados. O tráfego entre a VPC A e a VPC B é roteado para o gateway de trânsito e, depois, roteado para um dispositivo de segurança na VPC C para inspeção antes de ser encaminhado para o destino final. O dispositivo é com estado, consequentemente o tráfego do solicitação e resposta é inspecionado. Para alta disponibilidade, há um dispositivo em cada zona de disponibilidade na VPC C.

Um dispositivo em uma VPC de serviços compartilhados

Crie os seguintes recursos para esse cenário:

  • Três VPCs. Para obter informações sobre como criar uma VPC, consulte Criar uma VPC no Guia do usuário da Amazon Virtual Private Cloud.

  • Um gateway de trânsito Para obter mais informações, consulte Criar um gateway de trânsito.

  • Três anexos de VPC: um para cada VPC. Para obter mais informações, consulte Criar um anexo do gateway de trânsito para uma VPC.

    Para cada anexo de VPC, especifique uma sub-rede em cada zona de disponibilidade. Para a VPC de serviços compartilhados, essas são as sub-redes onde o tráfego é roteado para a VPC a partir do gateway de trânsito. No exemplo anterior, estas são as sub-redes A e C.

    Para o anexo da VPC C, habilite o suporte ao modo de dispositivo para que o tráfego de resposta seja encaminhado para a mesma zona de disponibilidade na VPC C que o tráfego de origem.

    O console da Amazon VPC oferece suporte ao modo de dispositivo. Também é possível usar a API da Amazon VPC, um SDK da AWS ou a AWS CLI para habilitar o modo de dispositivo ou o AWS CloudFormation. Por exemplo, adicione --options ApplianceModeSupport=enable ao comando create-transit-gateway-vpc-attachment ou modify-transit-gateway-vpc-attachment.

nota

A aderência ao fluxo no modo de dispositivo só é garantida para o tráfego de origem e destino com origem em direção à VPC de inspeção.

Dispositivos com estado e modo de dispositivo

Se seus anexos da VPC abrangem várias zonas de disponibilidade e você precisar que o tráfego entre hosts de origem e destino seja roteado pelo mesmo dispositivo para inspeção com estado, habilite o suporte ao modo de dispositivo para o anexo da VPC no qual o dispositivo está localizado.

Para obter mais informações, consulte Arquitetura de inspeção centralizada no blog da AWS.

Comportamento quando o modo de dispositivo não está habilitado

Quando o modo de dispositivo não está habilitado, um gateway de trânsito tenta manter o tráfego roteado entre anexos da VPC na zona de disponibilidade de origem até atingir o destino. O tráfego cruzará as zonas de disponibilidade entre anexos somente se houver uma falha na zona de disponibilidade ou se não houver sub-redes associadas a um anexo da VPC nessa zona de disponibilidade.

O diagrama a seguir mostra um fluxo de tráfego quando o suporte ao modo de dispositivo não está habilitado. O tráfego de resposta que se origina da zona de disponibilidade 2 na VPC B é roteado pelo gateway de trânsito para a mesma zona de disponibilidade na VPC C. Consequentemente, o tráfego é descartado porque o dispositivo na zona de disponibilidade 2 não está ciente da solicitação original da origem na VPC A.

Tráfego de resposta entregue a um dispositivo

Roteamento

Cada VPC tem uma ou mais tabelas de rotas e o gateway de trânsito tem duas tabelas de rotas.

Tabelas de rotas da VPC

VPC A e VPC B

As VPCs A e B têm tabelas de rotas com 2 entradas. A primeira entrada é a padrão do roteamento IPv4 local na VPC. Essa entrada padrão permite que os recursos nessa VPC se comuniquem entre si. A segunda entrada encaminha todos os outros tráfegos da sub-rede IPv4 ao gateway de trânsito. Veja a seguir a tabela de rotas para a VPC A.

Destino Destino

10.0.0.0/16

local

0.0.0.0/0

tgw-id

VPC C

A VPC de serviços compartilhados (VPC C) tem tabelas de rotas diferentes para cada sub-rede. A sub-rede A é usada pelo gateway de trânsito (essa sub-rede é especificada na criação do anexo da VPC). A tabela de rotas para a sub-rede A roteia todo o tráfego ao dispositivo na sub-rede B.

Destino Destino

192.168.0.0/16

local

0.0.0.0/0

appliance-eni-id

A tabela de rotas para a sub-rede B (que contém o dispositivo) roteia o tráfego de volta ao gateway de trânsito.

Destino Destino

192.168.0.0/16

local

0.0.0.0/0

tgw-id

Tabela de rotas do gateway de trânsito

Esse gateway de trânsito usa uma tabela de rotas para a VPC A e a VPC B e uma tabela de rotas para a VPC de serviços compartilhados (VPC C).

Os anexos da VPC A e da VPC B estão associados à tabela de rotas a seguir. A tabela de rotas roteia todo o tráfego para a VPC C.

Destino Destino Tipo de rota

0.0.0.0/0

ID do anexo da VPC C

estático

O anexo da VPC C está associado à tabela de rotas a seguir. Ele encaminha o tráfego para a VPC A e a VPC B.

Destino Destino Tipo de rota

10.0.0.0/16

ID do anexo da VPC A

com propagação

10.1.0.0/16

ID do anexo da VPC B

 com propagação