本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用第三方设备进行集中入库检查
在这种架构设计模式中,您在亚马逊上EC2跨越弹性负载均衡器 (ELB) 后面的多个可用区部署第三方防火墙设备,例如在单独的检查中部署应用程序/网络负载均衡器。VPC
检查VPC和其他辐VPCs条通过Transit Gateway作为VPC附件连接在一起。Spoke中的应用程序VPCs是内部应用程序的前端ELB,内部可以是ALB也可以NLB取决于应用程序类型。通过 Internet DNS 的客户端连接到检查ELB中的外部服务器,VPC后者会将流量路由到其中一个防火墙设备。防火墙检查流量,然后使用内部流量VPC通过 Transit Gateway 将DNS流量路由到 Spo ELB ke,如下图所示。有关使用第三方设备进行入站安全检查的更多信息,请参阅如何将第三方防火墙设备集成到AWS环境
使用第三方设备进行集中入口流量检查 ELB
优点
-
该架构可以支持任何类型的应用程序进行检查,并支持通过第三方防火墙设备提供的高级检查功能。
-
这种模式支持从防火墙设备到分支的DNS基于路由VPCs,这允许Spoke中的应用程序在防火墙设备后独立扩展ELB。VPCs
-
您可以将 Auto Scaling 与结合使用,在检查中扩展防火墙设备VPC。ELB
重要注意事项:
-
您需要跨可用区部署多个防火墙设备以实现高可用性。
-
为了保持流量对称性,防火墙需要配置并执行 Sourc NAT e,这意味着应用程序无法看到客户端 IP 地址。
-
考虑在网络服务账户VPC中部署 Transit Gateway 和检查。
-
额外的第三方供应商防火墙许可/支持成本。Amazon 的EC2费用取决于实例类型。
