本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用第三方设备进行集中入库检查
在这种架构设计模式中,您可以在 Amazon EC2 上跨弹性负载均衡器 (ELB) 后面的多个可用区部署第三方防火墙设备,例如单独检查 VPC 中的应用程序/网络负载均衡器。
检查 VPC 和其他分支 VPC 通过 Transit Gateway 作为 VPC 附件连接在一起。Spoke VPC 中的应用程序由内部 ELB 进行前端,内部 ELB 可以是 ALB 或 NLB,具体取决于应用程序类型。通过互联网的客户端连接到检查 VPC 中外部 ELB 的 DNS,后者将流量路由到其中一个防火墙设备。防火墙检查流量,然后使用内部 ELB 的 DNS 通过 Transit Gateway 将流量路由到分支 VPC,如下图所示。有关使用第三方设备进行入站安全检查的更多信息,请参阅如何将第三方防火墙设备集成到 AWS 环境
优点
-
该架构可以支持任何类型的应用程序进行检查,并支持通过第三方防火墙设备提供的高级检查功能。
-
此模式支持从防火墙设备到分支 VPC 的基于 DNS 的路由,这允许 Spoke VPC 中的应用程序在 ELB 后独立扩展。
-
您可以使用 Auto Scaling 和 ELB 来扩展检查 VPC 中的防火墙设备。
重要注意事项:
-
您需要跨可用区部署多个防火墙设备以实现高可用性。
-
为了保持流量对称性,需要配置防火墙并执行源 NAT,这意味着应用程序无法看到客户端 IP 地址。
-
考虑在网络服务账户中部署 Transit Gateway 和 Inspection VPC。
-
额外的第三方供应商防火墙许可/支持成本。Amazon EC2 费用取决于实例类型。