示例:共享服务 VPC 中的设备
您可以在共享服务 VPC 中配置设备(例如安全设备)。在 Transit Gateway 挂载之间路由的所有流量首先由共享服务 VPC 中的设备进行检查。
概述
下表展示了此方案配置的主要组成部分。中转网关有三个 VPC 挂载。VPC C 是共享服务 VPC。VPC A 和 VPC B 之间的流量将路由到中转网关,然后路由到 VPC C 中的安全设备进行检查,接着路由到最终目的地。设备是一个有状态的设备,因此将同时检查请求和响应流量。为了实现高可用性,VPC C 的每个可用区中都有一个设备。
您为此场景创建以下实体:
-
三个 VPC。有关创建 VPC 的信息,请参阅 Amazon Virtual Private Cloud 用户指南 中的创建 VPC。
-
中转网关。有关更多信息,请参阅 创建中转网关。
-
三个 VPC 挂载 - 每个 VPC 一个。有关更多信息,请参阅 创建 VPC 的 Transit Gateway 挂载。
对于每个 VPC 挂载,请在每个可用区中指定一个子网。对于共享服务 VPC,这些子网是将流量从中转网关路由到 VPC 的子网。在前面的示例中,这些是子网 A 和 C。
对于 VPC C 的 VPC 挂载,启用设备模式支持,以便将响应流量路由到 VPC C 中与源流量相同的可用区。
注意 您目前无法使用 Amazon VPC 控制台启用设备模式支持。相反,您可以使用 create-transit-gateway-vpc-attachment 和 modify-transit-gateway-vpc-attachment 命令。
为有状态设备启用设备模式支持
默认情况下,在 VPC 挂载之间路由流量时,中转网关会将流量保持在发出流量的同一可用区内,直到流量到达目的地。只有在可用区出现故障或该可用区中没有与 VPC 挂载关联的子网时,流量才会在挂接之间跨过可用区。如果您的 VPC 挂载跨越多个可用区,并且您需要通过同一设备路由源主机和目标主机之间的流量以进行状态检查,请为设备所在的 VPC 挂载启用设备模式支持。这可确保双向流量以对称方式路由,在流量的生命周期内,它将通过 VPC 挂载中的同一可用区路由。
下图显示未启用设备模式支持时的流量。源自 VPC B 中可用区 2 的响应流量由中转网关路由到 VPC C 中的同一可用区。因此,由于可用区 2 中的设备不知道来自 VPC A 中源的原始请求,流量被丢弃。
路由选择
每个 VPC 都有一个或多个路由表,中转网关有两个路由表。
VPC 路由表
VPC A 和 B 的路由表包含 2 个条目。第一个条目是 VPC 中本地 IPv4 路由的默认条目。此默认条目使该 VPC 中的资源能够相互通信。第二个条目将所有其他 IPv4 子网流量路由到中转网关。以下是 VPC A 的路由表。
| 目的地 | 目标 |
|---|---|
|
10.0.0.0/16 |
本地 |
|
0.0.0.0/0 |
tgw-id |
共享服务 VPC (VPC C) 对于每个子网有不同的路由表。子网 A 由中转网关使用(您在创建 VPC 挂载时指定此子网)。子网 A 的路由表将所有流量路由到子网 B 中的设备。
| 目的地 | 目标 |
|---|---|
|
192.168.0.0/16 |
本地 |
|
0.0.0.0/0 |
appliance-eni-id |
子网 B(包含设备)的路由表将流量路由回中转网关。
| 目的地 | 目标 |
|---|---|
|
192.168.0.0/16 |
本地 |
|
0.0.0.0/0 |
tgw-id |
中转网关路由表
此中转网关为 VPC A 和 VPC B 使用一个路由表,并为共享服务 VPC (VPC C) 使用一个路由表。
VPC A 和 VPC B 挂载与以下路由表关联。路由表将所有流量路由到 VPC C。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
|
0.0.0.0/0 |
|
静态 |
VPC C 挂载与以下路由表相关联。它将流量路由到 VPC A 和 VPC B。
| 目的地 | 目标 | 路由类型 |
|---|---|---|
|
10.0.0.0/16 |
|
已传播 |
|
10.1.0.0/16 |
|
传播 |