使用安全 VPC 中的设备检查流量 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用安全 VPC 中的设备检查流量

考虑以下场景,其中您需要使用在网关负载均衡器后方配置的安全设备队列检查从互联网网关流入 VPC 并发往子网的流量。服务使用者 VPC 的拥有者在其 VPC 的子网中创建一个网关负载均衡器端点(通过端点网络接口表示)。通过互联网网关进入 VPC 的所有流量首先会路由到网关负载均衡器端点,以便进行检查,然后再路由到应用程序子网。同样,离开应用程序子网中的所有流量首先会路由到网关负载均衡器端点,以便进行检查,然后再路由到互联网。

中间盒路由向导会自动执行以下操作:

  • 创建路由表。

  • 将必要的路由添加到新路由表中。

  • 取消与子网关联的当前路由表的关联。

  • 将中间盒路由向导创建的路由表与子网相关联。

  • 创建一个标签,指示它是由中间盒路由向导创建的,并创建一个指示创建日期的标签。

中间盒路由向导不会修改现有的路由表。它会创建新的路由表,然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联,则首先取消现有路由表的关联,然后将新路由表与您的资源相关联。您的现有路由表不会被删除。

如果不使用中间盒路由向导,则必须手动配置路由表,然后将路由表分配给子网和互联网网关。


                使用网关负载均衡器终端节点访问终端节点服务

互联网网关路由表

互联网网关的路由表有以下路由。

目标位置 目标 目的
消费者 VPC CIDR 本地 本地路由
应用程序子网 CIDR 端点 ID 将发往应用程序子网的流量路由到网关负载均衡器端点。

与网关存在边缘关联。

使用中间盒路由向导时,它将以下标签与路由表相关联:

  • 键为“Origin”,值为“Middlebox wizard”

  • 键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)

应用程序子网路由表

应用程序子网的路由表具有以下路由:

目标位置 目标 目的
消费者 VPC CIDR 本地 本地路由
0.0.0.0/0 端点 ID 在将流量路由到互联网之前,将流量从应用程序服务器路由到网关负载均衡器端点。

使用中间盒路由向导时,它将以下标签与路由表相关联:

  • 键为“Origin”,值为“Middlebox wizard”

  • 键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)

提供程序子网路由表

提供程序子网的路由表具有以下路由:

目标位置 目标 目的
提供程序 VPC CIDR 本地 本地路由 确保源自互联网的流量路由到应用程序服务器。
0.0.0.0/0 igw-id 将所有流量路由到互联网网关。

使用中间盒路由向导时,它将以下标签与路由表相关联:

  • 键为“Origin”,值为“Middlebox wizard”

  • 键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)