安全 VPC 中的网关负载均衡器后的安全设备 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

安全 VPC 中的网关负载均衡器后的安全设备

在以下示例中,您希望使用安全 VPC 中的网关负载均衡器后配置的安全设备队列检查从互联网网关流入 VPC 并发往子网 1 的流量。服务使用者 VPC 的拥有者在其 VPC 的子网 2 中创建一个网关负载均衡器终端节点(通过终端节点网络接口表示)。通过互联网网关进入 VPC 的所有流量首先会路由到网关负载均衡器终端节点,以便在安全 VPC 中进行检查,然后再路由到目标子网 1。同样,离开子网 1 中的所有流量首先会路由到网关负载均衡器端点,以便在安全 VPC 中进行检查,然后再路由到互联网。

中间盒路由向导会自动执行以下操作:

  • 创建路由表。

  • 将必要的路由添加到新路由表中。

  • 取消与子网关联的当前路由表的关联。

  • 将中间盒路由向导创建的路由表与子网相关联。

  • 创建一个标签,指示它是由中间盒路由向导创建的,并创建一个指示创建日期的标签。

中间盒路由向导不会修改现有的路由表。它会创建新的路由表,然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联,则首先取消现有路由表的关联,然后将新路由表与您的资源相关联。您的现有路由表不会被删除。

如果不使用中间盒路由向导,则必须手动配置路由表,然后将路由表分配给子网和互联网网关。


                使用网关负载均衡器终端节点访问终端节点服务

网关路由表

互联网网关的路由表包含以下路由:

目的地 目标 目的
10.0.0.0/16 本地 本地
10.0.1.0/24 vpc-endpoint-id 将发往子网 1 的流量路由到网关负载均衡器端点。

与网关存在边缘关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。

子网 1 路由表

子网 1 路由表具有以下路由。

目的地 目标 目的
10.0.0.0/16 本地 本地路由
0.0.0.0/0 vpc-endpoint-id 将非本地流量路由到网关负载均衡器端点。这可以确保所有离开子网(目的地为互联网)的流量首先路由到网关负载均衡器终端节点。

与子网 1 存在子网关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。

子网 2 路由表

子网 2 路由表具有以下路由。

目的地 目标 目的
10.0.0.0/16 本地 本地路由 – 对于来自互联网的流量,本地路由可确保将其路由到子网 1 中的目的地。
0.0.0.0/0 igw-id 将所有流量路由到互联网网关。

与子网 2 存在子网关联。

以下标签与路由表关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。