检查发往子网的所有流量 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

检查发往子网的所有流量

请考虑一下,您的流量通过互联网网关进入 VPC,并且希望使用 EC2 实例上安装的防火墙设备检查发往子网(例如子网 B)的所有流量。防火墙设备应安装和配置在与 VPC 中子网 B 不同的子网(例如子网 C)中的 EC2 实例上,然后您可以使用中间盒路由向导为子网 B 和互联网网关之间的流量配置路由。

中间盒路由向导会自动执行以下操作:

  • 创建以下路由表:

    • 互联网网关的路由表

    • 目标子网的路由表

    • 中间盒子网的路由表

  • 将必要的路由添加到新路由表中,如以下部分所述。

  • 取消与互联网网关、子网 B 和子网 C 关联的当前路由表的关联。

  • 将路由表 A 与互联网网关(中间盒路由向导中的 Source(源))相关联、路由表 C 与子网 C(中间盒路由向导中的 Middlebox(中间盒))相关联,并将路由表 B 与子网 B(中间盒路由向导中的 Destination(目的地))相关联。

  • 创建一个标签,指示它是由中间盒路由向导创建的,并创建一个指示创建日期的标签。

中间盒路由向导不会修改现有的路由表。它会创建新的路由表,然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联,则首先取消现有路由表的关联,然后将新路由表与您的资源相关联。您的现有路由表不会被删除。

如果不使用中间盒路由向导,则必须手动配置路由表,然后将路由表分配给子网和互联网网关。


                流向 VPC 的入站路由

互联网网关路由表

将以下路由添加到互联网网关的路由表中。

目标 目标 目的
10.0.0.0/16 本地 IPv4 的本地路由
10.0.1.0/24 appliance-eni 将发往子网 B 的 IPv4 流量路由到中间盒
2001:db8:1234:1a00::/56 本地 IPv6 的本地路由
2001:db8:1234:1a00::/64 appliance-eni 将发往子网 B 的 IPv6 流量路由到中间盒

互联网网关和 VPC 之间存在边缘关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。

目标子网路由表

将以下路由添加到目标子网(示例图中的子网 B)的路由表中。

目标 目标 目的
10.0.0.0/16 本地 IPv4 的本地路由
0.0.0.0/0 appliance-eni 将发往互联网的 IPv4 流量路由到中间盒
2001:db8:1234:1a00::/56 本地 IPv6 的本地路由
::/0 appliance-eni 将发往互联网的 IPv6 流量路由到中间盒

与中间盒子网存在子网关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。

中间盒子网路由表

将以下路由添加到中间盒子网(示例图中的子网 C)的路由表中。

目标 目标 目的
10.0.0.0/16 本地 IPv4 的本地路由
0.0.0.0/0 igw-id 到互联网网关的 IPv4 流量路由
2001:db8:1234:1a00::/56 本地 IPv6 的本地路由
::/0 eigw-id 将 IPv6 流量路由到仅出口互联网网关

与目标子网存在子网关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。