检查发往子网的所有流量 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

检查发往子网的所有流量

请考虑一下,您的流量通过互联网网关进入 VPC,并且希望使用 EC2 实例上安装的防火墙设备检查发往子网(例如子网 B)的所有流量。防火墙设备应安装和配置在与 VPC 中子网 B 不同的子网(例如子网 C)中的 Amazon EC2 实例上,然后您可以使用中间盒路由向导为子网 B 和互联网网关之间的流量配置路由。

中间盒路由向导会自动执行以下操作:

  • 创建三个路由表,互联网网关的路由表(路由表 A)、子网 B 的路由表(路由表 B)和子网 C 的路由表(路由表 C)。

  • 将必要的路由添加到新路由表中,如以下部分所述。

  • 取消与互联网网关、子网 B 和子网 C 关联的当前路由表的关联。

  • 将路由表 A 与互联网网关(中间盒路由向导中的源)相关联、路由表 C 与子网 C(中间盒路由向导中的中间盒)相关联,并将路由表 B 与子网 B(中间盒路由向导中的目的地)相关联。

  • 创建一个标签,指示它是由中间盒路由向导创建的,并创建一个指示创建日期的标签。

中间盒路由向导不会修改现有的路由表。它会创建新的路由表,然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联,则首先取消现有路由表的关联,然后将新路由表与您的资源相关联。您的现有路由表不会被删除。

如果不使用中间盒路由向导,则必须手动配置路由表,然后将路由表分配给子网和互联网网关。


                流向 VPC 的入站路由

互联网网关路由表

互联网网关的路由表包含以下路由:

目的地 目标 目的
10.0.0.0/16 本地 IPv4 的本地路由
10.0.1.0/24 eni-11223344556677889 将发往子网 B 的 IPv4 流量路由到中间盒
2001:db8:1234:1a00::/56 本地 IPv6 的本地路由
2001:db8:1234:1a00::/64 eni-11223344556677889 将发往子网 B 的 IPv6 流量路由到中间盒

互联网网关和 VPC 之间存在边缘关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。

中间盒子网路由表

中间盒子网(子网 C)的路由表包含以下路由:

目的地 目标 目的
10.0.0.0/16 本地 IPv4 的本地路由
0.0.0.0/0 igw-id 到互联网网关的 IPv4 流量路由
2001:db8:1234:1a00::/56 本地 IPv6 的本地路由
::/0 eigw-id 到仅出口互联网网关的 IPv6 流量路由

与子网 B 存在子网关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。

子网路由表

中间盒子网(子网 C)的路由表包含以下路由:

目的地 目标 目的
10.0.0.0/16 本地 本地路由
0.0.0.0/0 eni-11223344556677889 将发往互联网的 IPv4 流量路由到中间盒
2001:db8:1234:1a00::/56 本地 IPv6 的本地路由
::/0 eni-11223344556677889 将发往互联网的 IPv4 流量路由到中间盒

与子网 C 存在子网关联。

使用中间盒路由向导时,以下标签与路由表相关联:

  • 将键设置为“Origin”并将值设置为“Middlebox wizard”的标签。

  • 将键设置为“date_created”并将值设置为创建时间的标签,例如“2021-02-18T22:25:49.137Z”。