Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

通过 Transit Gateway 将 VPC 间流量路由到本地防火墙

0

【以下的问题经过翻译处理】 某客户正在尝试通过他们的本地防火墙设置VPC到VPC的路由,经由TGW(Transit Gateway)。期望的行为是,来自VPC-A的流量将通过本地防火墙路由到VPC-B。但是,在当前的设置下,流量从VPC-A到VPC-B时,并没有经过本地防火墙。当我们执行traceroute时,路径中的第二跳是一个169.254.x.x的地址,我认为这可能是DXGW或类似的东西。如果我也定义了一个0.0.0.0的路由到NAT网关,我可以复制相同的行为,但在这种情况下,第二跳是NAT网关的地址。客户的POC设置如下:

VPC-A - 10.0.0.0/24 VPC-B - 10.0.1.0/24 DXGW通过TVIF连接到DX

VPC-A-路由表路由 10.0.0.0/24, local 0.0.0.0, TGW

VPC-B-路由表路由 10.0.1.0/24, local 0.0.0.0, TGW

TGW - VPC-流量路由表 关联: VPC-A VPC-B

传播: DXGW

路由: 本地路由,propagated 0.0.0.0/0, DXGW挂载, 静态

TGW - 本地流量路由表 关联: DXGW

传播: VPC-A VPC-B

路由: 10.0.0.0/24 10.0.1.0/24

我认为我们可能缺少一个明确的路由,告诉流量在VPC到VPC的情况下使用本地防火墙进行路由,但在这种情况下,我不确定配置的最佳位置。

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
AWS Direct ConnectAWS Transit Gateway
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten24 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 您遇到的问题关键在DXGW(Direct Connect Gateway)。由于同一个DXGW用于出口和入口路径,但DXGW不允许您从AWS侧传播到目的地的路由流量。

您需要将出口路径和入口路径分开。可能的选项包括:1)两个独立的DXGW路径,2)一个DXGW(出口)与一个VPN(入口)或反之,3)两个VPN连接(出口,入口)。

与此同时,我建议客户不要这样做,因为这是次优的路由方式,会增加延迟,并为AWS区域内的流量创造了外部连接。建议通过设置安全侦测VPC来执行此检查,以检查VPC之间的流量。您可以在侦测VPC中使用AWS Network Firewall或第三方云端防火墙。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt