複数のVPCがインターネットリクエストをTGWに転送し、そこからアウトバウンドVPCに転送するというリファレンスアーキテクチャを参照(https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/) では、アウトバウンド VPC に複数の AZ があり、各 AZ 内にはそれぞれのサブネットと NAT ゲートウェイがあります。私の質問は、TGW がパケットを転送する AZ (図の Egress-privateAZ1 / Egress-private AZ2) をどのように知るかということです。ラウンドロビンですか? この部分をどのように設定しますか? よろしくお願いします
答え1
AWS によると、一般的なルールとして、実用的な場合はトラフィックは AZ 内に保持されるそうです。これは厳格なルールではなく、たとえば一部のロード バランサーはどの AZ にもラウンドロビンで転送します。
あなたが尋ねた質問は理論的なものであり、問題は何も述べられていません。どのような問題がありますか? パフォーマンス、コスト、または何か他のものを最適化しようとしていますか?
TGW を経由して中央アカウントの IGW にアクセスすると、アカウント間のトラフィック コストが発生し、その後インターネットに送信されます。応答についても同様です。各アカウントのインターネット ゲートウェイは安価ですが、監視/制御されたインターネットの入口または出口の集中化と関連コストに対するエンタープライズ要件がある場合は、価値がある場合があります。
AWSには、イングレス/エグレス制御のための優れたエンタープライズストーリーがまだないので、自分で構築する必要があります。彼らはre-inventで機能をリリースしました。インターネットイングレスルーティング、これは役に立つ可能性があり、彼らはいくつかの解決策を持っていますインターネット出口ルーティング。
私が過去に使用したモデルは、応答を含む出力が共有され、Squid などのアプライアンスや、出力許可を行う F5 などのより高度なファイアウォールが共有されるというものでした。その場合、入力はアカウントに直接行うようにしました。これは、より安価で高速であり、CloudFront / WAF / Shield / ALB によって十分に保護できるためです。