Mit Bezug auf die Referenzarchitektur, bei der mehrere VPCs Internetanfragen an TGW weiterleiten, die dann an die Outbound VPC weitergeleitet werden (siehehttps://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/), gibt es mehrere AZ im ausgehenden VPC und innerhalb jeder AZ gibt es entsprechende Subnetze und NAT-Gateways. Meine Frage ist, woher weiß der TGW, an welche AZ (Egress-privateAZ1 / Egress-private AZ2 im Diagramm) das Paket weitergeleitet werden soll? Ist es ein Round Robin oder? Wie konfiguriert man diesen Teil? Danke
Antwort1
AWS hat mir mitgeteilt, dass der Datenverkehr in der Regel, soweit praktikabel, innerhalb der AZ gehalten wird. Dies ist keine feste Regel, da einige Load Balancer beispielsweise Round Robin für jede AZ durchführen.
Die Frage, die Sie gestellt haben, ist theoretischer Natur und es wird kein Problem angegeben. Welches Problem haben Sie? Versuchen Sie, die Leistung, die Kosten oder etwas anderes zu optimieren?
Beachten Sie, dass durch die Weiterleitung über TGW zu einem IGW in einem zentralen Konto Verkehrskosten zwischen den Konten und dann zum Internet entstehen, und dasselbe gilt für Antworten. Internet-Gateways in jedem Konto sind billiger, aber wenn Sie Unternehmensanforderungen für überwachten/kontrollierten Internet-Ein- oder -Ausgang haben, können sich Zentralisierung und die damit verbundenen Kosten lohnen.
AWS hat noch keine großartige Enterprise-Story für die Ingress-/Egress-Kontrolle, also müssen Sie diese selbst erstellen. Sie haben bei re-invent eine Funktion fürInternet-Ingress-Routing, die hilfreich sein können, und sie haben einige Lösungen fürInternet-Ausgangsrouting.
Ein Modell, das ich in der Vergangenheit verwendet habe, ist die gemeinsame Nutzung von ausgehendem Datenverkehr, einschließlich Antworten, mit Geräten wie Squid oder fortgeschritteneren Firewalls wie einer F5, die die ausgehenden Berechtigungen erteilen. In diesem Fall haben wir den eingehenden Datenverkehr direkt auf ein Konto geleitet, da dies billiger und schneller ist und durch CloudFront / WAF / Shield / ALB ausreichend geschützt werden kann.