Con referencia a la arquitectura de referencia sobre cómo tener varias VPC que reenvíen solicitudes de Internet a TGW, que luego las reenvía a la VPC saliente (consultehttps://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/), hay varias AZ en la VPC saliente y dentro de cada AZ, hay respectivas subredes y puertas de enlace NAT. Mi pregunta es ¿cómo sabe el TGW a qué AZ (Egress-privateAZ1 / Egress-private AZ2 en el diagrama) reenviar el paquete? ¿Es un round robin o? ¿Cómo configurar esta parte? Gracias
Respuesta1
AWS me ha dicho que, como regla general, cuando sea práctico, el tráfico se mantiene dentro de la zona de disponibilidad. Esta no es una regla estricta, ya que, por ejemplo, algunos balanceadores de carga realizan operaciones por turnos en cualquier zona de disponibilidad.
La pregunta que ha hecho es teórica y no se plantea ningún problema. ¿Qué problema estás teniendo? ¿Está intentando optimizar el rendimiento, el coste o algo más?
Tenga en cuenta que pasar de TGW a un IGW en una cuenta central genera costos de tráfico entre cuentas y luego a Internet, y lo mismo ocurre con las respuestas. Las puertas de enlace de Internet en cada cuenta son más económicas, pero si tiene requisitos empresariales para la centralización de entrada o salida de Internet monitoreada/controlada y los costos asociados, pueden valer la pena.
AWS aún no tiene una gran historia empresarial para el control de entrada/salida, por lo que debe crearla usted mismo. Lanzaron una función en reinventar paraenrutamiento de ingreso a internet, que puede ser útil y tienen algunas soluciones paraenrutamiento de salida de internet.
Un modelo que he usado en el pasado es que la salida se comparte, incluidas las respuestas, con dispositivos como Squid o firewalls más avanzados como un F5 que otorga permisos de salida. En ese caso, el ingreso es directo a una cuenta, ya que es más barato, más rápido y puede estar suficientemente protegido por CloudFront/WAF/Shield/ALB.