Com referência à arquitetura de referência sobre como ter vários VPCs encaminhando solicitações de Internet para o TGW, que então encaminham para o VPC de saída (consultehttps://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/), há várias AZs na VPC de saída e, dentro de cada AZ, há respectivas sub-redes e gateways NAT. Minha pergunta é como o TGW sabe para qual AZ (Egress-privateAZ1 / Egress-private AZ2 no diagrama) encaminhar o pacote? É um round robin ou? Como configurar esta parte? Obrigado
Responder1
A AWS me disse que, como regra geral, onde for prático, o tráfego é mantido dentro da AZ. Esta não é uma regra rígida, pois, por exemplo, alguns balanceadores de carga fazem round robin para qualquer AZ.
A pergunta que você fez é teórica e não há nenhum problema declarado. Qual problema você está tendo? Você está tentando otimizar desempenho, custo ou outra coisa?
Observe que passar do TGW para um IGW em uma conta central incorre em custos de tráfego entre contas e depois para a Internet, e o mesmo para respostas. Gateways de Internet em cada conta são mais baratos, mas se você tiver requisitos corporativos para entrada de Internet monitorada/controlada ou centralização de saída e os custos associados podem valer a pena.
A AWS ainda não tem uma ótima história empresarial para controle de entrada/saída, então você mesmo precisa construí-la. Eles lançaram um recurso em reinventar pararoteamento de entrada de internet, o que pode ser útil, e eles têm algumas soluções pararoteamento de saída da Internet.
Um modelo que usei no passado é que a saída é compartilhada, incluindo respostas, com dispositivos como o squid ou firewalls mais avançados, como um F5, fazendo permissões de saída. Nesse caso fizemos o ingresso direto em uma conta, pois é mais barato, mais rápido e pode ser suficientemente protegido pelo CloudFront/WAF/Shield/ALB.