TGW для исходящего интернет-трафика VPC со шлюзами NAT

TGW для исходящего интернет-трафика VPC со шлюзами NAT

Со ссылкой на эталонную архитектуру с несколькими VPC, пересылающими интернет-запросы в TGW, которые затем пересылаются в исходящий VPC (см.https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/), в исходящем VPC есть несколько AZ, и в каждой AZ есть соответствующие подсети и шлюзы NAT. Мой вопрос в том, как TGW узнает, в какую AZ (Egress-privateAZ1 / Egress-private AZ2 на схеме) пересылать пакет? Это циклический перебор или? Как настроить эту часть? Спасибо

решение1

AWS сказали мне, что, как правило, там, где это практично, трафик удерживается в пределах AZ. Это не жесткое правило, так как, например, некоторые балансировщики нагрузки делают циклический перебор в любой AZ.

Вопрос, который вы задали, теоретический, и проблема не обозначена. Какая у вас проблема? Вы пытаетесь оптимизировать производительность, стоимость или что-то еще?

Обратите внимание, что переход через TGW на IGW в центральном аккаунте влечет за собой стоимость трафика между аккаунтами и затем в Интернет, и то же самое касается ответов. Интернет-шлюзы в каждом аккаунте обходятся дешевле, но если у вас есть корпоративные требования к контролируемой/контролируемой централизации входящего или исходящего интернет-трафика, то и связанные с этим расходы могут быть оправданы.

У AWS пока нет отличной корпоративной истории для контроля входящего/исходящего трафика, поэтому вам придется создать ее самостоятельно. Они выпустили функцию на re-invent длямаршрутизация входящего интернет-трафика, которые могут быть полезны, и у них есть некоторые решения длямаршрутизация интернет-выхода.

Модель, которую я использовал в прошлом, заключается в том, что выходной трафик распределяется, включая ответы, с помощью таких устройств, как squid или более продвинутых брандмауэров, таких как F5, которые выдают разрешения на выход. В том случае мы делали входной трафик напрямую в аккаунт, так как это дешевле, быстрее и может быть достаточно защищено CloudFront / WAF / Shield / ALB.

Связанный контент