參考有關讓多個 VPC 將網際網路要求轉送至 TGW,然後再轉送至出站 VPC 的參考架構(請參閱https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/),出方向VPC內有多個AZ,每個AZ內有各自的子網路和NAT閘道。我的問題是 TGW 如何知道將封包轉發到哪個 AZ(圖中的 Egress-privateAZ1 / Egress-private AZ2)?是循環賽還是循環賽?這部分該如何配置呢?謝謝
答案1
AWS 告訴我,作為一般規則,在可行的情況下,流量會保留在可用區內。這不是一個硬性規則,例如某些負載平衡器會對任何可用區進行循環。
你問的問題是理論性的,沒有任何問題。你有什麼問題嗎?您是否正在嘗試優化效能、成本或其他方面?
請注意,透過 TGW 到中央帳戶中的 IGW 會產生帳戶之間然後到網路的流量成本,對於回覆也是如此。每個帳戶中的網路閘道更便宜,但如果您有企業要求監控/控制網路入口或出口集中化,那麼相關成本可能是值得的。
AWS 還沒有一個出色的入口/出口控制企業故事,因此您必須自行建立它。他們確實在重新發明時發布了一項功能網際網路入口路由,這可能會有幫助,他們有一些解決方案網路出口路由。
我過去使用的模型是與魷魚等設備或更高級的防火牆(例如執行出口權限的 F5)共用出口(包括回應)。在這種情況下,我們直接進入帳戶,因為它更便宜、更快,並且可以受到 CloudFront / WAF / Shield / ALB 的充分保護。