使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

通过 Transit Gateway 将 VPC 间流量路由到本地防火墙

0

【以下的问题经过翻译处理】 某客户正在尝试通过他们的本地防火墙设置VPC到VPC的路由,经由TGW(Transit Gateway)。期望的行为是,来自VPC-A的流量将通过本地防火墙路由到VPC-B。但是,在当前的设置下,流量从VPC-A到VPC-B时,并没有经过本地防火墙。当我们执行traceroute时,路径中的第二跳是一个169.254.x.x的地址,我认为这可能是DXGW或类似的东西。如果我也定义了一个0.0.0.0的路由到NAT网关,我可以复制相同的行为,但在这种情况下,第二跳是NAT网关的地址。客户的POC设置如下:

VPC-A - 10.0.0.0/24 VPC-B - 10.0.1.0/24 DXGW通过TVIF连接到DX

VPC-A-路由表路由 10.0.0.0/24, local 0.0.0.0, TGW

VPC-B-路由表路由 10.0.1.0/24, local 0.0.0.0, TGW

TGW - VPC-流量路由表 关联: VPC-A VPC-B

传播: DXGW

路由: 本地路由,propagated 0.0.0.0/0, DXGW挂载, 静态

TGW - 本地流量路由表 关联: DXGW

传播: VPC-A VPC-B

路由: 10.0.0.0/24 10.0.1.0/24

我认为我们可能缺少一个明确的路由,告诉流量在VPC到VPC的情况下使用本地防火墙进行路由,但在这种情况下,我不确定配置的最佳位置。

profile picture
专家
已提问 1 年前42 查看次数
1 回答
0

【以下的回答经过翻译处理】 您遇到的问题关键在DXGW(Direct Connect Gateway)。由于同一个DXGW用于出口和入口路径,但DXGW不允许您从AWS侧传播到目的地的路由流量。

您需要将出口路径和入口路径分开。可能的选项包括:1)两个独立的DXGW路径,2)一个DXGW(出口)与一个VPN(入口)或反之,3)两个VPN连接(出口,入口)。

与此同时,我建议客户不要这样做,因为这是次优的路由方式,会增加延迟,并为AWS区域内的流量创造了外部连接。建议通过设置安全侦测VPC来执行此检查,以检查VPC之间的流量。您可以在侦测VPC中使用AWS Network Firewall或第三方云端防火墙。

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则