参考架构中,多个 VPC 将互联网请求转发到 TGW,然后由 TGW 转发到出站 VPC(请参阅https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/),出站 VPC 中有多个 AZ,每个 AZ 内都有各自的子网和 NAT 网关。我的问题是 TGW 如何知道将数据包转发到哪个 AZ(图中的 Egress-privateAZ1 / Egress-private AZ2)?是循环还是?如何配置这部分?谢谢
答案1
AWS 告诉我,一般来说,只要切实可行,流量就会保留在可用区内。这不是硬性规定,例如,有些负载均衡器会循环调度到任何可用区。
您问的问题是理论性的,没有说明任何问题。您遇到了什么问题?您是在尝试优化性能、成本还是其他方面?
请注意,通过 TGW 到中央帐户中的 IGW 会产生帐户之间的流量费用,然后发送到互联网,回复也是如此。每个帐户中的互联网网关更便宜,但如果您对受监控/控制的互联网入口或出口集中化有企业要求,那么相关成本可能是值得的。
AWS 还没有很好的企业入口/出口控制案例,所以你必须自己构建它。他们确实在 re-vent for 上发布了一项功能互联网入口路由,这可能会有所帮助,并且他们有一些解决方案互联网出口路由。
我过去使用的一个模型是共享出口(包括响应),使用 squid 等设备或 F5 等更高级的防火墙进行出口许可。在这种情况下,我们将入口直接进入账户,因为它更便宜、更快,并且可以受到 CloudFront/WAF/Shield/ALB 的充分保护。