Со ссылкой на эталонную архитектуру при наличии нескольких VPC, перенаправляющих интернет-запросы в TGW, которые затем перенаправляют в исходящий VPC (см. https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/), в исходящем VPC есть несколько зон доступности, и в каждой зоне доступности есть соответствующие подсети и шлюзы NAT. Мой вопрос в том, как TGW узнает, в какую зону зоны доступа (Egress-privateAZ1 / Egress-private AZ2 на диаграмме) направить пакет? Это круговая система или? Как настроить эту часть? Спасибо
AWS сообщили мне, что, как правило, там, где это целесообразно, трафик остается в пределах зоны доступности. Это несложное правило, поскольку, например, некоторые балансировщики нагрузки выполняют циклический перебор в любую зону доступности.
Вопрос, который вы задали, носит теоретический характер, и в нем не указано никаких проблем. Какая у вас проблема? Вы пытаетесь оптимизировать производительность, стоимость или что-то еще?
Обратите внимание, что переход от TGW к IGW в центральной учетной записи требует затрат трафика между учетными записями, а затем в Интернет, и то же самое для ответов. Интернет-шлюзы в каждой учетной записи дешевле, но если у вас есть корпоративные требования к отслеживаемой / контролируемой централизации входящего или исходящего Интернет-трафика, и связанные с этим затраты могут окупиться.
У AWS пока нет отличной корпоративной истории для контроля входящего / исходящего трафика, поэтому вам придется создать его самостоятельно. Они действительно выпустили функцию в переизобретении для Интернет-маршрутизация, что может быть полезно, и у них есть несколько решений для Интернет-маршрутизация.
Модель, которую я использовал в прошлом, заключается в том, что исходящий трафик совместно используется, включая ответы, с такими устройствами, как squid, или более продвинутыми межсетевыми экранами, такими как F5, выполняющими разрешения на выход. В этом случае мы сделали вход прямо в учетную запись, так как это дешевле, быстрее и может быть достаточно защищено CloudFront / WAF / Shield / ALB.