Как проходят пакеты, когда у меня есть ELB и шлюз NAT в общедоступной подсети, который распределяет трафик по трем моим узлам в моей частной подсети?

Question

Мне было интересно, может ли кто-нибудь ответить на этот вопрос для меня?

Мое понимание сейчас:

1. Клиент делает запрос и пакеты сначала попадают в таблицу маршрутизации для публичной подсети
2. Таблица маршрутизации направляет пакеты в ELB
3. ELB направляет пакеты к шлюзу NAT
4. Шлюз NAT направляет пакеты в таблицу маршрутизации для частной подсети
5. Частная таблица маршрутизации направляет пакеты на один из трех узлов

Это правильно? Также есть ли ресурсы, чтобы понять поток пакетов?

Answer 1

Есть некоторые заметные проблемы с вашим описанием.

Классические ELB не маршрутизируют пакеты.

Они работают либо на уровне 4 (режим TCP), либо на уровне 7 (режим HTTP), и в обоих случаях они копируют полезную нагрузку из одного TCP-соединения (браузер в ELB) в другое TCP-соединение (ELB в экземпляр) и обратно.,Вот почему экземпляр видит IP-адрес балансировщика, а не IP-адрес браузера.IP-пакеты находятся ниже уровня 4.

Шлюзы NAT вообще не используются при обработке трафика ELB.

Шлюзы NAT предназначены для исходящих соединений, что означает соединения, созданные внутри вашего VPC, с местами назначения за пределами.Это не включает ответный трафик от ELB.Без NAT-шлюза трафик через ELB работает так же, как и всегда, но экземпляры в частной подсети не могут устанавливать исходящие соединения - общаться с сторонними API, устанавливать их часы на внешние серверы времени, загружатьобновления программного обеспечения или для связи с любой службой AWS, для которой не настроена конечная точка VPC, например, S3, DynamoDB и т. д.

Таблицы маршрутов в основном не имеют значения, поскольку фактически используется только один маршрут.маршрут по умолчанию в общедоступных подсетях, в которых находится сам ELB.Этот маршрут позволяет ответному трафику возвращаться от ELB к внешнему клиенту через Интернет-шлюз.Во всем остальном используется неявная локальная маршрутизация, встроенная в VPC и не настраиваемая - входящий от клиента трафик неявно перенаправляется в ELB, а трафик между ELB и экземплярами также неявно маршрутизируется в обоих направлениях, поскольку источник и пункт назначенияIP-адреса являются внутренними частными адресами ELB и экземпляров.ELB и экземпляры обмениваются данными напрямую, без использования какого-либо шлюза (например, шлюза NAT).

Для каждого необходимого соединения ELB специально выбирает один работоспособный экземпляр и создает соединение с ним.Когда балансировщик находится в режиме TCP, существует связь 1: 1 между клиентскими соединениями и соединениями экземпляров.Когда балансировщик находится в режиме HTTP, как правило, подключений к экземплярам обычно меньше, чем подключений клиентов, поскольку ELB устанавливает только столько подключений к экземплярам, ​​сколько необходимо на основе трафика, а подключения клиентов, как правило, тратят значительное количество времени, ничего не делаямежду загрузками страниц.