AWS 将发往 NLB 的流量路由到同一子网中的防火墙实例

问题描述 投票:0回答:1

我在公共子网中有一个强大的 

ec2
实例。部署在 
eks
中的公共子网应用程序中的 
eks
集群可使用公共子网中的 
NLB
端点进行访问。我希望我的应用程序的所有流量都通过 fortigate 防火墙(fortigate 实例和 
NLB
位于同一公共子网中)。 因此,我尝试为公共子网配置路由表或为互联网网关配置边缘路由表,因此,如果流量的目的地是 
NLB
专用接口 ip,则应将其路由到 fortigate vm 接口,但收到错误,表明它不是子网苹果酒。 我只希望传入流量通过 fortigate,以便我可以在其上设置一些防火墙规则。 任何人都可以帮助完成此配置或建议任何更好的方法来实现所需的要求。

我尝试过使用 

NLb
接口 
ips
并尝试从私有 ip 创建前缀列表,但没有任何效果

amazon-web-services firewall nlb routetable fortigate
1个回答
0
投票

如果您想通过像您提到的设置这样的中间设备路由流量,最好将它们放在单独的子网中。如果预计路由如下:

Client --> Internet --> IGW --> Fortigate --> NLB --> EKS

您需要将它们分散到至少 2 个子网。

  1. 用于保存您的 Fortigate FW ENI 的公共子网
  2. 您可以在其中托管 NLB(和 EKS)的受保护子网

路由表如下:

公共子网的路由表:

VPC CIDR >本地

0.0.0.0/0 >IGW

受保护子网的路由表:

VPC CIDR >本地

0.0.0.0/0 >固件 ENI

边缘路由表( 在 IGW ):

VPC CIDR >本地

NLB 的子网 CIDR > FW ENI

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.