我在公共子网中有一个强大的
ec2
实例。部署在 eks
中的公共子网应用程序中的 eks
集群可使用公共子网中的 NLB
端点进行访问。我希望我的应用程序的所有流量都通过 fortigate 防火墙(fortigate 实例和 NLB
位于同一公共子网中)。
因此,我尝试为公共子网配置路由表或为互联网网关配置边缘路由表,因此,如果流量的目的地是 NLB
专用接口 ip,则应将其路由到 fortigate vm 接口,但收到错误,表明它不是子网苹果酒。
我只希望传入流量通过 fortigate,以便我可以在其上设置一些防火墙规则。
任何人都可以帮助完成此配置或建议任何更好的方法来实现所需的要求。
我尝试过使用
NLb
接口 ips
并尝试从私有 ip 创建前缀列表,但没有任何效果
如果您想通过像您提到的设置这样的中间设备路由流量,最好将它们放在单独的子网中。如果预计路由如下:
Client --> Internet --> IGW --> Fortigate --> NLB --> EKS
您需要将它们分散到至少 2 个子网。
路由表如下:
公共子网的路由表:
VPC CIDR >本地
0.0.0.0/0 >IGW
受保护子网的路由表:
VPC CIDR >本地
0.0.0.0/0 >固件 ENI
边缘路由表( 在 IGW ):
VPC CIDR >本地
NLB 的子网 CIDR > FW ENI