その中に 2 つのサブネットを持つ VPC があります。
- Natインスタンスを使用するパブリック サブネット
インターネットからの着信接続は許可されません。 - アプリケーション サーバーを
使用したプライベート サブネット プライベート サブネットのルート テーブルは、宛先 0.0.0.0/0 に Nat インスタンスの eni を使用するため、アプリケーション サーバーは Nat インスタンスを介して外部サーバーにリクエストを送信できます。
VPC フロー ログの形式は次のとおりです。
だから、私が見たアプリケーションサーバーのフローログで:
外部ホスト 31.220.24.x が私のプライベート インスタンス 172.30.4.205 に接続しようとしているようですね。しかし、このドキュメントによると、 tcp-flagとしての18は SYN-ACK を意味するため、内部ホストからの私の SYN パケットに対する外部ホストからの応答です。以前の SYN パケットなしで SYN-ACK を取得することに混乱したので、このケースをシミュレートして、すべてのパケットをtcpdumpで記録しようとしました。172.30.4.205 から 31.220.24.x にいくつかのデータを送信し、CloudWatch で同じログを取得しましたが、WireShark の 3 つのパケットすべて - SYN、SYN-ACK、ACK:
では、なぜアプリケーション サーバーの CloudWatch ログに最初の SYN パケットが表示されないのでしょうか。前もって感謝します!