Журналы потоков VPC и экземпляр Nat
У меня есть VPC с двумя подсетями внутри:
- Публичная подсеть с экземпляром Nat
Входящие соединения из Интернета не разрешены. - Частная подсеть с
таблицей маршрутов сервера приложений для частной подсети использует eni экземпляра Nat для пункта назначения 0.0.0.0/0, поэтому мой сервер приложений может отправить запрос на некоторый внешний сервер через экземпляр Nat.
Формат журнала VPC Flow приведен ниже:
Итак, в журнале потоков сервера приложений я увидел:
Кажется, этот внешний хост 31.220.24.x пытается подключить мой частный экземпляр 172.30.4.205, не так ли? Но, согласно этому документу, 18 как tcp-флаг означает SYN-ACK, так что это ответ внешнего хоста на мой SYN-пакет от внутреннего хоста. Меня смущало получение SYN-ACK без предыдущего пакета SYN, поэтому я попытался смоделировать этот случай и записать все пакеты с помощью tcpdump. Я отправил некоторые данные на 31.220.24.x из 172.30.4.205 и получил те же журналы в CloudWatch, но все три пакета в WireShark - SYN, SYN-ACK, ACK:
Итак, вопрос в том, почему я не вижу первый пакет SYN в журналах CloudWatch сервера приложений. Заранее спасибо!