Diese Abbildung zeigt den eingehenden Nord-Süd-Trafficfluss zwischen dem Nördlichen Hub-VCN und dem Web- oder Anwendungs-(Spoke-)VCN in einer Region, die Netzwerksicherheitsgateways vom Check Point CloudGuard verwendet. Die  OCI-Region umfasst zwei Availability-Domains. Die Region enthält ein Nördliches Hub-VCN und ein einzelnes Spoke-VCN (Web- oder Anwendungsebene), das über das dynamische Routinggateway (DRG) verbunden ist.
  • North Hub VCN (10.1.0.0/16): Das Nord-Hub-VCN enthält ein Cluster mit zwei virtuellen Maschinen (VMs) von Netzwerksicherheitsgateways (VMs) mit einer VM in jeder Availability-Domain. Das Nördliche Hub-VCN umfasst auch die Check Point Security Management-Serverplattform zur Verwaltung von Check Point CloudGuard Network Security Gateways. Das Nord-Hub-VCN umfasst drei Subnetze: ein Frontend-Subnetz, ein Backend-Subnetz und ein Netzwerk-Load Balancer-Subnetz.
    • Das Frontend-Subnetz verwendet die primäre Schnittstelle (vNIC1) für eingehenden Internettraffic an oder von den Netzwerksicherheitsgateways des Checkpoints CloudGuard.
    • Das Backend-Subnetz verwendet die zweite Schnittstelle (vNIC2) für internen Traffic zu oder von den Netzwerksicherheitsgateways des Checkpoints CloudGuard.
    • Mit dem Subnetz des Netzwerk-Load Balancers kann ein Endbenutzer einen privaten oder öffentlichen flexiblen Netzwerk-Load Balancer erstellen, der eine On-Premise- und eingehende Verbindung über das Internet ermöglicht.
    Eingehender Traffic tritt vom Hub-VCN aus externen Quellen über die öffentliche IP des externen Netzwerk-Load Balancers an die Netzwerksicherheitsgateways des Checkpoints CloudGuard ein:
    • Internetgateway: Traffic aus dem Internet und externen Webclients leitet an den externen Load Balancer des öffentlichen Netzwerks weiter und geht dann zu einem der Check Point CloudGuard Network Security-Gateways. Der Netzwerk-Load Balancer verfügt über eine öffentliche Adresse, über die Sie eine Verbindung von außen herstellen können. Das CIDR-Ziel ist standardmäßig 0.0.0.0/0 (alle Adressen) und die erste Host-IP-Adresse im CIDR des externen Subnetzes.
    • Eines der Check Point CloudGuard Network Security-Gateways prüft den Datenverkehr, und Sie müssen die Quell-NAT so konfigurieren, dass der von der Firewall vorhandene Datenverkehr die IP-Adresse der Backend-Schnittstelle der Firewallschnittstellen aufweist. Das Ziel sind die Spoke-VCN-VMs und der Load Balancer, an die der Traffic gesendet werden soll.
    • Basierend auf der Backend-Routentabelle wird der Traffic zum DRG geleitet, da das Spoke-VCN über einen DRG-Anhang verfügt.
    • DRG: Traffic vom inneren Subnetz zum Spoke-VCN wird über das DRG weitergeleitet.
      • Anwendung oder Web: Wenn der Traffic für dieses Spoke-VCN bestimmt ist, wird er über die DRG-Anwendung oder die Web-VCN-Anhangverbindung weitergeleitet.
      • Datenbank: Wenn Traffic zu diesem Spoke-VCN bestimmt ist, wird er über die VCN-Anhangverbindung der DRG-Datenbank weitergeleitet.
  • Web- oder Application Tier Spoke-VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zwischen Web- und Anwendungs-VMs in jeder Availability-Domain. Traffic vom Nördlichen Hub-VCN zum Anwendungs-Load Balancer wird über das dynamische Routinggateway an den Anwendungs-Load Balancer weitergeleitet. Das CIDR des Spoke-Subnetzziels wird über das DRG als Standard-Subnetz 0.0.0.0/0 (alle Adressen) weitergeleitet.