Diese Abbildung zeigt den ausgehenden Nord-Süd-Trafficfluss vom Web- oder Anwendungs-(Spoke-)VCN über das Hub-VCN in einer Region, die ein Cluster mit CloudGuard-Netzwerksicherheitsgateways verwendet.

Die  OCI-Region umfasst zwei Availability-Domains. Die Region enthält ein südliches Hub-VCN und ein einzelnes Spoke-VCN (Web- oder Anwendungsebene), die über dynamische Routinggateway-(DRG-)Anhänge verbunden sind.
  • Spoke-VCN (Web oder Anwendung) (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zwischen den Web- oder Anwendungs-VMs in jeder Availability-Domain. Ausgehender Traffic vom Anwendungs-Load Balancer zum südlichen Hub-VCN wird über das DRG weitergeleitet. Das CIDR des Spoke-Subnetzziels ist 0.0.0.0/0 (alle Adressen) über das DRG.
  • South-Hub-VCN (192.168.0.0/16): Das South-Hub-VCN enthält ein High-Availability-Cluster mit zwei virtuellen Maschinen (VMs) von Check Point CloudGuard Network Security Gateway mit einer VM in jeder Availability-Domain.
  • Das südliche Hub-VCN umfasst zwei Subnetze:
    • Ein Frontend-Subnetz und ein Backend-Subnetz. Das Frontend-Subnetz verwendet die primäre Schnittstelle (vNIC1), damit Endbenutzer eine Verbindung zur Benutzeroberfläche herstellen und ausgehenden Traffic über dieses Subnetz unterstützen können.
    • Das Backend-Subnetz verwendet die sekundäre Schnittstelle vNIC2 für internen Traffic zu oder von den Netzwerksicherheitsgateways des Checkpoints CloudGuard.
Traffic von Spoke-VCNs zu ausgehenden Traffic verläuft wie folgt: Ausgehender Traffic vom Spoke-VCN (Web oder Anwendung) tritt in das südliche Hub-VCN ein, das den Traffic an das aktive Hub sendet
  • Prüfen Sie die Backend-Schnittstelle des Netzwerksicherheitsgateways mit Punkt CloudGuard, und führen Sie dann über das Frontend-Subnetz zu externen Zielen aus. Check Point CloudGuard Network Security-Gateways: Traffic vom DRG wird über die sekundäre virtuelle IP (VIP) von vNIC2 an die aktiven Check Point CloudGuard Network Security-Gateways-Backend-Schnittstellen über das Backend-Subnetz und die VCN-Gateways des Süd-Hubs an externe Ziele weitergeleitet.
  • Internetgateway: Der Traffic zum Internet und zu externen Webclients wird über ein Internetgateway weitergeleitet. Das Frontend-Subnetzziel-CIDR für das Internetgateway ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routinggateway: Der Traffic zum Kunden-Data Center und zwischen VCNs wird über ein dynamisches Routinggateway weitergeleitet. Das Frontend-Subnetzziel-CIDR für das dynamische Routinggateway ist 172.16.0.0/12. Das DRG unterstützt auch die Kommunikation zwischen VCNs. Jedes VCN verfügt über einen Anhang zu einem DRG.