Diese Abbildung zeigt den ausgehenden Nord-Süd-Trafficfluss von einer öffentlichen VM in einem gesicherten öffentlichen Subnetz zum Internet über Netzwerkfirewall über NAT-Gateway. Es enthält ein sicheres VCN, aber Sie können auch mehrere gesicherte VCNs haben.
Das gesicherte VCN (10.10.0.0/16) umfasst die folgenden Komponenten:
- Firewallsubnetz (10.10.1.0/24), das eine Netzwerkfirewall und eine Firewall-IP-Adresse enthält. Stellen Sie sicher, dass sich das Firewallsubnetz in einem öffentlichen Subnetz befindet, da wir öffentliche Subnetz-Workloads schützen. Sie können weiterhin dieselbe Firewall verwenden, um Ost-West-, Nord-Süd-Traffic zu schützen. Wenn Sie jedoch öffentliche Workloads schützen und die Ingress-Routingfunktion des Internetgateways verwenden möchten, müssen Sie die Firewall in einem öffentlichen Subnetz bereitstellen.
- Gesichertes privates Subnetz (10.10.0.0/24), das Anwendungs-Workloads enthält. In diesem Subnetz ist eine VM mit einer privaten IP-Adresse 10.10.0.10 verfügbar.
- NAT-Gateway zur Unterstützung der Egress-Internetverbindung.
- Routentabellen sind mit dem Firewallsubnetz, dem gesicherten privaten Subnetz und dem NAT-Gateway verknüpft und stellen sicher, dass der Traffic über die Netzwerkfirewall weitergeleitet wird.
Der Nord-Süd-Verkehrsfluss von der virtuellen Maschine zum Internet mit NAT Gateway verläuft wie folgt:
- Traffic, der von der Workload-VM (10.10.0.10) zum Internetziel (8.8.8.8) verschoben wird, wird über die Routentabelle für gesichertes Subnetz (Ziel 0.0.0.0/0) weitergeleitet.
- Traffic aus der Routentabelle für gesichertes Subnetz wird basierend auf dem Internetziel an die IP-Adresse der Netzwerkfirewall gesendet.
- Firewall prüft und schützt den Datenverkehr gemäß Firewallrichtlinie. Nachdem der Traffic geprüft und geschützt wurde, wird er von der Firewall-IP-Adresse über die Routentabelle des Firewallsubnetzes (Ziel 0.0.0.0/0) beendet.
- Routentabelle des Firewallsubnetzes sendet den Traffic an das NAT-Gateway und das Internetziel.
- Der Rückgabetraffic kommt vom Internet zum NAT-Gateway und folgt demselben Pfad, da in jeder Routentabelle symmetrisches Routing vorhanden ist.