Diese Abbildung zeigt eine Oracle Cloud Infrastructure-Region mit zwei Availability-Domains. Die Region umfasst drei gesicherte virtuelle Cloud-Netzwerke (VCNs), die in einem verteilten Modell bereitgestellt werden. Jedes gesicherte VCN fungiert als eigene Umgebung und umfasst die folgenden Komponenten.

Gesichertes VCN-A: Die gesicherten VCNs umfassen mindestens zwei Subnetze: ein Firewall-Subnetz und ein gesichertes Subnetz.
  • Mit dem Firewallsubnetz wird OCI Network Firewall bereitgestellt. Sie müssen die erforderliche Firewallrichtlinie beim Start der Netzwerkfirewall-Erstellung hinzufügen.
  • Mit dem gesicherten Subnetz werden Cloud-Workloads bereitgestellt. Ausgehender Traffic von Workload-Subnetzen wird zur Prüfung und zum Schutz an die Netzwerkfirewall-IP-Adresse weitergeleitet.
Die gesicherten VCNs umfassen die folgenden Kommunikationsgateways:
  • Internetgateway: Ermöglicht Workloads, eine Verbindung zum Internet herzustellen, und Sie können den Datenverkehr zur im Firewall-Subnetz verfügbaren Netzwerkfirewall zur Prüfung und zum Schutz weiterleiten.
  • Servicegateway: Ermöglicht Workloads, eine Verbindung zu Oracle Cloud Infrastructure Object Storage, anderen Oracle-Services für die Region herzustellen, und Sie können Traffic zur Netzwerkfirewall, die im Firewall-Subnetz für Prüfung und Schutz verfügbar ist, weiterleiten.
Zusätzliche Gateways können bereitgestellt werden:
  • NAT-Gateway: Mit dem NAT-Gateway können private Ressourcen in einem VCN auf Hosts im Internet zugreifen, ohne diese Ressourcen für eingehende Internetverbindungen verfügbar zu machen. Außerdem können Sie den Traffic zur Netzwerkfirewall weiterleiten, die im Firewall-Subnetz für Prüfung und Schutz verfügbar ist.
  • Dynamisches Routinggateway: Verbindet das Data Center und die Geräte am Kunden über IPSec-VPN oder FastConnect, und Sie können den Datenverkehr zur Netzwerkfirewall weiterleiten, die im Firewall-Subnetz für Prüfung und Schutz verfügbar ist.

Stellen Sie sicher, dass symmetrische Routen innerhalb der gesicherten VCNs verwendet werden, um sicherzustellen, dass Ingress und Egress über die Netzwerkfirewall demselben Pfad folgen. Wie bei "Gesichertes VCN-A" sollten Sie die erforderlichen Ressourcen in "Gesichertes VCN-B" und "Gesichertes VCN-C" bereitstellen.