Diese Abbildung zeigt den Ostwesttrafficfluss von der Web- oder Anwendungs-VM in einem Secured-B-VCN zu einer Datenbank oder Anwendungs-VM im Secured-C-VCN, das eine Netzwerkfirewall verwendet. Sie umfasst drei virtuelle Cloud-Netzwerke (VCNs):

Das gesicherte VCN-A (10.10.0.0/16) umfasst ein Firewall-Subnetz:
  • Das Firewall-Subnetz (10.10.1.0/24) wird zur Bereitstellung der OCI Network Firewall verwendet. Sie müssen die erforderliche Firewallrichtlinie beim Start der Netzwerkfirewall-Erstellung hinzufügen.
  • Dynamischer Routinggatewayanhang: VCN-A ist an dynamisches Routinggateway angeschlossen, um sicherzustellen, dass VCNs über das DRG miteinander kommunizieren können.
Das gesicherte VCN-B (10.20.0.0/16) umfasst ein gesichertes Subnetz:
  • Mit dem gesicherten Subnetz B (10.20.1.0/24) werden Cloud-Workloads bereitgestellt. Ausgehender Traffic von Workload-Subnetzen wird zur Prüfung und zum Schutz über den Dynamic Routing Gateway-VCN-Anhang an die private IP-Adresse der Netzwerkfirewall weitergeleitet.
  • Dynamischer Routinggatewayanhang: VCN-B ist an das dynamische Routinggateway angeschlossen, um sicherzustellen, dass VCNs über das DRG miteinander kommunizieren können.
Das gesicherte VCN-C (10.30.0.0/16) umfasst ein gesichertes Subnetz:
  • Mit dem gesicherten Subnetz C (10.30.1.0/24) werden Cloud-Workloads bereitgestellt. Ausgehender Traffic von Workload-Subnetzen wird zur Prüfung und zum Schutz über den Dynamic Routing Gateway-VCN-Anhang an die private IP-Adresse der Netzwerkfirewall weitergeleitet.
  • Dynamischer Routinggatewayanhang: VCN-C ist an das dynamische Routinggateway angeschlossen, um sicherzustellen, dass VCNs über das DRG miteinander kommunizieren können.
Ostwestlicher Trafficfluss von der gesicherten VCN-B-VM zur gesicherten VCN-C-VM.
  1. Traffic, der von der gesicherten VCN-B-VM (10.20.1.10) zur gesicherten VCN-C-VM (10.30.1.10) wechselt, wird über die Routentabelle für gesicherte Subnet-B (Ziel 10.30.1.0/24) weitergeleitet.
  2. Der Traffic erreicht das DRG über gesicherten VCN-B-Anhang und erreicht die Routentabelle "VCN-A Ingress".
  3. Traffic von der Routentabelle für gesicherte VCN-A-Ingress wird basierend auf dem Ziel (10.30.1.10) zu der IP-Adresse der Netzwerkfirewall geleitet.
  4. Firewall prüft und schützt den Datenverkehr gemäß Firewallrichtlinie. Nachdem der geprüfte und geschützte Datenverkehr aus der Firewall-IP-Adresse über die Routentabelle des Firewall-Subnetzes beendet wurde (Ziel 10.30.1.0/24 über DRG).
  5. Firewall-Subnetzroutentabelle sendet das erforderliche Ziel in Secure Subnet-C-VM/Workloads.
  6. Rückgabetraffic stammt von der Secured Subnet-C VM zu Network Firewall über DRG und folgt demselben Pfad, da in jeder Routentabelle symmetrisches Routing vorhanden ist.