Diese Abbildung zeigt den eingehenden Nord-Süd-Trafficfluss zwischen dem Hub VCN und dem Web/Application (Spoke) VCN in einer Region, die Check Point CloudGuard Network Security verwendet. Der Oracle Cloud Infrastructure-Bereich umfasst zwei Verfügbarkeitsdomains. Die Region enthält ein Hub VCN und eine einzelne Spoke VCN (Web/Application Tier), die von lokalen Peering-Gateways (LPGs) verbunden ist.

• Hub VCN (10.0.0.0/24): Hub VCN enthält ein High Availability-Netzwerk auf zwei virtuellen Rechnern (VMs) von Check Point Security Gateway mit einer VM in jeder der Availability-Domains. Das Hub VCN enthält zwei Subnetze: ein Frontend-Subnetz und ein Backend-Subnetz. Das Frontend-Subnetz verwendet die virtuelle Netzwerkkarte 1 (vNIC1) für den externen Traffic zum oder aus dem Checkpoint-Sicherheitsgateway. Das Backend-Subnetz verwendet vNIC2 für internen Traffic zu oder aus dem Checkpoint-Sicherheitsgateway.

  Eingehender Traffic gibt das Hub VCN von externen Quellen über das Frontend-Subnetz zum Checkpoint-Sicherheitsgateway und dann über das Backend-Subnetz zum lokalen Peeringgateway (LPG) ein:

  • Internetgateway: Datenverkehr von Internet und externen Webclients leitet über das Frontend-Subnetz zur Checkpoint-Sicherheitsgateway-VM in Availability-Domain 1. Das Frontent-Subnetzziel CIDR ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routinggateway: Traffic vom Customer Data Center (172.16.0.0/12) leitet über das Frontend-Subnetz zur Check Point Security Gateway-VM in Availability-Domain 1. DRG-Ziel-CIDR ist 192.168.0.0/24 (Spoke VCN).
  • Check Point Security Gateway: Traffic wird über die Gateway-VM und das Backend-Subnetz an die LPG weitergeleitet. Das Standard-Ziel-CIDR für das Backend-Subnetz ist 192.168.0.0/24 (Spoke VCN).
  • Lokales Peering-Gateway: Der Traffic vom Backend-Subnetz zum gesprochenen VCN wird über die LPG weitergeleitet.

• Web-/Anwendungsebene sprach VCN (192.168.0.0/24): VCN enthält ein einzelnes Subnetz. Ein Load Balancer verwaltet den Datenverkehr zwischen Web-/Anwendungs-VMs in jeder der Verfügbarkeitsdomains. Traffic vom Hub VCN zum Load Balancer wird über ein lokales Peering-Gateway an den Load Balancer weitergeleitet. CIDR für Spoke-Subnetzziel ist 0.0.0.0/0 (alle Adressen).