Diese Abbildung zeigt den ausgehenden Nord-Süd-Trafficfluss aus Web/Application (Spoke) VCN über den Hub VCN in einer Region, die Check Point CloudGuard Network Security verwendet. Der Oracle Cloud Infrastructure-Bereich umfasst zwei Verfügbarkeitsdomains. Die Region enthält ein Hub VCN und eine einzelne Spoke VCN (Web/Application Tier), die von lokalen Peering-Gateways (LPG) verbunden ist.

• Spoke (web/application) VCN (192.168.0.0/24): VCN enthält ein einzelnes Subnetz. Ein Load Balancer verwaltet den Datenverkehr zwischen Web-/Anwendungs-VMs in jeder der Verfügbarkeitsdomains. Ausgehender Traffic vom Load Balancer zum Hub VCN wird über ein lokales Peering-Gateway weitergeleitet. CIDR für Spoke-Subnetzziel ist 0.0.0.0/0 (alle Adressen).

• Hub VCN (10.0.0.0/24): Hub VCN enthält ein High Availability-Netzwerk auf zwei virtuellen Rechnern (VMs) von Check Point Security Gateway mit einer VM in jeder der Availability-Domains. Das Hub VCN enthält zwei Subnetze: ein Frontend-Subnetz und ein Backend-Subnetz. Das Frontend-Subnetz verwendet die virtuelle Netzwerkkarte 1 (vNIC1) für den externen Traffic zum oder aus dem Checkpoint-Sicherheitsgateway. Das Backend-Subnetz verwendet vNIC2 für internen Traffic zu oder aus dem Checkpoint-Sicherheitsgateway.

  Ausgehender Traffic aus dem Spoke (Web/Anwendung) VCN gibt das Backend-Subnetz von Hub VCN in das Checkpoint-Sicherheitsgateway und anschließend über das Frontend-Subnetz in externe Ziele aus.

  • Lokales Peering-Gateway: Der Traffic vom gesprochenen VCN zum Backend-Subnetz von Hub VCN wird über das LPG weitergeleitet. Backend-Subnetz-Ziel-CIDR ist 0.0.0.0/0 (alle Adressen).
  • Checkpoint-Sicherheits-Gateway: Der Traffic aus der LPG wird über die Checkpoint-Sicherheits-Gateway-VM in Availability-Domain 1 und das Frontent-Subnetz über die Hub-VCN-Gateways an externe Ziele weitergeleitet.
  • Internetgateway: Datenverkehr zu Internet und externen Web-Clients wird über ein Internetgateway weitergeleitet. Das Frontent-Subnetz-Ziel-CIDR für das Internetgateway ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routinggateway: Der Verkehr zum Customer Data Center wird über ein dynamisches Routinggateway geleitet. Das Frontent-Subnetz-Ziel-CIDR für das dynamische Routinggateway ist 172.16.0.0/12.