En esta imagen se muestra el flujo de tráfico entrante norte-sur entre la VCN del hub del norte y la VCN web o de aplicación (habla) en una región que utiliza gateways de seguridad de red de Check Point CloudGuard. La región OCI incluye dos dominios de disponibilidad. La región contiene una VCN de hub del norte y una VCN radial única (nivel web o de aplicación) conectada por el gateway de enrutamiento dinámico (DRG).
- VCN de North Hub (10.1.0.0/16): la VCN de hub del norte contiene un cluster de dos máquinas virtuales de gateways de seguridad de red (VM) de Check Point CloudGuard con una VM en cada uno de los dominios de disponibilidad. La VCN del hub norte también incluye la plataforma del servidor de gestión de seguridad de Check Point para gestionar los gateways de seguridad de red de Check Point CloudGuard. La VCN del hub del norte incluye tres subredes: una subred de frontend, una subred de backend y una subred de equilibrador de carga de red.
- La subred de frontend utiliza la interfaz principal (vNIC1) para el tráfico de Internet entrante desde o hacia los gateways de seguridad de red de punto de comprobación CloudGuard.
- La subred de backend utiliza la segunda interfaz (vNIC2) para el tráfico interno hacia o desde los gateways de seguridad de red CloudGuard de Check Point.
- La subred del equilibrador de carga de red permite a un usuario final crear un equilibrador de carga de red flexible público o privado, que permite la conexión local y entrante desde Internet.
- Gateway de Internet: el tráfico desde Internet y los clientes web externos se dirige al equilibrador de carga de red pública externo y, a continuación, pasa a uno de los gateways de seguridad de red del punto de control CloudGuard. El equilibrador de carga de red tiene una dirección pública, que permite conectarse desde el exterior. La ruta predeterminada permite el CIDR de destino es 0.0.0.0/0 (todas las direcciones) y la primera dirección IP de host en el CIDR de la subred externa.
- Uno de los gateways de seguridad de red del punto de control CloudGuard inspecciona el tráfico y debe configurar el NAT de origen para que el tráfico existente desde el firewall tenga la dirección IP de la interfaz de backend de las interfaces de firewall. El destino es las máquinas virtuales de VCN radial y el equilibrador de carga donde desea enviar el tráfico.
- Según la tabla de rutas de backend, el tráfico se dirige al DRG porque la VCN radial tiene una asociación de DRG.
- DRG: el tráfico desde la subred interna hasta la VCN radial se enruta a través del DRG.
- Aplicación o web: si el tráfico está destinado a esta VCN radial, se enruta a través de la aplicación DRG o la conexión de asociación de VCN web.
- Base de datos: si el tráfico está destinado a esta VCN radial, se enruta a través de la conexión de asociación de VCN de la base de datos DRG.
- VCN radial de nivel de aplicación o web (10.0.0.0/24): la VCN contiene una sola subred. Un equilibrador de carga de aplicaciones gestiona el tráfico entre máquinas virtuales web y de aplicaciones en cada uno de los dominios de disponibilidad. El tráfico de la VCN del hub del norte al equilibrador de carga de aplicaciones se enruta a través del gateway de direccionamiento dinámico al equilibrador de carga de aplicaciones. El CIDR de destino de subred radial se enruta a través del DRG como la subred por defecto 0.0.0.0/0 (todas las direcciones).