Cette image présente le flux de trafic entrant nord-sud entre le VCN du hub nord et le VCN Web ou d'application (parle) dans une région qui utilise les passerelles de sécurité réseau Check Point CloudGuard. La région OCI comprend deux domaines de disponibilité. La région contient un VCN hub nord et un VCN satellite unique (niveau Web ou application) connecté par une passerelle de routage dynamique (DRG).
- VCN North Hub (10.1.0.0/16) : le VCN du hub nord contient un cluster de deux machines virtuelles de passerelle de sécurité réseau (VM) Check Point CloudGuard avec une machine virtuelle dans chacun des domaines de disponibilité. Le hub nord VCN inclut également la plate-forme du serveur Check Point Security Management pour gérer les passerelles de sécurité réseau Check Point CloudGuard. Le VCN du hub nord comprend trois sous-réseaux : un sous-réseau frontal, un sous-réseau back-end et un sous-réseau d'équilibreur de charge réseau.
- Le sous-réseau frontal utilise l'interface principale (vNIC1) pour le trafic Internet entrant depuis ou vers les passerelles de sécurité réseau Check Point CloudGuard.
- Le sous-réseau back-end utilise la seconde interface (vNIC2) pour le trafic interne vers ou depuis les passerelles de sécurité réseau Check Point CloudGuard.
- Le sous-réseau d’équilibreur de charge réseau permet à un utilisateur final de créer un équilibreur de charge réseau flexible privé ou public, qui permet une connexion sur site et entrante à partir d’Internet.
- Passerelle Internet : le trafic des clients Internet et Web externes achemine vers l'équilibreur de charge réseau public externe, puis vers l'une des passerelles de sécurité réseau Check Point CloudGuard. L'équilibreur de charge réseau possède une adresse publique qui vous permet de vous connecter depuis l'extérieur. Le CIDR d'autorisation de routage par défaut est 0.0.0.0/0 (toutes les adresses) et la première adresse IP d'hôte dans le CIDR de sous-réseau externe.
- L'une des passerelles de sécurité réseau du point de contrôle CloudGuard inspecte le trafic et vous devez configurer le NAT source de sorte que le trafic existant à partir du pare-feu dispose de l'adresse IP de l'interface back-end des interfaces de pare-feu. La destination correspond aux machines virtuelles VCN satellite et à l'équilibreur de charge sur lesquels vous souhaitez envoyer le trafic.
- En fonction de la table de routage back-end, le trafic est dirigé vers DRG car le VCN satellite dispose d'une pièce jointe DRG.
- DRG : le trafic du sous-réseau interne vers le VCN satellite est acheminé via le DRG.
- Application ou Web : si le trafic est destiné à ce VCN satellite, il est acheminé via l'application DRG ou la connexion de connexion VCN Web.
- Base de données : si le trafic est destiné à ce VCN satellite, il est acheminé via la connexion d'attachement VCN de base de données DRG.
- VCN par satellite du niveau Web ou application (10.0.0.0/24) : le VCN contient un seul sous-réseau. Un équilibreur de charge d'application gère le trafic entre les machines virtuelles Web et d'application dans chacun des domaines de disponibilité. Le trafic du VCN de hub nord vers l'équilibreur de charge d'application est acheminé via une passerelle de routage dynamique vers l'équilibreur de charge d'application. Le CIDR de destination du sous-réseau satellite est acheminé via le DRG en tant que sous-réseau par défaut 0.0.0.0/0 (toutes les adresses).