この図は、チェックポイントCloudGuardネットワーク・セキュリティ・ゲートウェイを使用するリージョン内の北ハブVCNとWebまたはアプリケーション(スポーク)VCN間の南のインバウンド・トラフィック・フローを示しています。 OCIリージョンには2つの可用性ドメインが含まれます。リージョンには、北ハブVCNと、動的ルーティング・ゲートウェイ(DRG)によって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。
- North Hub VCN (10.1.0.0/16):北ハブVCNには、2つのCheck Point CloudGuard Network Securityゲートウェイ仮想マシン(VM)のクラスタが含まれ、各可用性ドメインに1つのVMが含まれます。北ハブVCNには、Check Point Security Managementサーバー・プラットフォームも含まれており、Check Point CloudGuardネットワーク・セキュリティ・ゲートウェイを管理します。北ハブVCNには、フロントエンド・サブネット、バックエンド・サブネットおよびネットワーク・ロード・バランサ・サブネットの3つのサブネットが含まれています。
- フロントエンド・サブネットは、チェックポイントCloudGuardネットワーク・セキュリティ・ゲートウェイとの間のインバウンド・インターネット・トラフィックにプライマリ・インタフェース(vNIC1)を使用します。
- バックエンド・サブネットは、チェックポイントCloudGuardネットワーク・セキュリティ・ゲートウェイとの間の内部トラフィックに2番目のインタフェース(vNIC2)を使用します。
- ネットワーク・ロード・バランサ・サブネットにより、エンド・ユーザーはプライベートまたはパブリックの柔軟なネットワーク・ロード・バランサを作成し、インターネットからのオンプレミスおよびインバウンド接続を許可できます。
- インターネット・ゲートウェイ:インターネットおよび外部Webクライアントからのトラフィックは、外部パブリック・ネットワーク・ロード・バランサにルーティングされ、チェックポイントCloudGuardネットワーク・セキュリティ・ゲートウェイのいずれかに移動します。ネットワーク・ロード・バランサにはパブリック・アドレスがあり、外部から接続できます。デフォルトのルート許可宛先CIDRは0.0.0.0/0 (すべてのアドレス)で、外部サブネットCIDRの最初のホストIPアドレスです。
- Check Point CloudGuard Network Securityゲートウェイの1つはトラフィックを検査するため、ファイアウォールに存在するトラフィックにファイアウォール・インタフェースのバックエンド・インタフェースIPアドレスが含まれるようにソースNATを構成する必要があります。宛先は、トラフィックを送信するスポークVCN VMおよびロード・バランサです。
- スポークVCNにはDRGアタッチメントがあるため、バックエンド・ルート表に基づいてトラフィックはDRGに移動します。
- DRG:内部サブネットからスポークVCNへのトラフィックはDRGでルーティングされます。
- アプリケーションまたはWeb:トラフィックがこのスポークVCNを宛先としている場合、DRGアプリケーションまたはWeb VCNアタッチメント接続を介してルーティングされます。
- データベース:トラフィックがこのスポークVCNを宛先としている場合、DRGデータベースのVCNアタッチメント接続を介してルーティングされます。
- Web層またはアプリケーション層スポークVCN (10.0.0.0/24): VCNには1つのサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメイン内のWeb VMとアプリケーションVM間のトラフィックを管理します。北ハブVCNからアプリケーション・ロード・バランサへのトラフィックは、動的ルーティング・ゲートウェイを介してアプリケーション・ロード・バランサにルーティングされます。スポーク・サブネット宛先CIDRは、デフォルトのサブネット0.0.0.0/0 (すべてのアドレス)としてDRGを介してルーティングされます。