この図は、チェックポイントCloudGuardネットワーク・セキュリティ・ゲートウェイのクラスタを使用するリージョン内のハブVCNを介したWebまたはアプリケーション(スポーク)VCNからの南北アウトバウンド・トラフィック・フローを示しています。
OCIリージョンには2つの可用性ドメインが含まれます。このリージョンには、南ハブVCNと、動的ルーティング・ゲートウェイ(DRG)アタッチメントによって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。
- スポーク(Webまたはアプリケーション)VCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメインのWeb VMまたはアプリケーションVM間のトラフィックを管理します。アプリケーション・ロード・バランサから南ハブVCNへのアウトバウンド・トラフィックはDRG上でルーティングされます。スポーク・サブネット宛先CIDRは、DRGを介した0.0.0.0/0 (すべてのアドレス)です。
- 南ハブVCN (192.168.0.0/16):南ハブVCNには、2つのCheck Point CloudGuard Network Securityゲートウェイ仮想マシン(VM)の高可用性クラスタが含まれ、各可用性ドメインに1つのVMが含まれます。
- 南ハブVCNには2つのサブネットが含まれます:
- フロントエンド・サブネットおよびバックエンド・サブネット。フロントエンド・サブネットはプライマリ・インタフェース(vNIC1)を使用して、エンド・ユーザーがこのサブネットを介してユーザー・インタフェースに接続し、アウトバウンド・トラフィックをサポートできるようにします。
- バックエンド・サブネットは、チェックポイントCloudGuardネットワーク・セキュリティ・ゲートウェイとの間の内部トラフィックにセカンダリ・インタフェースvNIC2を使用します。
- ポイントCloudGuardネットワーク・セキュリティ・ゲートウェイのバックエンド・インタフェースを確認してから、フロントエンド・サブネットを介して外部ターゲットを調べます。チェック・ポイントCloudGuardネットワーク・セキュリティ・ゲートウェイ: DRGからのトラフィックは、vNIC2のセカンダリ仮想IP (VIP)を介して、バックエンド・サブネットおよび南ハブVCNゲートウェイを外部ターゲットに通じてアクティブなチェックポイントCloudGuardネットワーク・セキュリティ・ゲートウェイ・バックエンド・インタフェースにルーティングされます。
- インターネット・ゲートウェイ:インターネットおよび外部Webクライアントへのトラフィックは、インターネット・ゲートウェイを介してルーティングされます。インターネット・ゲートウェイのフロントエンド・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
- 動的ルーティング・ゲートウェイ:顧客データ・センターおよびVCN間のトラフィックは、動的ルーティング・ゲートウェイを介してルーティングされます。動的ルーティング・ゲートウェイのフロントエンド・サブネット宛先CIDRは172.16.0.0/12です。DRGは、VCN間の通信もサポートしています。各VCNにはDRGへのアタッチメントがあります。