この図は、セキュア・パブリック・サブネットのパブリックVMから、NATゲートウェイを介したネットワーク・ファイアウォールを介したインターネットへの南北アウトバウンド・トラフィック・フローを示しています。これには1つのセキュアVCNが含まれますが、同様に、複数のセキュアVCNを持つことができます。
セキュアVCN (10.10.0.0/16)には、次のコンポーネントが含まれています。
- ネットワーク・ファイアウォールおよびファイアウォールIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。パブリック・サブネット・ワークロードを保護するため、ファイアウォール・サブネットがパブリック・サブネットにあることを確認します。同じファイアウォールを使用して東西南北のトラフィックを保護することはできますが、パブリック・ワークロードを保護し、インターネット・ゲートウェイのイングレス・ルーティング機能を使用する場合は、パブリック・サブネットにファイアウォールをデプロイする必要があります。
- アプリケーション・ワークロードを含むセキュアなプライベート・サブネット(10.10.0.0/24)。このサブネットには、10.10.0.10プライベートIPを持つVMがあります。
- エグレス・インターネット接続をサポートするNAT Gateway。
- ルート表は、ファイアウォール・サブネット、保護されたプライベート・サブネットおよびNATゲートウェイに関連付けられ、トラフィックがネットワーク・ファイアウォールを介してルーティングされるようにします。
仮想マシンからNAT Gatewayを使用したインターネットへの南北トラフィック・フローは次のとおりです。
- ワークロードVM (10.10.0.10)からインターネット宛先(8.8.8.8)に移動するトラフィックは、セキュア・サブネット・ルート表(宛先0.0.0.0/0)を介してルーティングされます。
- セキュア・サブネット・ルート表からのトラフィックは、インターネット宛先に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
- ファイアウォールは、ファイアウォールポリシーに従ってトラフィックを検査および保護します。検査および保護されると、トラフィックはファイアウォール・サブネット・ルート表(宛先0.0.0.0/0)を介してファイアウォールIPアドレスから終了します。
- ファイアウォール・サブネット・ルート表は、トラフィックをNAT Gatewayおよびインターネット宛先に送信します。
- 戻りトラフィックはインターネットからNATゲートウェイに送信され、各ルート表に対称ルーティングがあるため、同じパスに従います。
