この図は、ネットワーク・ファイアウォールを介したオンプレミスVMからセキュア・プライベート・サブネットのVMへの南北のインバウンド・トラフィック・フローを示しています。これには1つのセキュアなVCNが含まれますが、同様に複数の保護されたVCNを持つことができます。
セキュアなVCN- A (10.10.0.0/16)には、次のコンポーネントが含まれています。
- ネットワーク・ファイアウォールとそれに関連付けられたIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。プライベート・サブネットのワークロードを保護するため、ファイアウォール・サブネットがプライベート・サブネットにあることを確認します。
- アプリケーション・ワークロードを含むセキュアなプライベート・サブネット(10.10.0.0/24)。このサブネットでは、10.10.0.10プライベートIPアドレスを持つVMを使用できます。
- FastConnectまたはVPN(あるいはその両方)を介したセキュアなVCNへのオンプレミス接続をサポートするDynamic Routing Gateway。DRGには、セキュアVCNおよび関連付けられたVCNイングレス・ルート表へのアタッチメントがアタッチされています。
- ルート表は、ファイアウォール・サブネット、セキュア・プライベート・サブネットおよびインターネット・ゲートウェイに関連付けられ、トラフィックがネットワーク・ファイアウォールを介してルーティングされます。
オンプレミスのVMからSecure Private Subnetの仮想マシンへの南北のトラフィック・フロー:
- オンプレミスの宛先(172.16.10.10)からワークロードVM (10.10.0.10)に移動するトラフィックは、Dynamic Routing Gateway (宛先10.10.0.0/24)を介してルーティングされます。
- DRGセキュアVCNアタッチメントからのトラフィックとVCNイングレス・ルート表を介したトラフィックは、宛先(10.10.0.10)に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
- ファイアウォールは、ファイアウォール・ポリシーに従ってトラフィックを検査および保護します。検査および保護されると、トラフィックはファイアウォールIPアドレスからファイアウォールサブネットルートテーブル(宛先10.10.0.0/24)を介して終了します。
- ファイアウォール・サブネットのルート表は、必要な宛先を送信します。
- 戻りトラフィックはSecure Private VMからNetwork Firewallに送られ、各ルート表で対称ルーティングが行われているため、同じパスに従います。