この図は、ネットワーク・ファイアウォールを介したセキュアなパブリック・サブネットのインターネットからパブリックVMへの南北のインバウンド・トラフィック・フローを示しています。これには1つのセキュアなVCNが含まれますが、同様に複数の保護されたVCNを持つことができます。
セキュアなVCN (10.10.0.0/16)には、次のコンポーネントが含まれています。
- ネットワーク・ファイアウォールとファイアウォールIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。パブリック・サブネットのワークロードを保護するため、ファイアウォール・サブネットがパブリック・サブネットにあることを確認します。同じファイアウォールを使用して東西南北のトラフィックを保護できますが、パブリック・ワークロードを保護し、インターネット・ゲートウェイのイングレス・ルーティング機能を使用する場合は、ファイアウォールをパブリック・サブネットにデプロイする必要があります。
- アプリケーション・ワークロードを含むセキュア・パブリック・サブネット(10.10.0.0/24)。10.10.0.10プライベートIPとパブリックIPが関連付けられているこのサブネットで使用可能なVMがあります。
- インターネット接続からサポートするインターネット・ゲートウェイ。
- ファイアウォール・サブネット、セキュア・パブリック・サブネットおよびインターネット・ゲートウェイに関連付けられた表をルーティングし、トラフィックがネットワーク・ファイアウォールを介してルーティングされるようにします。
北南のトラフィックは、次のようにインターネットから仮想マシンに流れます。
- VMのパブリックIPを使用してインターネットからワークロードVM (10.10.0.10)に移動するトラフィックは、インターネット・ゲートウェイ・ルート表(宛先10.10.0.0/24)を介してルーティングされます。
- インターネット・ゲートウェイのルート表からのトラフィックは、ワークロードのVM宛先(10.10.0.10)に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
- ファイアウォールは、ファイアウォール・ポリシーに従ってトラフィックを検査および保護します。検査および保護されると、トラフィックはファイアウォールIPアドレスからファイアウォールサブネットルートテーブル(宛先10.10.0.0/24)を介して終了します。
- ファイアウォール・サブネット・ルート表は、トラフィックをワークロードVMに送信します。
- 戻りトラフィックはワークロードVMから取得され、各ルート表で対称ルーティングが行われているため、同じパスに従います。