この図は、セキュアなプライベート・サブネットのVMからネットワーク・ファイアウォールを介したオンプレミスVMへの南北アウトバウンド・トラフィック・フローを示しています。これには1つのセキュアなVCNが含まれますが、同様に複数の保護されたVCNを持つことができます。

セキュアなVCN- A (10.10.0.0/16)には、次のコンポーネントが含まれています。

• ネットワーク・ファイアウォールとそれに関連付けられたIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。プライベート・サブネットのワークロードを保護するため、ファイアウォール・サブネットがプライベート・サブネットにあることを確認します。
• アプリケーション・ワークロードを含むセキュアなプライベート・サブネット(10.10.0.0/24)。このサブネットでは、10.10.0.10プライベートIPアドレスを持つVMを使用できます。
• FastConnectまたはVPN(あるいはその両方)を介したセキュアなVCNへのオンプレミス接続をサポートするDynamic Routing Gateway。DRGには、セキュアVCNおよび関連付けられたVCNイングレス・ルート表へのアタッチメントがアタッチされています。
• ルート表は、ファイアウォール・サブネット、セキュア・プライベート・サブネットおよびインターネット・ゲートウェイに関連付けられ、トラフィックがネットワーク・ファイアウォールを介してルーティングされます。

North Southトラフィックは、Secure Private Subnetの仮想マシンからOn- Prem VMに流れます。

1. ワークロードVM (10.10.0.10)からオンプレミス宛先(172.16.10.10)に移動するトラフィックは、Secured Subnet Route Table (宛先172.16.10.0/24)を介してルーティングされます。
2. セキュア・サブネット・ルート表からのトラフィックは、インターネット宛先に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
3. ファイアウォールは、ファイアウォールポリシーに従ってトラフィックを検査および保護します。検査および保護されたトラフィックは、ファイアウォールIPアドレスからファイアウォールサブネットルートテーブル(宛先172.16.10.0/24)を介して終了します。
4. ファイアウォール・サブネットのルート表は、トラフィックをDRGおよびオンプレミス宛先に送信します。
5. 戻りトラフィックはオンプレミスからDRGに送られ、各ルート表に対称ルーティングがあるため、同じパスに従います。