この図は、Secured- B VCN内のWebまたはアプリケーションVMから、ネットワーク・ファイアウォールを使用するSecured- C VCN内のデータベースまたはアプリケーションVMへの東西のトラフィック・フローを示しています。これには、3つの仮想クラウド・ネットワーク(VCN)が含まれます。

セキュアなVCN- A (10.10.0.0/16)には、ファイアウォール・サブネットが含まれます:

• ファイアウォール・サブネット(10.10.1.0/24)は、OCIネットワーク・ファイアウォールをデプロイするために使用されます。ネットワーク・ファイアウォール作成の起動中に、必要なファイアウォール・ポリシーを追加する必要があります。
• Dynamic Routing Gatewayアタッチメント: VCN- Aは、動的ルーティング・ゲートウェイにアタッチされ、VCNNはDRGを介して相互に通信できます。

セキュアなVCN- B (10.20.0.0/16)には、次のセキュアなサブネットが含まれます。

• Secured Subnet- B (10.20.1.0/24)は、クラウド・ワークロードをデプロイするために使用されます。ワークロード・サブネットからの送信トラフィックは、Dynamic Routing Gateway VCNアタッチメントを介した検査および保護のためにNetwork FirewallプライベートIPアドレスにルーティングされます。
• Dynamic Routing Gatewayアタッチメント: VCN- Bは動的ルーティング・ゲートウェイにアタッチされ、DRGを介してVCNNが相互に通信できるようにします。

セキュアなVCN- C (10.30.0.0/16)には、セキュアなサブネットが含まれます:

• Secured Subnet- C (10.30.1.0/24)は、クラウド・ワークロードをデプロイするために使用されます。ワークロード・サブネットからの送信トラフィックは、Dynamic Routing Gateway VCNアタッチメントを介した検査および保護のためにNetwork FirewallプライベートIPアドレスにルーティングされます。
• Dynamic Routing Gatewayアタッチメント: VCN- Cは、動的ルーティング・ゲートウェイにアタッチされ、DRGを介してCNが相互に通信できるようにします。

セキュアなVCN- B VMからセキュアなVCN- C VMへの東西トラフィック・フロー。

1. Secured VCN- B VM (10.20.1.10)からSecure VCN- C VM (10.30.1.10)に移動するトラフィックは、Secured Subnet- Bルート表(宛先10.30.1.0/24)を介してルーティングされます。
2. トラフィックはセキュアなVCN- Bアタッチメントを介してDRGに到達し、VCN- Aイングレス・ルート表に達します。
3. セキュアVCNからのトラフィック: イングレス・ルート表は、宛先(10.30.1.10)に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
4. ファイアウォールは、ファイアウォール・ポリシーに従ってトラフィックを検査および保護します。検査および保護されたトラフィックは、ファイアウォール・サブネット・ルート表(DRGを介した宛先10.30.1.0/24)を介してファイアウォールIPアドレスから終了します。
5. ファイアウォール・サブネット・ルート表は、Secure Subnet- C VM/Workloadsで必要な宛先を送信します。
6. 戻りトラフィックはSecure Subnet- C VMからDRG経由でNetwork Firewallに送られており、各ルート表に対称ルーティングがあるため、同じパスに従います。