この図は、ネットワーク・ファイアウォールを介したセキュアなプライベート・サブネットのVMからOSNサービスへのサブネットAからOCIサービスへのトラフィック・フローを示しています。これには1つのセキュアなVCNが含まれますが、同様に複数の保護されたVCNを持つことができます。
セキュアなVCN- A (10.10.0.0/16)には、次のコンポーネントが含まれています。
- ネットワーク・ファイアウォールとそれに関連付けられたIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。
- アプリケーション・ワークロードを含むセキュアなプライベート・サブネット(10.10.0.0/24)。このサブネットでは、10.10.0.10プライベートIPアドレスを持つVMを使用できます。
- OSNサービスと、そのゲートウェイにアタッチされたルート表をサポートするサービス・ゲートウェイ。サービス・ゲートウェイは、VCNからOCI Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracle Serviceへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを経由することはありません。
- ルート表は、ファイアウォール・サブネット、セキュア・プライベート・サブネットおよびサービス・ゲートウェイに関連付けられ、トラフィックがネットワーク・ファイアウォールを介してルーティングされます。
セキュアなプライベート・サブネットの仮想マシンからオンプレミスのVMへの南北のトラフィック・フロー:
- ワークロードVM (10.10.0.10)からOSNアドレスに移動するトラフィックは、セキュア・サブネット・ルート表(宛先OSN CIDR)を介してルーティングされます。
- セキュア・サブネット・ルート表からのトラフィックは、OSN宛先に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
- ファイアウォールは、ファイアウォール・ポリシーに従ってトラフィックを検査および保護します。検査および保護されると、トラフィックはファイアウォールIPアドレスからファイアウォールサブネットルートテーブル(宛先OSNサービス)を介して終了します。
- ファイアウォール・サブネット・ルート表は、トラフィックをサービス・ゲートウェイおよびオブジェクト・ストレージ・サービスの宛先に送信します。
- 戻りトラフィックはObject StorageからService Gatewayに送られ、各ルート表で対称ルーティングが行われているため、同じパスに従います。