この図は、ネットワーク・ファイアウォールを介したセキュアなプライベート・サブネットのVMからOSNサービスへのサブネットAからOCIサービスへのトラフィック・フローを示しています。これには1つのセキュアなVCNが含まれますが、同様に複数の保護されたVCNを持つことができます。

セキュアなVCN- A (10.10.0.0/16)には、次のコンポーネントが含まれています。

• ネットワーク・ファイアウォールとそれに関連付けられたIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。
• アプリケーション・ワークロードを含むセキュアなプライベート・サブネット(10.10.0.0/24)。このサブネットでは、10.10.0.10プライベートIPアドレスを持つVMを使用できます。
• OSNサービスと、そのゲートウェイにアタッチされたルート表をサポートするサービス・ゲートウェイ。サービス・ゲートウェイは、VCNからOCI Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracle Serviceへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを経由することはありません。
• ルート表は、ファイアウォール・サブネット、セキュア・プライベート・サブネットおよびサービス・ゲートウェイに関連付けられ、トラフィックがネットワーク・ファイアウォールを介してルーティングされます。

セキュアなプライベート・サブネットの仮想マシンからオンプレミスのVMへの南北のトラフィック・フロー:

1. ワークロードVM (10.10.0.10)からOSNアドレスに移動するトラフィックは、セキュア・サブネット・ルート表(宛先OSN CIDR)を介してルーティングされます。
2. セキュア・サブネット・ルート表からのトラフィックは、OSN宛先に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
3. ファイアウォールは、ファイアウォール・ポリシーに従ってトラフィックを検査および保護します。検査および保護されると、トラフィックはファイアウォールIPアドレスからファイアウォールサブネットルートテーブル(宛先OSNサービス)を介して終了します。
4. ファイアウォール・サブネット・ルート表は、トラフィックをサービス・ゲートウェイおよびオブジェクト・ストレージ・サービスの宛先に送信します。
5. 戻りトラフィックはObject StorageからService Gatewayに送られ、各ルート表で対称ルーティングが行われているため、同じパスに従います。