この図は、Fortinet FortiGateファイアウォールを使用するリージョン内のハブVCNとWebまたはアプリケーション(スポーク)VCN間の南北のインバウンド・トラフィック・フローを示しています。 OCIリージョンには2つの可用性ドメインが含まれます。このリージョンには、ハブVCNと、動的ルーティング・ゲートウェイ(DRG)によって接続された単一のスポークVCN (Web/アプリケーション層)が含まれています。

• ハブVCN (192.168.0.0/16):ハブVCNには、各可用性ドメインに1つのVMを持つ、2つのFortinet FortiGateファイアウォールにわたる高可用性ネットワークが含まれています。ハブVCNには、管理サブネット、信頼できるサブネット、信頼できないサブネットおよび高可用性サブネットの4つのサブネットが含まれています。
  • 管理サブネットはプライマリ・インタフェース(ポート1)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
  • 信頼性の低いサブネットは、Fortinet FortiGateファイアウォールとの外部トラフィックに仮想2番目のインタフェース(ポート2)を使用します。
  • 信頼サブネットは、Fortinet FortiGateファイアウォールとの間の内部トラフィックに3つ目のインタフェース(ポート3)を使用します。
  • 高可用性サブネットは、FortiGate高可用性ヘルス・チェックに4番目のインタフェース(ポート4)を使用します。
• インバウンド・トラフィックは、信頼できないサブネットを介して外部ソースからプライマリFortinet FortiGateファイアウォールにハブVCNに入り、信頼サブネットを介してDRGに入力します。
  • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントからのトラフィックは、可用性ドメイン1のFortinet FortiGate VMにルーティングされ、信頼性の低いサブネットを経由します。信頼できないサブネットには、ユーザーが外部から接続できるパブリック・アドレスがあります。デフォルトのルート許可宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • 動的ルーティング・ゲートウェイ:顧客データ・センター(172.16.0.0/12)からのトラフィックは、信頼できないサブネットを介して可用性ドメイン1のFortinet FortiGate VMにルーティングされます。DRG宛先CIDRは10.0.0.0/24または10.0.1.0/24 (スポークCNまたはアプリケーションまたはデータベース)です。
  • Fortinet FortiGate:トラフィックは、ファイアウォールVMおよび信頼サブネットを通じてDRGにルーティングされます。信頼サブネットのデフォルトの宛先CIDRは10.0.0.0/24または10.0.1.0/24 (スポークCNまたはアプリケーションまたはデータベース)です。
  • 動的ルーティング・ゲートウェイ:信頼サブネットからスポークVCNへのトラフィックはDRG上でルーティングされます。
    • アプリケーションおよびWeb:トラフィックがこのスポークVCNを宛先としている場合、DRGアタッチメントを介してルーティングされます。
    • データベース:トラフィックがこのスポークVCNを宛先としている場合、DRGアタッチメントを経由してルーティングされます。
• Web層またはアプリケーション層スポークVCN (10.0.0.0/24): VCNには1つのサブネットが含まれます。ロード・バランサは、各可用性ドメイン内のWeb VMとアプリケーションVM間のトラフィックを管理します。ハブVCNからロード・バランサへのトラフィックは、DRGを介してロード・バランサにルーティングされます。スポーク・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。