この図は、ハブVCNと、Cisco Threat Defenseファイアウォールを使用するリージョン内のWebまたはアプリケーション(スポーク) VCNの間の南北インバウンド・トラフィック・フローを示しています。OCIリージョンには、2つの可用性ドメインがあります。リージョンには、ハブVCNと、動的ルーティング・ゲートウェイ(DRG)によって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。

  • Hub VCN (192.168.0.0/16):

    ハブVCNには、可用性ドメインごとに1つのVMを内部および外部のフレキシブルなネットワーク・ロード・バランサ間のサンドイッチとして持つ、2つのCisco Threat Defense Firewall Virtual Machine (VM)のクラスタが含まれています。ハブVCNには、Cisco Threat Defenseファイアウォールを管理するためのManagement Center VM (FMC)も含まれています。ハブVCNには、管理サブネット、信頼サブネット、信頼できないサブネットおよびnlbサブネットの4つのサブネットが含まれます。
    • 管理サブネットは、プライマリ・インタフェース(mgmt)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
    • 診断サブネットは、Cisco Threat Defenseファイアウォールの診断目的でセカンダリインタフェース(diag)を使用します。
    • 内部サブネットは、Cisco Threat Defenseファイアウォールとの間の内部トラフィックにサード・インタフェースgig0/ 0を使用します。
    • アウトバウンド・サブネットは、Cisco Threat Defenseファイアウォールとの間の外部トラフィックに仮想4番目のインタフェース(gig0/ 1)を使用します。
    • nlbサブネットを使用すると、エンド・ユーザーはプライベートまたはパブリックのフレキシブルなネットワーク・ロード・バランサを作成できます。これにより、オンプレミスおよびインターネットからのインバウンド接続が可能になります。
  • インバウンド・トラフィックは、外部ソースからCisco Threat Defenseファイアウォールへの外部ネットワーク・ロード・バランサのパブリックIPを介してハブVCNに入ります。
    • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントからのトラフィックは、外部のパブリック・ネットワーク・ロード・バランサにルーティングされ、外部サブネットを介してCisco Threat Defenseファイアウォールのいずれかに送信されます。nlbパブリック・ロードbalanacerにはパブリック・アドレスがあり、外部から接続できます。デフォルトのルート許可される宛先CIDRは、0.0.0.0/0 (すべてのアドレス)および外部サブネットCIDRの最初のホストIPアドレスです。
    • 動的ルーティング・ゲートウェイ(DRG):顧客データ・センター(172.16.0.0/12)からのトラフィックは、外部プライベート・ロード・バランサにルーティングされ、外部サブネットを介してCisco Threat Defenseファイアウォールのいずれかに送信されます。DRG宛先CIDRは10.0.0.0/24または10.0.1.0/24、あるいはスポークVCNです。DRGは、VCN間の通信をサポートするためにも使用されます。各VCNには、動的ルーティング・ゲートウェイへのアタッチメントがあります。
    • Cisco Threat Defense:トラフィックはゲートウェイVMおよび内部サブネットを介してDRGにルーティングされます。発信元アドレス変換は、内部インタフェースのIPアドレスを使用してCisco Threat Defenseで行われます。スポークVCN (10.0.0.0/24または10.0.1.0/24、あるいはアプリケーションまたはデータベースのスポークVCN)に関連付けられた内部サブネットのデフォルトの宛先CIDR。このアドレスは、内部サブネットCIDRの最初のホストIPアドレスです。
    • 動的ルーティング・ゲートウェイ:内部サブネットからスポークVCNへのトラフィックは、DRGを介してルーティングされます。
      • アプリケーションまたはWeb:トラフィックがこのスポークVCNを宛先とする場合は、DRG Application/Web VCNアタッチメント接続を介してルーティングされます。
      • データベース:トラフィックがこのスポークVCNを宛先とする場合、トラフィックはDRG Database VCNアタッチメント接続を介してルーティングされます。
  • Web層またはアプリケーション層がVCN (10.0.0.0/24)をスポークしました。

    VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメインのWeb VMとアプリケーションVM間のトラフィックを管理します。ハブVCNからアプリケーション・ロード・バランサへのトラフィックは、動的ルーティング・ゲートウェイを介してアプリケーション・ロード・バランサにルーティングされます。スポーク・サブネット宛先CIDRは、デフォルト・サブネット0.0.0.0/0 (すべてのアドレス)としてDRGを介してルーティングされます。