この図は、Cisco Threat Defenseファイアウォールを使用するリージョンにおける、ハブVCNを介したWebまたはアプリケーション(スポーク) VCNからの南北のアウトバウンド・トラフィック・フローを示しています。

OCIリージョンには、2つの可用性ドメインがあります。リージョンには、ハブVCNと、動的ルーティング・ゲートウェイのアタッチメントによって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。

• スポーク(Webまたはアプリケーション) VCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメインのWeb VMまたはアプリケーションVM間のトラフィックを管理します。アプリケーション・ロード・バランサからハブVCNへのアウトバウンド・トラフィックは、動的ルーティング・ゲートウェイを介してルーティングされます。スポーク・サブネット宛先CIDRは、DRGを介した0.0.0.0/0 (すべてのアドレス)です。
• ハブVCN (192.168.0.0/16):ハブVCNには、可用性ドメインごとに1つのVMを内部および外部のフレキシブルなネットワーク・ロード・バランサ間のサンドイッチとして持つ、2つのCisco Threat Defense Firewall仮想マシン(VM)のクラスタが含まれています。ハブVCNには、Cisco Threat Defenseファイアウォールを管理するためのManagement Center VM (FMC)も含まれています。ハブVCNには、管理サブネット、信頼サブネット、信頼できないサブネットおよびnlbサブネットの4つのサブネットが含まれます。
  • 管理サブネットは、プライマリ・インタフェース(mgmt)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
  • 診断サブネットは、Cisco Threat Defenseファイアウォールの診断にセカンダリインタフェース(diag)を使用します。
  • 内部サブネットは、Cisco Threat Defenseファイアウォールとの間の内部トラフィックにサード・インタフェースgig0/ 0を使用します。
  • アウトバウンド・サブネットは、Cisco Threat Defenseファイアウォールとの間の外部トラフィックに仮想4番目のインタフェース(gig0/ 1)を使用します。
  • nlbサブネットを使用すると、エンド・ユーザーはプライベートまたはパブリックのフレキシブルなネットワーク・ロード・バランサを作成できます。これにより、オンプレミスおよびインターネットからのインバウンド接続が可能になります。

スポーク(Webまたはアプリケーション)からのアウトバウンド・トラフィックVCNは、ハブVCN内部ネットワーク・ロード・バランサに入ります。このロード・バランサは、トラフィックをCisco Threat Defenseファイアウォールの内部インタフェースに送信し、外部サブネットを介して外部ターゲットに送信します。

• Cisco Threat Defense: DRGからのトラフィックは、内部ネットワーク・ロード・バランサを介して、内部サブネットを介してインタフェース内のCisco Threat Defenseファイアウォールに、ハブVCNゲートウェイを介して外部ターゲットにルーティングされます。
• インターネット・ゲートウェイ:インターネットおよび外部Webクライアントへのトラフィックは、インターネット・ゲートウェイを介してルーティングされます。インターネット・ゲートウェイの外部サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
• 動的ルーティング・ゲートウェイ:顧客データ・センターへのトラフィックは、動的ルーティング・ゲートウェイを介してルーティングされます。動的ルーティング・ゲートウェイの外部サブネット宛先CIDRは172.16.0.0/12です。DRGは、VCN間の通信をサポートするためにも使用されます。各VCNには、動的ルーティング・ゲートウェイへのアタッチメントがあります。