この図は、VMシリーズ・ファイアウォールを使用するリージョン内のハブVCNとWebまたはアプリケーション(スポーク)VCN間の南北インバウンド・トラフィック・フローを示しています。 OCIリージョンには2つの可用性ドメインが含まれます。このリージョンには、ハブVCNと、動的ルーティング・ゲートウェイ(DRG)によって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。
- ハブVCN (192.168.0.0/16):ハブVCNには、内部および外部の柔軟なネットワーク・ロード・バランサ間のサンドイッチとして、各可用性ドメインに1つのVMを持つ、2つのVMシリーズ・ファイアウォール仮想マシン(VM)のクラスタが含まれています。ハブVCNには、VMシリーズのファイアウォールを管理する管理VM (パノラマ)を含めることもできます。ハブVCNには4つのサブネットが含まれます:
- 管理サブネット、信頼サブネット、信頼できないサブネットおよびNLBサブネット。管理サブネットはプライマリ・インタフェース(vNIC0)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
- 信頼していないサブネットは、VMシリーズ・ファイアウォールとの外部トラフィックに2番目のインタフェース(vNIC1)を使用します。
- 信頼サブネットは、VMシリーズ・ファイアウォールとの間の内部トラフィックに3つ目のインタフェース(vNIC2)を使用します。
- NLBサブネットにより、エンド・ユーザーは、プライベートまたはパブリックの柔軟なネットワーク・ロード・バランサを作成し、インターネットからのオンプレミスおよびインバウンド接続を許可できます。
- インバウンド・トラフィックは、外部ソースから、外部ネットワーク・ロード・バランサのパブリックIPを介してVMシリーズ・ファイアウォールにハブVCNに入ります。
- インターネット・ゲートウェイ:インターネットおよび外部Webクライアントからのトラフィックは、外部パブリック・ネットワーク・ロード・バランサにルーティングされ、信頼性のないインタフェースを介していずれかのVMシリーズ・ファイアウォールに移動します。NLBパブリック・ロード・バランサには、外部から接続できるパブリック・アドレスがあります。デフォルトのルート許可宛先CIDRは0.0.0.0/0 (すべてのアドレス)で、信頼できないサブネットCIDRの最初のホストIPアドレスです。
- 動的ルーティング・ゲートウェイ(DRG):顧客データ・センター(172.16.0.0/12)からのトラフィックは外部プライベート・ロード・バランサにルーティングされ、信頼できないインタフェースを介してVMシリーズのファイアウォールの1つに移動します。DRG宛先CIDRは10.0.0.0/24または10.0.1.0/24またはスポークCNです。DRGは、VCN間の通信もサポートしています。各VCNにはDRGへのアタッチメントがあります。
- VMシリーズ・ファイアウォール:トラフィックはゲートウェイVMおよび信頼サブネットを通じてDRGにルーティングされます。ソース・アドレス変換は、信頼インタフェースIPアドレスを使用してVMシリーズ・ファイアウォールで実行されます。スポークVCN(10.0.0.0/24または10.0.1.0/24)またはアプリケーションまたはデータベースのスポークCNに関連付けられた信頼サブネットのデフォルトの宛先CIDR。このアドレスは、信頼サブネットCIDRの最初のホストIPアドレスです。
- DRG:信頼サブネットからスポークVCNへのトラフィックはDRGでルーティングされます。
- アプリケーションまたはWeb:トラフィックがこのスポークVCNを宛先としている場合、DRGアプリケーションまたはWeb VCNアタッチメント接続を介してルーティングされます。
- データベース:トラフィックがこのスポークVCNを宛先としている場合、DRGデータベースのVCNアタッチメント接続を介してルーティングされます。
- Web層またはアプリケーション層スポークVCN (10.0.0.0/24): VCNには1つのサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメイン内のWeb VMとアプリケーションVM間のトラフィックを管理します。ハブVCNからアプリケーション・ロード・バランサへのトラフィックは、DRGを介してアプリケーション・ロード・バランサにルーティングされます。スポーク・サブネット宛先CIDRは、デフォルトのサブネット0.0.0.0/0 (すべてのアドレス)としてDRGを介してルーティングされます。