この図は、VMシリーズ・ファイアウォールを使用するリージョン内のハブVCNを介したWebまたはアプリケーション(スポーク) VCNからの南北アウトバウンド・トラフィック・フローを示しています。
OCIリージョンには2つの可用性ドメインが含まれます。リージョンには、ハブVCNと、動的ルーティング・ゲートウェイ(DRG)アタッチメントによって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。
- スポーク(Webまたはアプリケーション)VCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメインのWeb VMまたはアプリケーションVM間のトラフィックを管理します。アプリケーション・ロード・バランサからハブVCNへのアウトバウンド・トラフィックは、動的ルーティング・ゲートウェイ(DRG)を介してルーティングされます。スポーク・サブネット宛先CIDRは、DRGを介した0.0.0.0/0 (すべてのアドレス)です。
- ハブVCN (192.168.0.0/16):ハブVCNには、内部および外部の柔軟なネットワーク・ロード・バランサ(NLB)間のサンドイッチとして、各可用性ドメインに1つのVMを備えた2つのVMシリーズ・ファイアウォール仮想マシン(VM)のクラスタが含まれています。ハブVCNには、VMシリーズのファイアウォールを管理する管理VM (パノラマ)を含めることもできます。ハブVCNには4つのサブネットが含まれます:
- 管理サブネット、信頼サブネット、信頼できないサブネットおよびNLBサブネット。管理サブネットはプライマリ・インタフェース(vNIC0)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
- 信頼していないサブネットは、VMシリーズ・ファイアウォールとの外部トラフィックに2番目のインタフェース(vNIC1)を使用します。
- 信頼サブネットは、VMシリーズ・ファイアウォールとの間の内部トラフィックに3つ目のインタフェース(vNIC2)を使用します。
- NLBサブネットにより、エンド・ユーザーは、プライベートまたはパブリックの柔軟なネットワーク・ロード・バランサを作成し、インターネットからのオンプレミスおよびインバウンド接続を許可できます。
- VMシリーズ・ファイアウォール: DRGからのトラフィックは、内部ネットワーク・ロード・バランサを介したVMシリーズのファイアウォール信頼インタフェースに、ハブVCNゲートウェイを介して外部ターゲットにルーティングされます。ソース変換は、アウトバウンド・トラフィックをサポートするために、各ファイアウォールの信頼できないインタフェース・プライベートIPを使用して行われます。
- インターネット・ゲートウェイ:インターネットおよび外部Webクライアントへのトラフィックは、インターネット・ゲートウェイを介してルーティングされます。インターネット・ゲートウェイの信頼性のないサブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
- 動的ルーティング・ゲートウェイ:顧客データ・センターへのトラフィックはDRGを介してルーティングされます。動的ルーティング・ゲートウェイの信頼性のないサブネット宛先CIDRは172.16.0.0/12です。DRGは、VCN間の通信をサポートするためにも使用されます。各VCNにはDRGへのアタッチメントがあります。