この図は、Check Point CloudGuard Network Securityを使用するリージョンでのハブVCNとWeb/アプリケーション(スポーク) VCN間の北東インバウンド・トラフィック・フローを示しています。Oracle Cloud Infrastructureリージョンには、複数の可用性ドメインが含まれています。リージョンには、ハブVCNと、ローカル・ピアリング・ゲートウェイ(LPG)によって接続された単一のスポークVCN (Web/アプリケーション層)が含まれます。

• Hub VCN (10.0.0.0/24): Hub VCNには、各可用性ドメインに1つのVMを持つ2つのCheck Point Security Gateway仮想マシン(VM)にまたがる高可用性ネットワークが含まれます。ハブVCNには、フロントエンド・サブネットとバックエンド・サブネットの2つのサブネットが含まれます。フロントエンド・サブネットは、Check Point Security Gatewayとの間の外部トラフィックに仮想ネットワーク・カード1 (vNIC1)を使用します。バックエンド・サブネットは、Check Point Security Gatewayとの間の内部トラフィックにvNIC2を使用します。

  インバウンド・トラフィックは、フロントエンド・サブネットを介して外部ソースからCheck Point Security Gatewayに、次にバックエンド・サブネットを介してローカル・ピアリング・ゲートウェイ(LPG)にハブVCNに入ります。

  • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントからのトラフィックは、フロントエンド・サブネットを介して可用性ドメイン1のCheck Point Security Gateway VMにルーティングされます。フロント・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • 動的ルーティング・ゲートウェイ:顧客データ・センター(172.16.0.0/12)からのトラフィックは、可用性ドメイン1のCheck Point Security Gateway VMにフロントエンド・サブネットを介してルーティングされます。DRG宛先CIDRは192.168.0.0/24 (スポークVCN)です。
  • Check Point Security Gateway:トラフィックはゲートウェイVMおよびバックエンド・サブネットを介してLPGにルーティングされます。バックエンド・サブネットのデフォルトの宛先CIDRは192.168.0.0/24 (スポークVCN)です。
  • ローカル・ピアリング・ゲートウェイ:バックエンド・サブネットからスポークVCNへのトラフィックはLPGを介してルーティングされます。

• Web/アプリケーション層スポークVCN (192.168.0.0/24): VCNには単一のサブネットが含まれます。ロード・バランサは、各可用性ドメインのWeb/アプリケーションVM間のトラフィックを管理します。ハブVCNからロード・バランサへのトラフィックは、ローカル・ピアリング・ゲートウェイを介してロード・バランサにルーティングされます。スポーク・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。