이 이미지는 체크포인트 CloudGuard 네트워크 보안 게이트웨이를 사용하는 영역의 북쪽 허브 VCN과 웹 또는 애플리케이션(스포크) VCN 간의 북쪽 인바운드 트래픽 플로우를 보여줍니다. OCI 지역에는 두 개의 가용성 도메인이 포함됩니다(&N). 이 지역에는 북쪽 허브 VCN과 동적 라우팅 게이트웨이(DRG)로 연결된 단일 스포크 VCN(웹 또는 애플리케이션 계층)이 포함되어 있습니다.
- North Hub VCN(10.1.0.0/16): 북쪽 허브 VCN에는 각 가용성 도메인에 하나의 VM이 있는 두 개의 Check Point CloudGuard Network Security Gateway VM(Virtual Machine) 클러스터가 포함되어 있습니다. 북쪽 허브 VCN에는 체크포인트 CloudGuard 네트워크 보안 게이트웨이를 관리하는 Check Point Security Management 서버 플랫폼도 포함되어 있습니다. 북쪽 허브 VCN에는 프런트엔드 서브넷과 백엔드 서브넷, 네트워크 로드 밸런서 서브넷의 세 서브넷이 포함됩니다.
- 프론트 엔드 서브넷은 체크포인트 CloudGuard 네트워크 보안 게이트웨이에 대한 인바운드 인터넷 트래픽에 기본 인터페이스(vNIC1)를 사용합니다.
- 백엔드 서브넷은 체크포인트 CloudGuard 네트워크 보안 게이트웨이에 대한 내부 트래픽의 경우 두번째 인터페이스(vNIC2)를 사용합니다.
- 네트워크 로드 밸런서 서브넷을 사용하면 일반 사용자가 전용 또는 공용으로 융통성 있는 네트워크 로드 밸런서를 생성할 수 있습니다. 이 로드 밸런서는 인터넷에서 온프레미스와 인바운드 접속을 허용합니다.
- 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트의 트래픽은 외부 공용 네트워크 로드 밸런서로 라우팅된 다음 Check Point CloudGuard 네트워크 보안 게이트웨이 중 하나로 이동합니다. 네트워크 로드 밸런서에는 외부에서도 연결할 수 있는 공용 주소가 있습니다. 기본 경로 허용 대상 CIDR은 0.0.0.0/0(모든 주소) 및 외부 서브넷 CIDR의 첫번째 호스트 IP 주소입니다.
- Check Point CloudGuard 네트워크 보안 게이트웨이 중 하나는 트래픽을 검사하고, 방화벽에서 존재하는 트래픽에 방화벽 인터페이스의 백엔드 인터페이스 IP 주소가 포함되도록 소스 NAT를 구성해야 합니다. 대상은 트래픽을 보낼 스포크 VCN VM 및 로드 밸런서입니다.
- 백엔드 경로 테이블을 기반으로 spoke VCN에 DRG 연결이 있으므로 트래픽이 DRG로 이동합니다.
- DRG: 내부 서브넷에서 스포크 VCN으로의 트래픽은 DRG를 통해 라우팅됩니다.
- 애플리케이션 또는 웹: 트래픽이 이 스포크 VCN으로 전송되는 경우 DRG 애플리케이션 또는 웹 VCN 연결 연결을 통해 라우팅됩니다.
- 데이터베이스: 트래픽이 이 스포크 VCN으로 전송되는 경우 DRG 데이터베이스 VCN 연결 연결을 통해 라우팅됩니다.
- 웹 또는 애플리케이션 계층을 통해 VCN(10.0.0.0/24): VCN에 단일 서브넷이 포함되어 있습니다. 애플리케이션 로드 밸런서는 각 가용성 도메인에서 웹 및 애플리케이션 VM 간의 트래픽을 관리합니다. 북쪽 허브 VCN에서 애플리케이션 로드 밸런서로의 트래픽은 동적 라우팅 게이트웨이를 통해 애플리케이션 로드 밸런서로 라우팅됩니다. Spoke 서브넷 대상 CIDR은 DRG를 통해 기본 서브넷 0.0.0.0/0(모든 주소)로 라우팅됩니다.