이 이미지는 체크포인트 CloudGuard 네트워크 보안 게이트웨이 클러스터를 사용하는 영역의 웹 또는 애플리케이션(스포크) VCN에서 허브 VCN을 통과하는 북쪽 아웃바운드 트래픽 플로우를 보여줍니다.
OCI 지역에는 두 개의 가용성 도메인이 포함됩니다(&N). 이 영역에는 DRG(동적 라우팅 게이트웨이) 연결이 연결된 남쪽 허브 VCN 및 단일 스포크 VCN(웹 또는 애플리케이션 계층)이 포함됩니다.
- Spoke(웹 또는 애플리케이션) VCN(10.0.0.0/24): VCN에 단일 서브넷이 포함되어 있습니다. 애플리케이션 로드 밸런서는 각 가용성 도메인에서 웹 또는 애플리케이션 VM 간의 트래픽을 관리합니다. 애플리케이션 로드 밸런서에서 남부 허브 VCN으로 향하는 아웃바운드 트래픽은 DRG를 통해 라우팅됩니다. 스포크 서브넷 대상 CIDR은 DRG를 통해 0.0.0.0/0(모든 주소)입니다.
- South hub VCN(192.168.0.0/16): 남쪽 허브 VCN에는 각 가용성 도메인에 하나의 VM이 있는 두 개의 체크포인트 CloudGuard VM(네트워크 보안 게이트웨이 가상 머신)의 고가용성 클러스터가 포함되어 있습니다.
- 남쪽 허브 VCN에는 두 개의 서브넷이 포함되어 있습니다.
- 프론트엔드 서브넷 및 백엔드 서브넷입니다. 프론트 엔드 서브넷은 기본 인터페이스(vNIC1)를 사용하여 일반 사용자가 이 서브넷을 통해 사용자 인터페이스에 연결하고 아웃바운드 트래픽을 지원할 수 있습니다.
- 백엔드 서브넷은 체크포인트 CloudGuard 네트워크 보안 게이트웨이에 대한 내부 트래픽의 경우 보조 인터페이스 vNIC2를 사용합니다.
- CloudGuard 네트워크 보안 게이트웨이 백엔드 인터페이스를 확인한 다음 프론트엔드 서브넷에서 외부 대상으로 전송합니다. 체크포인트 CloudGuard 네트워크 보안 게이트웨이: DRG의 트래픽은 vNIC2의 보조 가상 IP(VIP)를 통해 백엔드 서브넷을 통해 활성 체크포인트 CloudGuard 네트워크 보안 게이트웨이 백엔드 인터페이스와 남쪽 허브 VCN 게이트웨이를 외부 대상으로 라우팅됩니다.
- 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트에 대한 트래픽은 인터넷 게이트웨이를 통해 라우팅됩니다. 인터넷 게이트웨이의 프론트 엔드 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소)입니다.
- 동적 라우팅 게이트웨이: 고객 데이터 센터 및 VCN 간 트래픽은 동적 라우팅 게이트웨이를 통해 라우팅됩니다. 동적 경로 지정 게이트웨이에 대한 프론트 엔드 서브넷 대상 CIDR은 172.16.0.0/12입니다. DRG는 VCN 간의 통신도 지원합니다. 각 VCN에는 DRG에 대한 연결이 있습니다.