이 이미지는 VM 시리즈 방화벽을 사용하는 영역에서 허브 VCN과 웹 또는 애플리케이션(스포크) VCN 간의 북쪽 인바운드 트래픽 플로우를 보여줍니다. OCI 지역에는 두 개의 가용성 도메인이 포함됩니다(&N). 이 영역에는 DRG(동적 라우팅 게이트웨이)에 의해 연결된 허브 VCN 및 단일 스포크 VCN(웹 또는 애플리케이션 계층)이 포함됩니다.

• 허브 VCN(192.168.0.0/16): 허브 VCN에는 각 가용성 도메인에 있는 VM 2개의 VM 시리즈 방화벽 가상 머신(VM) 클러스터가 내부 및 외부 가변 네트워크 로드 밸런서 사이의 샌드위치로 포함되어 있습니다. 허브 VCN에는 VM 시리즈 방화벽을 관리하는 관리 VM(파노라마)도 포함될 수 있습니다. 허브 VCN에는 네 개의 서브넷이 포함되어 있습니다.
  • 관리 서브넷, 신뢰 서브넷, 신뢰할 수 없는 서브넷 및 NLB 서브넷입니다. 관리 서브넷은 일반 사용자가 사용자 인터페이스에 연결할 수 있도록 기본 인터페이스(vNIC0)를 사용합니다.
  • 먼지 서브넷은 VM 시리즈 방화벽에 대한 외부 트래픽용 두번째 인터페이스(vNIC1)를 사용합니다.
  • 신뢰 서브넷은 VM 시리즈 방화벽에 대한 내부 트래픽을 위해 세번째 인터페이스(vNIC2)를 사용합니다.
  • NLB 서브넷을 사용하면 일반 사용자가 전용 또는 공용으로 유연한 네트워크 로드 밸런서를 생성할 수 있으므로 인터넷에서 온프레미스 및 인바운드 접속을 허용할 수 있습니다.
• 인바운드 트래픽은 외부 네트워크 로드 밸런서 공용 IP를 통해 외부 소스의 허브 VCN을 VM 시리즈 방화벽으로 전송합니다.
  • 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트의 트래픽은 외부 공용 네트워크 로드 밸런서로 라우팅된 다음 신뢰할 수 없는 인터페이스를 통해 VM 시리즈 방화벽 중 하나로 이동합니다. NLB 공용 로드 밸런서에는 외부에서 연결할 수 있는 공용 주소가 있습니다. 기본 경로 허용 대상 CIDR은 0.0.0.0/0(모든 주소)이며 먼지 서브넷 CIDR의 첫번째 호스트 IP 주소입니다.
  • DRG(동적 라우팅 게이트웨이): 고객 데이터 센터(172.16.0.0/12)의 트래픽은 외부 전용 로드 밸런서로 라우팅된 다음 신뢰할 수 없는 인터페이스를 통해 VM 시리즈 방화벽 중 하나로 이동합니다. DRG 대상 CIDR은 10.0.0.0/24 또는 10.0.1.0/24 또는 Spoke VCN입니다. DRG는 VCN 간의 통신도 지원합니다. 각 VCN에는 DRG에 대한 연결이 있습니다.
  • VM 시리즈 방화벽: 트래픽은 게이트웨이 VM 및 보안 서브넷을 통해 DRG로 라우팅됩니다. 소스 주소 변환은 신뢰 인터페이스 IP 주소를 사용하여 VM 시리즈 방화벽에서 수행됩니다. Spoke VCNs(10.0.0.0/24 또는 10.0.1.0/24 또는 애플리케이션 또는 데이터베이스의 Spoke VCN)와 연관된 신뢰 서브넷의 기본 대상 CIDR입니다. 이 주소는 보안 서브넷 CIDR에서 첫번째 호스트 IP 주소입니다.
  • DRG: 신뢰 서브넷에서 스포크 VCN으로의 트래픽은 DRG를 통해 라우팅됩니다.
    • 애플리케이션 또는 웹: 트래픽이 이 스포크 VCN으로 전송되는 경우 DRG 애플리케이션 또는 웹 VCN 연결 연결을 통해 라우팅됩니다.
    • 데이터베이스: 트래픽이 이 스포크 VCN으로 전송되는 경우 DRG 데이터베이스 VCN 연결 연결을 통해 라우팅됩니다.
• 웹 또는 애플리케이션 계층을 통해 VCN(10.0.0.0/24): VCN에 단일 서브넷이 포함되어 있습니다. 애플리케이션 로드 밸런서는 각 가용성 도메인에서 웹 및 애플리케이션 VM 간의 트래픽을 관리합니다. 허브 VCN에서 애플리케이션 로드 밸런서로의 트래픽은 DRG를 통해 애플리케이션 로드 밸런서로 라우팅됩니다. Spoke 서브넷 대상 CIDR은 DRG를 통해 기본 서브넷 0.0.0.0/0(모든 주소)로 라우팅됩니다.