이 이미지는 VM 시리즈 방화벽을 사용하는 지역에서 웹 또는 애플리케이션(스포크) VCN이 허브 VCN을 통해 북쪽 아웃바운드 트래픽 플로우를 보여줍니다.
OCI 지역에는 두 개의 가용성 도메인이 포함됩니다(&N). 이 영역에는 DRG(동적 라우팅 게이트웨이) 연결이 연결된 허브 VCN 및 단일 스포크 VCN(웹 또는 애플리케이션 계층)이 포함되어 있습니다.
- Spoke(웹 또는 애플리케이션) VCN(10.0.0.0/24): VCN에 단일 서브넷이 포함되어 있습니다. 애플리케이션 로드 밸런서는 각 가용성 도메인에서 웹 또는 애플리케이션 VM 간의 트래픽을 관리합니다. 애플리케이션 로드 밸런서에서 허브 VCN으로의 아웃바운드 트래픽은 DRG(동적 라우팅 게이트웨이)를 통해 라우팅됩니다. 스포크 서브넷 대상 CIDR은 DRG를 통해 0.0.0.0/0(모든 주소)입니다.
- 허브 VCN(192.168.0.0/16): 허브 VCN에는 각 가용성 도메인에 있는 VM 2개의 VM 시리즈 방화벽 가상 머신(VM) 클러스터가 포함되며 내부 및 외부 가변 네트워크 로드 밸런서(NLB) 사이의 샌드위치로 포함됩니다. 허브 VCN에는 VM 시리즈 방화벽을 관리하는 관리 VM(파노라마)도 포함될 수 있습니다. 허브 VCN에는 네 개의 서브넷이 포함되어 있습니다.
- 관리 서브넷, 신뢰 서브넷, 신뢰할 수 없는 서브넷 및 NLB 서브넷입니다. 관리 서브넷은 일반 사용자가 사용자 인터페이스에 연결할 수 있도록 기본 인터페이스(vNIC0)를 사용합니다.
- 먼지 서브넷은 VM 시리즈 방화벽에 대한 외부 트래픽용 두번째 인터페이스(vNIC1)를 사용합니다.
- 신뢰 서브넷은 VM 시리즈 방화벽에 대한 내부 트래픽을 위해 세번째 인터페이스(vNIC2)를 사용합니다.
- NLB 서브넷을 사용하면 일반 사용자가 전용 또는 공용으로 유연한 네트워크 로드 밸런서를 생성할 수 있으므로 인터넷에서 온프레미스 및 인바운드 접속을 허용할 수 있습니다.
- VM 시리즈 방화벽: DRG의 트래픽은 내부 네트워크 로드 밸런서를 통해 VM 시리즈 방화벽 신뢰 인터페이스로 라우팅됩니다. 허브 VCN 게이트웨이를 통해 외부 대상으로 전송합니다. 소스 번역은 아웃바운드 트래픽을 지원하기 위해 각 방화벽의 안정적인 인터페이스 전용 IP를 사용하여 수행됩니다.
- 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트에 대한 트래픽은 인터넷 게이트웨이를 통해 라우팅됩니다. 인터넷 게이트웨이에 대한 먼지 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소)입니다.
- 동적 라우팅 게이트웨이: 고객 데이터 센터에 대한 트래픽은 DRG를 통해 라우팅됩니다. 동적 경로 지정 게이트웨이에 대한 신뢰할 수 없는 서브넷 대상 CIDR은 172.16.0.0/12입니다. DRG는 VCN 간의 통신을 지원하는 데도 사용됩니다. 각 VCN에는 DRG에 대한 연결이 있습니다.