此图显示了包含两个可用性域的 an OCI 区域。该区域包含四个虚拟云网络 (virtual cloud network, VCN),位于由动态路由网关 (dynamic Routing Gateway, DRG) 连接的集线器和拓扑中。VCN 作为功能层进行排列。
- 北极 VCN:北极管 VCN 包含一组可伸缩的检查点 CloudGuard 防火墙虚拟机 (VM),每个可用性域中有一个 VM。北方集线器 VCN 还包括检查点安全管理服务器平台,用于管理检查点 CloudGuard 网络安全网关。北方集线器 VCN 包括三个子网:前端子网、后端子网和网络负载平衡器子网。
- 前端子网使用主接口 (vNIC1) 来传入或传出检查点 CloudGuard 网络安全网关的入站 Internet 通信。
- 后端子网使用第二个接口 (vNIC2) 来表示到检查点 CloudGuard 网络安全网关的内部流量。
- 通过网络负载平衡器子网,最终用户可以创建专用或公共灵活的网络负载平衡器,从而从互联网进行内部部署和入站连接。
- Internet 网关:通过前端子网,将 Internet 和外部 Web 客户端连接到可用性域 1 中的检查点 CloudGuard 网络安全网关。
- 动态路由网关:通过 IPSec VPN 或 FastConnect 将客户数据中心和客户终端设备连接到可用性域 1 中的检查点 CloudGuard 网络安全网关(通过前端子网)。DRG 还支持 VCN 之间的通信。每个 VCN 都具有一个 DRG 附件。
- 北方集线器 VCN 包括以下灵活的网络负载平衡器:
- 外部网络负载平衡器
- 公共负载平衡器还具有检查点 CloudGuard 网络安全网关的前端接口。Internet 流量使用 Internet 网关连接到此负载平衡器。
- 南集线器 VCN:南集线器 VCN 包含一个高可用性集群,该集群包含两个检查点 CloudGuard 网络安全 VM,每个可用性域中有一个 VM。南集线器 VCN 防火墙 VM 由部署在北集线器 VCN 中的 Check Point Security Management Server 管理。集线器 VCN 包括前端子网和后端子网。
- 前端子网使用主接口 (vNIC1) 进行到检查点 CloudGuard 网络安全网关的入站 /Internet 通信。
- 后端子网使用第二个接口 (vNIC2) 来表示到检查点 CloudGuard 网络安全网关的内部流量。
- Internet 网关:将 Internet 和外部 Web 客户端连接到可用性域 1 到前端子网中的检查点 CloudGuard 网络安全网关。
- 动态路由网关:作为附件连接到 DRG,以支持由检查点 CloudGuard 网络安全网关检查的来自请求 VCN 的入站流量。