此图显示了使用 Check Point CloudGuard Network Security 网关的区域中的北端 VCN 和 Web 或应用程序 (分布式) VCN 之间的流量流量。 OCI 区域包含两个可用性域。该区域包含一个北极 VCN 和一个通过动态路由网关 (DRG) 连接的分支 VCN(Web 或应用程序层)。
- 北中心 VCN (10.1.0.0/16):北中心 VCN 包含由两个检查点 CloudGuard 网络安全网关虚拟机 (Network Security gateways virtual machine, VM) 构成的集群,每个可用性域中有一个 VM。北方集线器 VCN 还包括检查点安全管理服务器平台,用于管理检查点 CloudGuard 网络安全网关。北方集线器 VCN 包括三个子网:前端子网、后端子网和网络负载平衡器子网。
- 前端子网使用主接口 (vNIC1) 来传入或传出检查点 CloudGuard 网络安全网关的入站 Internet 通信。
- 后端子网使用第二个接口 (vNIC2) 来表示到检查点 CloudGuard 网络安全网关的内部流量。
- 通过网络负载平衡器子网,最终用户可以创建专用或公共灵活的网络负载平衡器,从而从互联网进行内部部署和入站连接。
- Internet 网关:来自 Internet 和外部 Web 客户端的流量路由到外部公共网络负载平衡器,然后进入检查点 CloudGuard 网络安全网关之一。网络负载平衡器具有公共地址,您可以从外部进行连接。默认路由允许目标 CIDR 为 0.0.0.0/0(所有地址)和外部子网 CIDR 中的第一个主机 IP 地址。
- 检查点 CloudGuard 网络安全网关中的一个检查点检查流量,您需要配置源 NAT,以便防火墙中存在的流量具有防火墙接口的后端接口 IP 地址。目标是您要向其发送流量的分支 VCN VM 和负载平衡器。
- 根据后端路由表,流量将转至 DRG,因为请求中的 VCN 具有 DRG 附件。
- DRG:从内部子网到请求 VCN 的流量通过 DRG 进行路由。
- 应用程序或 Web:如果流量定向到此请求 VCN,则通过 DRG 应用程序或 Web VCN 连接连接进行路由。
- 数据库:如果流量定向到此请求中的 VCN,则通过 DRG 数据库 VCN 连接连接进行路由。
- Web 或应用程序层占用了 VCN (10.0.0.0/24):VCN 包含单个子网。应用程序负载平衡器管理每个可用性域中 Web 和应用程序 VM 之间的流量。从北向中心 VCN 到应用负载平衡器的流量通过动态路由网关路由到应用负载平衡器。话题子网目标 CIDR 将作为默认子网 0.0.0.0/0(所有地址)通过 DRG 进行路由。