此图显示了通过 NAT 网关从受保护公共子网中的公共 VM 到 Internet 的南北出站流量。它包括一个安全 VCN,但同样,您可以具有多个安全 VCN。
受保护的 VCN (10.10.0.0/16) 包含以下组件:
- 防火墙子网 (10.10.1.0/24),其中包含网络防火墙和防火墙 IP 地址。确保防火墙子网位于公共子网中,因为我们正在保护公共子网负载。您仍可以使用相同的防火墙来保护东西南流量,但如果您要保护公共负载并希望使用 Internet 网关入站路由功能,则必须在公共子网中部署防火墙。
- 受保护的专用子网 (10.10.0.0/24),其中包括应用负载。我们在此子网中有一个具有 10.10.0.10 专用 IP 的 VM。
- 用于支持出站互联网连接的 NAT 网关。
- 路由表与防火墙子网、受保护的专用子网和 NAT 网关关联,确保流量通过网络防火墙进行路由。
使用 NAT 网关从虚拟机到互联网的南北流量如下:
- 从工作负载 VM (10.10.0.10) 传输到 Internet 目标 (8.8.8.8) 的流量通过受保护子网路由表(目标 0.0.0.0/0)进行路由。
- 来自受保护子网路由表的流量基于 Internet 目标转到网络防火墙的 IP 地址。
- 防火墙根据防火墙策略检查和保护流量。检测和保护后,流量通过防火墙子网路由表(目标 0.0.0.0/0)从防火墙 IP 地址退出。
- 防火墙子网路由表将流量发送到 NAT 网关和 Internet 目标。
- 返回流量来自 Internet 到 NAT 网关,遵循相同的路径,因为每个路由表都已就位对称路由。