Diese Abbildung zeigt eine OCI-Region mit zwei Availability-Domains. Die Region umfasst drei virtuelle Cloud-Netzwerke (VCNs) in einer Hub-and-Spoke-Topologie, die über ein dynamisches Routinggateway (DRG) verbunden ist. Die VCNs sind als Funktionsschichten angeordnet.

Gesichertes VCN-A:
  • Umfasst ein Firewall-Subnetz für das Deployment der OCI Network Firewall. Sie müssen die erforderliche Firewallrichtlinie beim Start der Netzwerkfirewall-Erstellung hinzufügen.
Enthält die folgenden Kommunikationsgateways:
  • Internetgateway: Ermöglicht Workloads, eine Verbindung zum Internet herzustellen, und Sie können den Datenverkehr zur Netzwerkfirewall, die im Firewall-Subnetz zur Prüfung und zum Schutz verfügbar ist, weiterleiten.
  • Servicegateway: Ermöglicht Workloads, eine Verbindung zu Oracle Cloud Infrastructure Object Storage herzustellen, anderen Oracle-Services für die Region. Sie können Traffic an Network Firewall weiterleiten, die im Firewall-Subnetz für Prüfung und Schutz verfügbar ist.
  • Dynamisches Routinggateway: Verbindet das Data Center und die Geräte am Kunden über IPSec-VPN oder FastConnect, und Sie können den Datenverkehr zur Netzwerkfirewall weiterleiten, die im Firewall-Subnetz für Prüfung und Schutz verfügbar ist.
Zusätzliche Gateways können bereitgestellt werden:
  • NAT-Gateway: Mit dem NAT-Gateway können private Ressourcen in einem VCN auf Hosts im Internet zugreifen, ohne diese Ressourcen für eingehende Internetverbindungen verfügbar zu machen. Außerdem können Sie den Traffic zur Netzwerkfirewall weiterleiten, die im Firewall-Subnetz für Prüfung und Schutz verfügbar ist.

Stellen Sie sicher, dass symmetrische Routen innerhalb des gesicherten VCN-A verwendet werden, um sicherzustellen, dass Ingress und Egress über die Netzwerkfirewall demselben Pfad folgen.

Web- oder Anwendungs-Spoke Secured VCN-B: Das VCN enthält mindestens ein Subnetz. Ein Load Balancer verwaltet Traffic zwischen Web- oder Anwendungs-VMs in jeder Availability-Domain. Das gesicherte VCN-B ist über VCN-Anhang mit dem gesicherten VCN-A über DRG verbunden.

Database Spoke Secured VCN-C: Das VCN enthält ein einzelnes Subnetz. Ein primäres Datenbanksystem befindet sich in Availability-Domain 1, und ein Standby-Datenbanksystem befindet sich in Availability-Domain 2. Das gesicherte VCN-C ist über VCN-Anhang mit dem gesicherten VCN-A über DRG verbunden.