Diese Abbildung zeigt den Ost-West-Verkehrsfluss von der Datenbank zum Web oder zur Anwendung in einer regionalen Hub- und Spoke-Topologie, die eine Cisco Threat Defense-Firewall verwendet. Sie umfasst drei virtuelle Cloud-Netzwerke (VCNs):
- Hub-VCN (192.168.0.0/16): Das Hub-VCN enthält die Cisco Threat Defense-Firewalls. Das innere Subnetz verwendet Gig0/0 für den internen Datenverkehr zur oder von der Cisco Threat Defense-Firewall. Das Hub-VCN kommuniziert über das dynamische Routinggateway mit Spoke-VCNs.
- Web- oder Application Tier Spoke-VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Load Balancer verwaltet Datenverkehr zu den Web- oder Anwendungs-VMs. Das VCN der Anwendungsebene ist über das dynamische Routinggateway mit dem Hub-VCN verbunden.
- Datenbank-Tier Spoke-VCN (10.0.1.0/24): Das VCN enthält ein einzelnes Subnetz, das das primäre Datenbanksystem enthält. Das VCN auf Datenbankebene ist über das dynamische Routinggateway mit dem Hub-VCN verbunden.
- Traffic, der von der Datenbankebene zum Web- oder Anwendungs-Load Balancer (10.0.0.10) verschoben wird, wird über die Routentabelle des Datenbank-Subnetzes (Ziel 0.0.0.0/0) weitergeleitet.
- Traffic wird von der Routentabelle des Datenbanksubnetzes in das DRG für das Spoke-VCN der Datenbankebene verschoben.
- Traffic bewegt sich vom DRG über die Hub-VCN-Ingress-Routentabelle zu Cisco Threat Defense-Firewall-VMs mit internem Netzwerk-Load Balancer. Der Netzwerk-Load Balancer enthält mehr als ein Backend, das auf interne Schnittstellen (Gig0/0) der Threat Defense-Firewall verweist.
- Traffic von der Cisco Threat Defense-Firewall wird durch die Routentabelle des inneren Subnetzes (Ziel 10.0.0.0/16) geleitet.
- Traffic wird von der Routentabelle des inneren Subnetzes in das DRG für das Web-Spoke-VCN verschoben.
- Traffic wird vom DRG für das Web, die Anwendung oder den Load Balancer für das Web oder die Anwendung über den Web-Spoke-VCN-Anhang verschoben.