Diese Abbildung zeigt den Ost-West-Verkehrsfluss vom Web oder der Anwendung zur Datenbank in einer regionalen Hub- und Spoke-Topologie, die eine Cisco Threat Defense-Firewall verwendet.
Sie umfasst drei virtuelle Cloud-Netzwerke (VCNs):
- Hub-VCN (192.168.0.0/16): Das Hub-VCN enthält die Cisco Threat Defense-Firewall. Das innere Subnetz verwendet Gig0/0 für den internen Datenverkehr zur oder von der Cisco Threat Defense-Firewall. Das Hub-VCN kommuniziert über das dynamische Routinggateway mit Spoke-VCNs.
- Web- oder Application Tier Spoke-VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zu den Web- oder Anwendungs-VMs. Das VCN der Anwendungsebene ist über das dynamische Routinggateway mit dem Hub-VCN verbunden.
- Datenbank-Tier Spoke-VCN (10.0.1.0/24): Das VCN enthält ein einzelnes Subnetz, das das primäre Datenbanksystem enthält. Das VCN auf Datenbankebene ist über das dynamische Routinggateway mit dem Hub-VCN verbunden.
- Datenverkehr, der von der Web- oder Anwendungsebene auf die Datenbankebene (10.0.1.10) verschoben wird, wird über die Routentabelle des Web- oder Anwendungssubnetzes (Ziel 0.0.0.0/0) weitergeleitet.
- Traffic wird von der Routentabelle des Web- oder Anwendungssubnetzes in das DRG für das Spoke-VCN der Datenbankebene verschoben.
- Traffic bewegt sich vom DRG über die Hub-VCN-Ingress-Routentabelle zu den Cisco Threat Defense-Firewall-VMs mit internem Netzwerk-Load Balancer. Der Netzwerk-Load Balancer verfügt über mehrere Backends, die auf interne Schnittstellen (Gig0/0) der VM Series-Firewall zeigen.
- Traffic von der Cisco Threat Defense-Firewall wird durch die Routentabelle des inneren Subnetzes geleitet (Ziel: 10.0.1.0/24).
- Traffic wird von der Routentabelle des inneren Subnetzes in das DRG für das Datenbank-Spoke-VCN verschoben.
- Traffic wird vom DRG für das Datenbanksystem über den Spoke-VCN-Anhang der Datenbank verschoben.