Diese Abbildung zeigt eine  OCI-Region mit zwei Availability-Domains. Die Region umfasst drei virtuelle Cloud-Netzwerke (VCNs) in einer Hub-and-Spoke-Topologie, die über das dynamische Routinggateway (DRG) verbunden ist. Die VCNs sind als funktionale Schichten angeordnet.
  • Hub-VCN: Das Hub-VCN enthält ein Cluster aus zwei VMs (VMs) mit einer VM in jeder Availability-Domain als Sandwich zwischen internem und externem flexiblen Netzwerk-Load Balancer. Das Hub-VCN kann auch Management-VM (Panorama) zur Verwaltung von VM-Serie-Firewalls enthalten. Das Hub-VCN umfasst vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein Network Load Balancer-(NLB-)Subnetz.
    • Das Management-Subnetz verwendet die primäre Schnittstelle (vNIC0), damit Endbenutzer eine Verbindung zur Benutzeroberfläche herstellen können.
    • Das nicht vertrauenswürdige Subnetz verwendet die zweite Schnittstelle (vNIC1) für externen Datenverkehr zur oder von der VM Series-Firewall.
    • Das Trust-Subnetz verwendet die dritte Schnittstelle (vNIC2) für den internen Datenverkehr zur oder von der VM Series-Firewall.
    • Mit dem NLB-Subnetz können Endbenutzer einen privaten oder öffentlichen flexiblen Netzwerk-Load Balancer erstellen, der eine On-Premise- und eingehende Verbindung über das Internet ermöglicht.
    Das Hub-VCN umfasst die folgenden Kommunikationsgateways:
    • Internetgateway: Verbindet Internet- und externe Webclients mit der VM Series-Firewall in Availability-Domain 1 über das nicht vertrauenswürdige Subnetz.
    • Dynamisches Routinggateway (DRG): Verbindet das Kunden-Data Center und die Kundenstandortgeräte über IPSec-VPN oder FastConnect mit der VM-Serie in Availability-Domain 1 über das nicht vertrauenswürdige Subnetz. Das DRG unterstützt auch die Kommunikation zwischen VCNs. Jedes VCN verfügt über einen Anhang zum DRG.
    • Servicegateway: Verbindet das Hub-VCN mit OCI Object Storage und andere Oracle-Services für die Region.
    Das Hub-VCN umfasst die folgenden flexiblen Netzwerk-Load Balancer:
    • Externer Netzwerk-Load Balancer
      • Der private Load Balancer verfügt über nicht vertrauenswürdige Schnittstellen von VM Series-Firewalls. Die On-Premise-Verbindung zu diesem Load Balancer wird über das DRG hergestellt.
      • Der öffentliche Load Balancer verfügt auch über nicht vertrauenswürdige Schnittstellen von VM Series-Firewalls. Internettraffic wird über ein Internetgateway mit diesem Load Balancer verbunden.
    • Der interne Netzwerk-Load Balancer verfügt über vertrauenswürdige Schnittstellen von VM Series-Firewalls. Der Traffic zu und von den Spoke-VCNs stellt mit einem DRG eine Verbindung zu diesem Load Balancer her.
  • Web- oder Application Spoke-VCN: Das VCN enthält mindestens ein einzelnes Subnetz. Ein Load Balancer verwaltet Datenverkehr zwischen Web- oder Anwendungs-VMs in jeder Availability-Domain. Das VCN der Anwendungsebene ist über DRG mit dem Hub-VCN verbunden.
  • Datenbank-Spoke-VCN: Das VCN enthält ein einzelnes Subnetz. Ein primäres Datenbanksystem befindet sich in Availability-Domain 1, und ein Standby-Datenbanksystem befindet sich in Availability-Domain 2. Das VCN auf Datenbankebene ist über DRG mit dem Hub-VCN verbunden.