Diese Abbildung zeigt den Ost-West-Verkehrsfluss von der Datenbank zum Web oder zur Anwendung in einer regionalen Hub- und Spoke-Topologie, die eine VM Series-Firewall verwendet. Sie umfasst drei virtuelle Cloud-Netzwerke (VCNs): Hub-VCN (192.168.0.0/16):
  • Das Hub-VCN enthält die Firewalls der VM-Serie. Das Trust-Subnetz verwendet vNIC2 für den internen Datenverkehr zur oder von der VM Series-Firewall. Das Hub-VCN kommuniziert mit Spoke-VCNs über ein dynamisches Routinggateway (DRG).
  • Web- oder Application Tier Spoke-VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Load Balancer verwaltet Datenverkehr zu den Web- oder Anwendungs-VMs. Das VCN der Anwendungsebene ist über das DRG mit dem Hub-VCN verbunden.
  • Datenbank-Tier Spoke-VCN (10.0.1.0/24): Das VCN enthält ein einzelnes Subnetz, das das primäre Datenbanksystem enthält. Das VCN der Datenbankebene ist über das DRG mit dem Hub-VCN verbunden.
Ost-West-Verkehrsflüsse von der Datenbank in das Web oder die Anwendung in den folgenden Schritten:
  1. Traffic, der von der Datenbankebene zum Web- oder Anwendungs-Load Balancer (10.0.0.10) verschoben wird, wird über die Routentabelle des Datenbank-Subnetzes (Ziel 0.0.0.0/0) weitergeleitet.
  2. Traffic wird von der Routentabelle des Datenbanksubnetzes in das DRG für das Spoke-VCN der Datenbankebene verschoben.
  3. Traffic wird vom DRG über die Ingress-Routentabelle des Hub-VCN zu VM Series-Firewall-VMs mit dem internen Netzwerk-Load Balancer verschoben. Der Netzwerk-Load Balancer verfügt über mehr als ein Backend, das auf vertrauenswürdige Schnittstellen (vNIC2) der VM Series-Firewall verweist.
  4. Der Traffic von der VM Series-Firewall wird über die Routentabelle des vertrauenswürdigen Subnetzes (Ziel 10.0.0.0/16) weitergeleitet. Die Firewall führt eine Quellübersetzung für eingehende Pakete durch, um sicherzustellen, dass sie die private IP-Adresse der Vertrauensschnittstelle als Quellübersetzungsobjekt verwendet, sodass das Spoke-VCN (Web) Traffic von der Vertrauensschnittstelle der Firewalls sieht.
  5. Traffic wird von der Routentabelle des Trust-Subnetzes zum DRG für das Web-Spoke-VCN verschoben.
  6. Traffic wird vom DRG für das Web, die Anwendung oder den Load Balancer für das Web oder die Anwendung über den Web-Spoke-VCN-Anhang verschoben.