Diese Abbildung zeigt den Ost-West-Verkehrsfluss von OCI Object Storage und anderen Oracle Services Network zur Webanwendung in einer regionalen Hub- und Spoke-Topologie, die eine VM Series-Firewall verwendet. Sie umfasst zwei virtuelle Cloud-Netzwerke (VCNs):
- Hub-VCN (192.168.0.0/16): Das Hub-VCN enthält die VM-Serie-Firewalls und den internen Netzwerk-Load Balancer. Das Trust-Subnetz verwendet vNIC2 für den internen Datenverkehr zur oder von der VM Series-Firewall. Diese Schnittstelle ist Teil des Backends des internen Netzwerk-Load Balancers. Das Hub-VCN kommuniziert mit Spoke-VCNs über ein dynamisches Routinggateway (DRG). Das Hub-VCN kommuniziert über ein Servicegateway mit OCI Object Storage.
- Web- oder Application Tier Spoke-VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zu den Web- oder Anwendungs-VMs. Das VCN der Anwendungsebene ist über das DRG mit dem Hub-VCN verbunden.
- Traffic, der von Object Storage in die Web- oder Anwendungs-VM (10.0.0.10) verschoben wird, wird über die Servicegateway-Routentabelle (Ziel 0.0.0.0/0) im Hub-VCN weitergeleitet.
- Traffic bewegt sich vom Servicegateway zu den VM Series-Firewalls im Trust-Subnetz über vNIC2 über den internen Netzwerk-Load Balancer. Je nach den verschiedenen Backends des Load Balancers durchläuft er eine der VM Series-Firewalls.
- Traffic von der VM Series-Firewall wird über die Trust-Subnetzroutentabelle weitergeleitet (Ziel 10.0.0.0/24). Die Firewall führt eine Quellübersetzung für das eingehende Paket durch, um sicherzustellen, dass sie die private IP-Adresse der vertrauenswürdigen Schnittstelle als Quellübersetzungsobjekt verwendet, sodass das Spoke-VCN (Web) Traffic von der Vertrauensschnittstelle der Firewalls sieht.
- Traffic wird von der Routentabelle des vertrauenswürdigen Subnetzes in das DRG verschoben.
- Traffic geht von DRG für das Web- oder Anwendungs-Tier Spoke-VCN aus.
- Traffic wird vom DRG-Web-VCN-Anhang zum Load Balancer für das Web oder die Anwendung verschoben.