Diese Abbildung zeigt den Ost-West-Verkehrsfluss vom Web oder der Anwendung zur Datenbank in einer regionalen Hub- und Spoke-Topologie, die eine VM Series-Firewall verwendet. Sie umfasst drei virtuelle Cloud-Netzwerke (VCNs):
  • Hub-VCN (192.168.0.0/16): Das Hub-VCN enthält die Firewalls der VM-Serie. Das Trust-Subnetz verwendet vNIC2 für den internen Datenverkehr zur oder von der VM Series-Firewall. Das Hub-VCN kommuniziert mit Spoke-VCNs über ein dynamisches Routinggateway (DRG).
  • Web- oder Application Tier Spoke-VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zu den Web- oder Anwendungs-VMs. Das VCN der Anwendungsebene ist über das dynamische Routinggateway mit dem Hub-VCN verbunden.
  • Datenbank-Tier Spoke-VCN (10.0.1.0/24): Das VCN enthält ein einzelnes Subnetz, das das primäre Datenbanksystem enthält. Das VCN der Datenbankebene ist über das DRG mit dem Hub-VCN verbunden.
Ostwestlicher Verkehrsfluss vom Web oder der Anwendung zur Datenbank:
  1. Datenverkehr, der von der Web- oder Anwendungsebene auf die Datenbankebene (10.0.1.10) verschoben wird, wird über die Routentabelle des Web- oder Anwendungssubnetzes (Ziel 0.0.0.0/0) weitergeleitet.
  2. Traffic wird von der Routentabelle des Web- oder Anwendungssubnetzes in das DRG für das Spoke-VCN der Datenbankebene verschoben.
  3. Traffic wird mit dem internen Netzwerk-Load Balancer vom DRG nach Hub-VCN-Ingress-Routentabelle zu den VM Series-Firewall-VMs verschoben. Der Netzwerk-Load Balancer verfügt über mehr als ein Backend, das auf die Vertrauensschnittstellen (vNIC2) der VM Series-Firewall verweist.
  4. Traffic von der VM Series-Firewall wird über die Trust-Subnetzroutentabelle geleitet (Ziel: 10.0.1.0/24). Die Firewall führt eine Quellübersetzung im eingehenden Paket durch, um sicherzustellen, dass sie die private IP-Adresse der Vertrauensschnittstelle als Quellübersetzungsobjekt verwendet, sodass das Spoke-VCN (Datenbank) Traffic von der Vertrauensschnittstelle der Firewalls erkennt.
  5. Traffic wird von der Routentabelle des vertrauenswürdigen Subnetzes in das DRG für das Datenbank-Spoke-VCN verschoben.
  6. Traffic wird vom DRG für das Datenbanksystem durch den Spoke-VCN-Anhang der Datenbank verschoben.