Diese Abbildung zeigt den eingehenden Nord-Süd-Trafficfluss zwischen dem Hub-VCN und dem Web- oder Anwendungs-(Spoke-)VCN in einer Region, die Firewalls der VM-Serie verwendet. Die  OCI-Region umfasst zwei Availability-Domains. Die Region enthält ein Hub-VCN und ein einzelnes Spoke-VCN (Web- oder Anwendungsebene), die über das dynamische Routinggateway (DRG) verbunden sind.
  • Hub-VCN (192.168.0.0/16): Das Hub-VCN enthält ein Cluster mit zwei VMs (VMs) mit einer VM in jeder Availability-Domain als Sandwich zwischen internem und externem flexiblen Netzwerk-Load Balancer. Das Hub-VCN kann auch eine Management-VM (Panorama) zur Verwaltung von VM-Serie-Firewalls enthalten. Das Hub-VCN umfasst vier Subnetze:
    • Ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein NLB-Subnetz. Das Management-Subnetz verwendet die primäre Schnittstelle (vNIC0), damit Endbenutzer eine Verbindung zur Benutzeroberfläche herstellen können.
    • Das nicht vertrauenswürdige Subnetz verwendet die zweite Schnittstelle (vNIC1) für externen Datenverkehr zur oder von der VM Series-Firewall.
    • Das Trust-Subnetz verwendet die dritte Schnittstelle (vNIC2) für den internen Datenverkehr zur oder von der VM Series-Firewall.
    • Mit dem NLB-Subnetz können Endbenutzer einen privaten oder öffentlichen flexiblen Netzwerk-Load Balancer erstellen, der eine On-Premise- und eingehende Verbindung über das Internet ermöglicht.
  • Eingehender Traffic tritt vom Hub-VCN aus externen Quellen über die öffentliche IP des externen Netzwerk-Load Balancers an die VM Series-Firewalls ein:
    • Internetgateway: Traffic aus dem Internet und externen Webclients wird an den externen öffentlichen Netzwerk-Load Balancer weitergeleitet und dann über die nicht vertrauenswürdigen Schnittstellen zu einer der VM Series-Firewalls weitergeleitet. Der öffentliche NLB-Load Balancer hat eine öffentliche Adresse, mit der Sie eine Verbindung von außen herstellen können. Das CIDR für die Standardroute "Ziel zulassen" ist 0.0.0.0/0 (alle Adressen) und die erste Host-IP-Adresse im CIDR des nicht vertrauenswürdigen Subnetzes.
    • Dynamisches Routinggateway (DRG): Traffic vom Kunden-Data Center (172.16.0.0/12) wird an einen externen privaten Load Balancer weitergeleitet und dann über die Untrust-Schnittstelle zu einem der VM Series-Firewalls weitergeleitet. Das DRG-Ziel-CIDR ist 10.0.0.0/24 oder 10.0.1.0/24 oder die Spoke-VCNs. Das DRG unterstützt auch die Kommunikation zwischen VCNs. Jedes VCN verfügt über einen Anhang zum DRG.
    • VM-Serie-Firewall: Traffic wird über die Gateway-VM und das Trust-Subnetz zum DRG weitergeleitet. Die Übersetzung der Quelladresse erfolgt in der VM Series-Firewall mit der IP-Adresse der Vertrauensschnittstelle. Das Standardziel-CIDR für das Trust-Subnetz, das mit Spoke-VCNs verknüpft ist (10.0.0.0/24 oder 10.0.1.0/24 oder den Spoke-VCNs für Anwendungen oder Datenbanken. Diese Adresse ist die erste Host-IP-Adresse im CIDR des Trust-Subnetzes.
    • DRG: Traffic vom Trustesubnetz zum Spoke-VCN wird über das DRG weitergeleitet.
      • Anwendung oder Web: Wenn der Traffic für dieses Spoke-VCN bestimmt ist, wird er über die DRG-Anwendung oder die Web-VCN-Anhangverbindung weitergeleitet.
      • Datenbank: Wenn Traffic zu diesem Spoke-VCN bestimmt ist, wird er über die VCN-Anhangverbindung der DRG-Datenbank weitergeleitet.
  • Web- oder Application Tier Spoke-VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zwischen Web- und Anwendungs-VMs in jeder Availability-Domain. Traffic vom Hub-VCN zum Anwendungs-Load Balancer wird über das DRG an den Anwendungs-Load Balancer weitergeleitet. Das CIDR des Spoke-Subnetzziels wird über das DRG als Standard-Subnetz 0.0.0.0/0 (alle Adressen) weitergeleitet.