Diese Abbildung zeigt den ausgehenden Nord-Süd-Trafficfluss vom Web- oder Anwendungs-(Spoke-)VCN über das Hub-VCN in einer Region, die eine VM-Serie-Firewall verwendet.

Die  OCI-Region umfasst zwei Availability-Domains. Die Region enthält ein Hub-VCN und ein einzelnes Spoke-VCN (Web- oder Anwendungsebene), die über dynamische Routinggateway-(DRG-)Anhänge verbunden sind.
  • Spoke-VCN (Web oder Anwendung) (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zwischen den Web- oder Anwendungs-VMs in jeder Availability-Domain. Ausgehender Traffic vom Anwendungs-Load Balancer zum Hub-VCN wird über das dynamische Routinggateway (DRG) weitergeleitet. Das CIDR des Spoke-Subnetzziels ist 0.0.0.0/0 (alle Adressen) über das DRG.
  • Hub-VCN (192.168.0.0/16): Das Hub-VCN enthält ein Cluster mit zwei VMs (VMs) mit einer VM in jeder Availability-Domain als Sandwich zwischen internem und externem flexiblen Netzwerk-Load Balancer (NLB). Das Hub-VCN kann auch eine Management-VM (Panorama) zur Verwaltung von VM-Serie-Firewalls enthalten. Das Hub-VCN umfasst vier Subnetze:
    • Ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein NLB-Subnetz. Das Management-Subnetz verwendet die primäre Schnittstelle (vNIC0), damit Endbenutzer eine Verbindung zur Benutzeroberfläche herstellen können.
    • Das nicht vertrauenswürdige Subnetz verwendet die zweite Schnittstelle (vNIC1) für externen Datenverkehr zur oder von der VM Series-Firewall.
    • Das Trust-Subnetz verwendet die dritte Schnittstelle (vNIC2) für den internen Datenverkehr zur oder von der VM Series-Firewall.
    • Mit dem NLB-Subnetz können Endbenutzer einen privaten oder öffentlichen flexiblen Netzwerk-Load Balancer erstellen, der eine lokale und eingehende Verbindung über das Internet ermöglicht.
Ausgehender Traffic vom Spoke-VCN (Web oder Anwendung) tritt in den internen Netzwerk-Load Balancer des Hub-VCN ein, der den Traffic an die Firewallvertrauensschnittstellen der VM-Serie sendet und dann über das nicht vertrauenswürdige Subnetz an externe Ziele hinaus.
  • Firewall der VM-Serie: Der Traffic vom DRG wird über den internen Netzwerk-Load Balancer zu den Firewall-Trust-Schnittstellen der VM-Serie über das Trust-Subnetz über die Hub-VCN-Gateways zu externen Zielen weitergeleitet. Die Quellübersetzung erfolgt hier mit der privaten IP-Adresse der nicht vertrauenswürdigen Schnittstelle auf jeder Firewall zur Unterstützung des ausgehenden Datenverkehrs.
  • Internetgateway: Der Traffic zum Internet und externe Webclients werden über ein Internetgateway weitergeleitet. Das nicht vertrauenswürdige Subnetzziel-CIDR für das Internetgateway ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routinggateway: Der Traffic zum Kunden-Data Center wird über ein DRG weitergeleitet. Das nicht vertrauenswürdige Subnetzziel-CIDR für das dynamische Routinggateway ist 172.16.0.0/12. DRG wird auch zur Unterstützung der Kommunikation zwischen VCNs verwendet. Jedes VCN verfügt über einen Anhang zu einem DRG.