En esta imagen se muestra el flujo de tráfico entrante entre la VCN de hub y la VCN web o de aplicación (habla) en una región que utiliza firewalls de serie de VM. La región  OCI incluye dos dominios de disponibilidad. La región contiene una VCN de hub y una VCN radial única (nivel web o de aplicación) conectada por el gateway de enrutamiento dinámico (DRG).
  • VCN de hub (192.168.0.0/16): la VCN de hub contiene un cluster de dos máquinas virtuales (VM) de firewall de serie VM con una VM en cada uno de los dominios de disponibilidad como un sándwich entre el equilibrador de carga de red flexible interno y externo. La VCN de hub también puede incluir una máquina virtual de gestión (Panorama) para gestionar los firewalls de VM Series. La VCN de hub incluye cuatro subredes:
    • Una subred de gestión, una subred de confianza, una subred que no es de confianza y una subred de NLB. La subred de gestión utiliza la interfaz principal (vNIC0) para permitir que los usuarios finales se conecten a la interfaz de usuario.
    • La subred que no es de confianza utiliza la segunda interfaz (vNIC1) para el tráfico externo hacia o desde el firewall de la serie VM.
    • La subred de confianza utiliza la tercera interfaz (vNIC2) para el tráfico interno hacia o desde el firewall de la serie VM.
    • La subred de NLB permite al usuario final crear un equilibrador de carga de red flexible público o privado, que permite la conexión local y entrante desde Internet.
  • El tráfico entrante entra en la VCN de hub desde fuentes externas a través de la IP pública del equilibrador de carga de red externo a los firewalls de la serie VM:
    • Gateway de Internet: el tráfico de clientes web externos e Internet se dirige al equilibrador de carga de red pública externo y, a continuación, pasa a uno de los firewalls de la serie VM a través de las interfaces que no son de confianza. El equilibrador de carga público de NLB tiene una dirección pública, que permite conectarse desde el exterior. La ruta predeterminada permite el CIDR de destino es 0.0.0.0/0 (todas las direcciones) y la primera dirección IP del host en el CIDR de la subred de desconfianza.
    • Gateway de direccionamiento dinámico (DRG): el tráfico del centro de datos del cliente (172.16.0.0/12) se enruta al equilibrador de carga privado externo y, a continuación, pasa a uno de los firewalls de la serie VM a través de la interfaz sin confianza. El CIDR de destino de DRG es 10.0.0.0/24 o 10.0.1.0/24 o las VCN del radio. El DRG también admite la comunicación entre las VCN. Cada VCN tiene una asociación al DRG.
    • Firewall de serie de VM: el tráfico se enruta a través de la VM de gateway y la subred de confianza al DRG. La traducción de direcciones de origen se realiza en el firewall de la serie VM, mediante la dirección IP de la interfaz de confianza. CIDR de destino por defecto para la subred de confianza asociada con las VCN del radio (10.0.0.0/24 o 10.0.1.0/24 o las VCN del radio para la aplicación o la base de datos. Esta dirección es la primera dirección IP de host en el CIDR de la subred de confianza.
    • DRG: el tráfico de la subred de confianza a la VCN radial se enruta a través del DRG.
      • Aplicación o web: si el tráfico está destinado a esta VCN radial, se enruta a través de la aplicación DRG o la conexión de asociación de VCN web.
      • Base de datos: si el tráfico está destinado a esta VCN radial, se enruta a través de la conexión de asociación de VCN de la base de datos DRG.
  • VCN radial de nivel de aplicación o web (10.0.0.0/24): la VCN contiene una sola subred. Un equilibrador de carga de aplicaciones gestiona el tráfico entre máquinas virtuales web y de aplicaciones en cada uno de los dominios de disponibilidad. El tráfico de la VCN de hub al equilibrador de carga de aplicaciones se enruta a través del DRG al equilibrador de carga de aplicaciones. El CIDR de destino de subred radial se enruta a través del DRG como la subred por defecto 0.0.0.0/0 (todas las direcciones).