Cette image présente le flux de trafic est-ouest depuis le Web ou l'application vers la base de données dans une topologie de hub et de réseau téléphonique régionale qui utilise un pare-feu VM Series. Il comprend trois réseaux cloud virtuels :
  • Hub VCN (192.168.0.0/16) : le hub VCN héberge les pare-feu de la série VM. Le sous-réseau sécurisé utilise vNIC2 pour le trafic interne vers ou depuis le pare-feu de la série VM. Le VCN du hub communique avec les réseaux cloud virtuels adressés via une passerelle de routage dynamique (DRG).
  • VCN par satellite du niveau Web ou application (10.0.0.0/24) : le VCN contient un seul sous-réseau. Un équilibreur de charge d'application gère le trafic vers les machines virtuelles Web ou d'application. Le VCN du niveau d'application est connecté au VCN du hub via une passerelle de routage dynamique.
  • VCN par satellite du niveau de base de données (10.0.1.0/24) : le VCN contient un seul sous-réseau contenant le système de base de données principal. Le VCN du niveau de base de données est connecté au VCN du hub via le DRG.
Flux de trafic East-west du Web ou de l'application vers la base de données :
  1. Le trafic qui passe du niveau Web ou d'application au niveau de base de données (10.0.1.10) est acheminé via la table de routage de sous-réseau Web ou d'application (destination 0.0.0.0/0).
  2. Le trafic passe de la table de routage de sous-réseau Web ou d’application au DRG pour le VCN satellite du niveau de base de données.
  3. Le trafic passe de la table de routage entrante DRG par hub VCN aux machines virtuelles de pare-feu de série VM à l'aide de l'équilibreur de charge réseau interne. L'équilibreur de charge réseau comporte plusieurs back-ends pointant vers les interfaces de confiance (vNIC2) du pare-feu de la série VM.
  4. Le trafic provenant du pare-feu de la série VM est acheminé via la table de routage du sous-réseau sécurisé (destination : 10.0.1.0/24). Le pare-feu effectue une traduction source sur le paquet entrant afin de s'assurer qu'il utilise l'adresse IP privée de l'interface de confiance comme objet de traduction source afin que le VCN satellite (base de données) puisse voir le trafic provenant de l'interface de confiance des pare-feu.
  5. Le trafic passe de la table de routage du sous-réseau sécurisé à la DRG pour le VCN parlé de la base de données.
  6. Le trafic passe de DRG pour le système de base de données à travers la pièce jointe VCN par satellite de la base de données.