Cette image présente le flux de trafic entrant nord-sud entre le VCN hub et le VCN Web ou d'application (parle) dans une région qui utilise des pare-feu VM Series. La région  OCI comprend deux domaines de disponibilité. La région contient un VCN hub et un VCN satellite unique (niveau Web ou application) connecté par une passerelle de routage dynamique (DRG).
  • Hub VCN (192.168.0.0/16) : le hub VCN contient un cluster de deux machines virtuelles de pare-feu de série VM avec une machine virtuelle dans chacun des domaines de disponibilité en tant que sandwich entre un équilibreur de charge réseau flexible interne et externe. Le VCN du hub peut également inclure une machine virtuelle de gestion (Panorama) pour gérer les pare-feu de la série VM. Le VCN du hub inclut quatre sous-réseaux :
    • Sous-réseau de gestion, sous-réseau sécurisé, sous-réseau non sécurisé et sous-réseau NLB. Le sous-réseau de gestion utilise l'interface principale (vNIC0) pour permettre aux utilisateurs finaux de se connecter à l'interface utilisateur.
    • Le sous-réseau non sécurisé utilise la seconde interface (vNIC1) pour le trafic externe vers ou depuis le pare-feu de la série VM.
    • Le sous-réseau de confiance utilise la troisième interface (vNIC2) pour le trafic interne vers ou depuis le pare-feu de la série VM.
    • Le sous-réseau NLB permet à l’utilisateur final de créer un équilibreur de charge réseau flexible privé ou public, qui permet une connexion sur site et entrante à partir d’Internet.
  • Le trafic entrant entre dans le VCN du hub à partir de sources externes via l'adresse IP publique de l'équilibreur de charge réseau externe vers les pare-feu de la série VM :
    • Passerelle Internet : le trafic provenant d'Internet et des clients Web externes achemine vers l'équilibreur de charge réseau public externe, puis accède à l'un des pare-feu de la série VM via les interfaces non sécurisées. L'équilibreur de charge public NLB dispose d'une adresse publique qui vous permet de vous connecter depuis l'extérieur. Le CIDR d'autorisation de routage par défaut est 0.0.0.0/0 (toutes les adresses) et la première adresse IP d'hôte dans le CIDR de sous-réseau non sécurisé.
    • Passerelle de routage dynamique (DRG) : le trafic du centre de données client (172.16.0.0/12) est acheminé vers l'équilibreur de charge privé externe, puis passe à l'un des pare-feu de la série VM via l'interface non sécurisée. Le CIDR de destination DRG est 10.0.0.0/24, 10.0.1.0/24 ou les réseaux cloud virtuels satellite. Le DRG prend également en charge la communication entre les réseaux cloud virtuels. Chaque VCN est associé au DRG.
    • Pare-feu de série VM : le trafic est acheminé via la machine virtuelle de passerelle et le sous-réseau sécurisé vers le DRG. La traduction d'adresse source se produit sur le pare-feu de la série VM, à l'aide de l'adresse IP de l'interface de confiance. CIDR de destination par défaut pour le sous-réseau de confiance associé aux réseaux cloud virtuels satellite (10.0.0.0/24 ou 10.0.1.0/24 ou aux réseaux cloud virtuels adressés pour application ou base de données. Cette adresse est la première adresse IP de l'hôte dans le CIDR du sous-réseau sécurisé.
    • DRG : le trafic du sous-réseau de confiance vers le VCN satellite est acheminé via le DRG.
      • Application ou Web : si le trafic est destiné à ce VCN satellite, il est acheminé via l'application DRG ou la connexion de connexion VCN Web.
      • Base de données : si le trafic est destiné à ce VCN satellite, il est acheminé via la connexion d'attachement VCN de base de données DRG.
  • VCN par satellite du niveau Web ou application (10.0.0.0/24) : le VCN contient un seul sous-réseau. Un équilibreur de charge d'application gère le trafic entre les machines virtuelles Web et d'application dans chacun des domaines de disponibilité. Le trafic du VCN de hub vers l'équilibreur de charge d'application est acheminé via le DRG vers l'équilibreur de charge d'application. Le CIDR de destination du sous-réseau satellite est acheminé via le DRG en tant que sous-réseau par défaut 0.0.0.0/0 (toutes les adresses).