Cette image présente le flux de trafic sortant nord-sud depuis le VCN Web ou d'application (parle) via le VCN hub dans une région qui utilise un pare-feu VM Series.

La région  OCI comprend deux domaines de disponibilité. La région contient un VCN hub et un VCN satellite unique (niveau Web ou application) connecté par des attachements de passerelle de routage dynamique (DRG).
  • VCN Spoke (Web ou application) (10.0.0.0/24) : le VCN contient un seul sous-réseau. Un équilibreur de charge d'application gère le trafic entre les machines virtuelles Web ou d'application dans chacun des domaines de disponibilité. Le trafic sortant de l'équilibreur de charge d'application vers le VCN de hub est acheminé via la passerelle de routage dynamique (DRG). Le CIDR de destination du sous-réseau satellite est 0.0.0.0/0 (toutes les adresses) via le DRG.
  • Hub VCN (192.168.0.0/16) : le hub VCN contient un cluster de deux machines virtuelles de pare-feu de série VM avec une machine virtuelle dans chacun des domaines de disponibilité en tant que sandwich entre un équilibreur de charge réseau flexible interne et externe (NLB). Le VCN du hub peut également inclure une machine virtuelle de gestion (Panorama) pour gérer les pare-feu de la série VM. Le VCN du hub inclut quatre sous-réseaux :
    • Sous-réseau de gestion, sous-réseau sécurisé, sous-réseau non sécurisé et sous-réseau NLB. Le sous-réseau de gestion utilise l'interface principale (vNIC0) pour permettre aux utilisateurs finaux de se connecter à l'interface utilisateur.
    • Le sous-réseau non sécurisé utilise la seconde interface (vNIC1) pour le trafic externe vers ou depuis le pare-feu de la série VM.
    • Le sous-réseau de confiance utilise la troisième interface (vNIC2) pour le trafic interne vers ou depuis le pare-feu de la série VM.
    • Le sous-réseau NLB permet aux utilisateurs finaux de créer un équilibreur de charge réseau flexible privé ou public, qui permet une connexion sur site et entrante à partir d’Internet.
Le trafic sortant du réseau satellite (Web ou application) VCN entre dans l'équilibreur de charge réseau interne VCN du hub, qui envoie le trafic aux interfaces de confiance de pare-feu de la série VM, puis par le biais du sous-réseau non sécurisé aux cibles externes.
  • Pare-feu de la série VM : le trafic provenant de DRG est acheminé via l'équilibreur de charge réseau interne vers les interfaces de confiance de pare-feu de la série VM via le sous-réseau de confiance, via les passerelles VCN du hub vers des cibles externes. Ici, la traduction source utilise l'adresse IP privée de l'interface non sécurisée sur chaque pare-feu pour prendre en charge le trafic sortant.
  • Passerelle Internet : le trafic vers Internet et les clients Web externes est acheminé via une passerelle Internet. Le CIDR de destination de sous-réseau non sécurisé pour la passerelle Internet est 0.0.0.0/0 (toutes les adresses).
  • Passerelle de routage dynamique : le trafic vers le centre de données client est acheminé via un DRG. Le CIDR de destination du sous-réseau non sécurisé pour la passerelle de routage dynamique est 172.16.0.0/12. DRG est également utilisé pour prendre en charge la communication entre les réseaux cloud virtuels. Chaque VCN est associé à un DRG.