Questa immagine mostra due aree di Oracle Cloud Infrastructure che includono due domini di disponibilità. Ogni area include almeno tre reti cloud virtuali (VCN, Virtual Cloud Network) necessarie per distribuire questa architettura. I VCN sono disposti qui come livelli funzionali.

VCN di gestione:

La VCN di gestione contiene due virtual machine (VM) Virtual Firewall Cisco ASA con una VM in ogni dominio di disponibilità sotto forma di sandwich tra load balancer di rete flessibile interno ed esterno. È anche possibile distribuire il server di gestione all'interno della VCN di gestione nella configurazione del firewall del manager. La VCN di gestione include una singola subnet di gestione. Ogni firewall dispone di un pool VPN dedicato e l'utente finale ottiene un indirizzo IP da tale pool.

La subnet di gestione utilizza l'interfaccia primaria (nic0/0) per consentire agli utenti finali di connettersi all'interfaccia utente.

La VCN di gestione utilizza un gateway Internet per connettere Internet e i client Web esterni al firewall virtuale Cisco ASA per gestire la configurazione. La VCN di gestione contiene anche due virtual machine (VM) Virtual Firewall Cisco ASA con una VM in ogni dominio di disponibilità, tra il load balancer di rete flessibile. La VCN Mmgt include una singola subnet di gestione. Ogni firewall dispone inoltre di un pool VPN dedicato e l'utente finale ottiene un indirizzo IP da tale pool.

VCN esterna:

La VCN contiene almeno una subnet esterna, che utilizza l'interfaccia secondaria (nic0/1) per consentire agli utenti finali di inviare il traffico VPN a questa interfaccia tramite il load balancer di rete. La VCN esterna include il load balancer di rete esterna flessibile riportato di seguito. Questo load balancer di rete pubblica dispone anche di interfacce esterne del firewall virtuale Cisco ASA. Ciò garantisce che qualsiasi traffico proveniente tramite un load balancer di rete flessibile vada a uno dei firewall sottostanti. Gli utenti finali utilizzano questo IP VIP del load balancer di rete come fine testata VPN. Utilizza 2-tuple-Hash per garantire il bilanciamento del carico del traffico su uno dei firewall virtuali Cisco ASA. Ciò consentirebbe di mantenere l'adattabilità sia per i client AnyConnect che per il traffico delle applicazioni.

VCN interna:

La VCN contiene almeno una subnet interna. La subnet interna utilizza l'interfaccia secondaria (nic0/2) per consentire agli utenti finali di inviare il traffico VPN a questa interfaccia tramite Network Load Balancer. È anche possibile distribuire un altro set di load balancer di rete per indirizzare il traffico dalle VCN SPOKE instradate alle NLB interne e al rispettivo firewall ASAv.

VCN spoke o applicazione (facoltativo): la VCN potrebbe essere una VCN dell'applicazione che funge da VCN spoke. Una volta stabilita la connessione dall'esterno e ottenuto un IP da un pool VPN dedicato, puoi raggiungere la conversazione VCN tramite Local Peering Gateway o Dynamic Routing Gateway. Un sistema di database primario si trova nel dominio di disponibilità 1 e un sistema di database in standby si trova nel dominio di disponibilità 2. La VCN a livello di database è connessa alla VCN hub tramite gateway di instradamento dinamico.