この図は、2つの可用性ドメインを含む2つのOracle Cloud Infrastructureリージョンを示しています。各リージョンには、このアーキテクチャをデプロイするために必要な3つ以上の仮想クラウド・ネットワーク(VCN)が含まれます。VCNはここでは機能レイヤーとして配置されます。

管理VCN:

管理VCNには、内部および外部の柔軟なネットワーク・ロード・バランサ間のサンドイッチとして、各可用性ドメインに1つのVMを持つ2つのCisco ASA Virtual Firewall仮想マシン(VM)が含まれています。管理VCN内の管理サーバーをマネージャ・ファイアウォール構成にデプロイすることもできます。管理VCNには、単一の管理サブネットが含まれています。各ファイアウォールには専用のVPNプールがあり、エンド・ユーザーはそのプールからIPアドレスを取得します。

管理サブネットは、プライマリ・インタフェース(nic0/0)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。

管理VCNは、インターネット・ゲートウェイを使用してインターネットおよび外部WebクライアントをCisco ASA Virtual Firewallに接続して構成を管理します。管理VCNには、柔軟性の高いネットワーク・ロード・バランサ間の各可用性ドメインに1つのVMを持つ2つのCisco ASA Virtual Firewall仮想マシン(VM)も含まれています。管理VCNには、単一の管理サブネットが含まれています。各ファイアウォールにも専用のVPNプールがあり、エンド・ユーザーはそのプールからIPアドレスを取得します。

外部VCN:

VCNには、セカンダリ・インタフェース(nic0/1)を使用してエンド・ユーザーがネットワーク・ロード・バランサ経由でこのインタフェースにVPNトラフィックを送信できるようにする外部サブネットが少なくとも1つ含まれています。外部VCNには、次の柔軟な外部ネットワーク・ロード・バランサが含まれています。このパブリック ネットワーク ロード バランサには、Cisco ASA Virtual Firewallの外部インターフェイスもあります。これにより、フレキシブル・ネットワーク・ロード・バランサを介して着信するトラフィックはすべて、その背後にあるファイアウォールのいずれかに送られます。エンド・ユーザーは、このネットワーク・ロード・バランサVIP IPをVPNヘッドエンドとして使用します。2-tuple-Hashを使用して、トラフィックをCisco ASA Virtual Firewallのいずれかにロード・バランシングします。これにより、AnyConnectクライアントおよびアプリケーション・トラフィックのスティッキネスが維持されます。

VCN内:

VCNには、サブネット内に少なくとも1つ含まれています。内部サブネットは、セカンダリ・インタフェース(nic0/2)を使用して、エンド・ユーザーがネットワーク・ロード・バランサを介してこのインタフェースにVPNトラフィックを送信できるようにします。また、別のネットワーク・ロード・バランサ・セットをデプロイして、内部NLBおよびそれぞれのASAvファイアウォールにルーティングされたスポークVCNからのトラフィックを制御することもできます。

スポークまたはアプリケーションVCN (オプション): VCNは、スポークVCNとして機能するアプリケーションVCNです。外部から接続して専用VPNプールからIPを取得したら、ローカル・ピアリング・ゲートウェイまたは動的ルーティング・ゲートウェイを介してVCNのスポークに着くことができます。プライマリ・データベース・システムは可用性ドメイン1に存在し、スタンバイ・データベース・システムは可用性ドメイン2に存在します。データベース層VCNは動的ルーティング・ゲートウェイを介してハブVCNに接続されています。