この図は、可用性ドメインが2つ含まれるOracle Cloud Infrastructureリージョンを示しています。リージョンには、動的ルーティング・ゲートウェイ(DRG)によって接続されたハブアンドスポーク・トポロジ内の3つの仮想クラウド・ネットワーク(VCN)が含まれます。VCNは機能レイヤーとしてここに配置されています。

• Hub VCN:ハブVCNには、可用性ドメインごとに1つのVMを内部および外部のフレキシブルなネットワーク・ロード・バランサ間のサンドイッチとして持つ、Cisco Threat Defense Firewall仮想マシン(VM)のクラスタが含まれています。ハブVCNには、Cisco Threat Defense Firewallを管理する管理センターVM (FMC)も含まれています。
  ハブVCNには、次の4つのサブネットがあります。

  • 管理サブネット、信頼サブネット、信頼できないサブネット、およびnlbサブネット。
    • 管理サブネットは、プライマリ・インタフェース(mgmt)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
    • 診断サブネットは、Cisco Threat Defenseファイアウォールの診断目的でセカンダリインタフェース(diag)を使用します。
    • 内部サブネットは、Cisco Threat Defenseファイアウォールとの間の内部トラフィックにサード・インタフェースgig0/ 0を使用します。
    • アウトバウンド・サブネットは、Cisco Threat Defenseファイアウォールとの間の外部トラフィックに仮想4番目のインタフェース(gig0/ 1)を使用します。
    • nlbサブネットを使用すると、エンド・ユーザーはプライベートまたはパブリックのフレキシブルなネットワーク・ロード・バランサを作成できます。これにより、オンプレミスおよびインターネットからのインバウンド接続が可能になります。
    ハブVCNには、次の通信ゲートウェイが含まれます。
    • インターネット・ゲートウェイ:外部サブネットを介して、インターネットおよび外部Webクライアントを可用性ドメイン1のCisco Threat Defenseファイアウォールに接続します。
    • 動的ルーティング・ゲートウェイ: IPSec VPNまたはFastConnectを介して、顧客データ・センターおよび顧客構内機器を可用性ドメイン1のCisco Threat Defenseファイアウォールに外部サブネットを介して接続します。DRGは、VCN間の通信をサポートするためにも使用されます。各VCNには、動的ルーティング・ゲートウェイへのアタッチメントがあります。
    • サービス・ゲートウェイ:リージョンのOCIオブジェクト・ストレージおよびその他のOracleサービスにハブVCNを接続します。
    ハブVCNには、次の柔軟なネットワーク・ロード・バランサが含まれています。
    • 外部ネットワーク・ロード・バランサ
      • プライベート・ロード・バランサには、Cisco Threat Defenseファイアウォールの外部インタフェースがあります。オンプレミスは、DRGを使用してこのロード・バランサに接続します。
      • パブリック・ロード・バランサには、Cisco Threat Defenseファイアウォールの外部インタフェースもあります。インターネット・トラフィックは、インターネット・ゲートウェイを使用してこのロード・バランサに接続します。
    • 内部ネットワーク・ロード・バランサには、Cisco Threat Defenseファイアウォールの内部インタフェースがあります。スポークVCNとの間のトラフィックは、動的ルーティング・ゲートウェイ(DRG)を使用してこのロード・バランサに接続します。
• Webまたはアプリケーション・スポークVCN: VCNには、少なくとも1つのサブネットが含まれます。ロード・バランサは、各可用性ドメインのWeb VMまたはアプリケーションVM間のトラフィックを管理します。アプリケーション層VCNは、動的ルーティング・ゲートウェイを介してハブVCNに接続されます。
• データベース・スポークVCN: VCNには単一のサブネットが含まれます。プライマリ・データベース・システムは可用性ドメイン1に存在し、スタンバイ・データベース・システムは可用性ドメイン2に存在します。データベース層VCNは、動的ルーティング・ゲートウェイを介してハブVCNに接続されます。