この図は、Webまたはアプリケーションからリージョン・ハブのデータベースへの東西トラフィック・フロー、およびVMシリーズ・ファイアウォールを使用するスポーク・トポロジを示しています。これには3つの仮想クラウド・ネットワーク(VCN)が含まれます。

• ハブVCN (192.168.0.0/16):ハブVCNはVMシリーズのファイアウォールを収容します。信頼サブネットは、VMシリーズ・ファイアウォールの内部トラフィックにvNIC2を使用します。ハブVCNは、動的ルーティング・ゲートウェイ(DRG)を介してスポークCNと通信します。
• Web層またはアプリケーション層スポークVCN (10.0.0.0/24): VCNには1つのサブネットが含まれます。アプリケーション・ロード・バランサは、Web VMまたはアプリケーションVMへのトラフィックを管理します。アプリケーション層VCNは、動的ルーティング・ゲートウェイを介してハブVCNに接続されています。
• データベース層スポークVCN (10.0.1.0/24): VCNには、プライマリ・データベース・システムを含む1つのサブネットが含まれます。データベース層VCNは、DRGを介してハブVCNに接続されます。

Webまたはアプリケーションからデータベースへの東西トラフィック・フロー:

1. Web層またはアプリケーション層からデータベース層(10.0.1.10)に移動するトラフィックは、Webまたはアプリケーション・サブネットのルート表(宛先0.0.0.0/0)を介してルーティングされます。
2. トラフィックは、Webまたはアプリケーション・サブネットのルート表からデータベース層スポークVCNのDRGに移動します。
3. トラフィックは、内部ネットワーク・ロード・バランサを使用して、ハブVCNイングレス・ルート表からVMシリーズのファイアウォールVMにDRGから移動します。ネットワーク・ロード・バランサには、VMシリーズ・ファイアウォールの信頼インタフェース(vNIC2)を指す複数のバックエンドがあります。
4. VMシリーズ・ファイアウォールからのトラフィックは、信頼サブネット・ルート表(宛先: 10.0.1.0/24)を介してルーティングされます。ファイアウォールは、受信パケットでソース変換を実行して、信頼インタフェースのプライベートIPアドレスをソース変換オブジェクトとして使用し、スポークVCN (データベース)にファイアウォールの信頼インタフェースからのトラフィックが認識されるようにします。
5. トラフィックは、データベース・スポークVCNの信頼サブネット・ルート表からDRGに移動します。
6. トラフィックは、データベース・システムのDRGから、データベース・スポークVCNアタッチメントに移動します。