이 이미지는 두 개의 가용성 도메인을 포함하는 두 개의 Oracle Cloud Infrastructure 영역을 보여줍니다. 각 지역에는 이 아키텍처 배포에 필요한 최소 3개의 가상 클라우드 네트워크(VCN)가 포함되어 있습니다. VCN은 여기에서 기능 레이어로 정렬됩니다.

관리 VCN:

관리 VCN에는 각 가용성 도메인에 있는 VM이 포함된 두 개의 Cisco ASA Virtual Firewall VM(Virtual Firewall Virtual Firewall VM)이 내부 및 외부 유연한 네트워크 로드 밸런서 사이에 샌드위치로 포함되어 있습니다. 관리 VCN 내에 관리 서버를 배치하여 관리자 방화벽 구성을 수행할 수도 있습니다. 관리 VCN에는 단일 관리 서브넷이 포함되어 있습니다. 각 방화벽에는 전용 VPN 풀이 있으며 최종 사용자는 해당 풀에서 IP 주소를 받습니다.

관리 서브넷은 일반 사용자가 사용자 인터페이스에 연결할 수 있도록 기본 인터페이스(nic0/0)를 사용합니다.

관리 VCN은 인터넷 게이트웨이를 사용하여 인터넷 및 외부 웹 클라이언트를 Cisco ASA Virtual Firewall에 연결하여 구성을 관리합니다. 또한 관리 VCN에는 유연한 네트워크 로드 밸런서 사이에 각 가용성 도메인의 VM 1개가 있는 2개의 Cisco ASA Virtual Firewall VM(Virtual Firewall Virtual Firewall VM)이 포함되어 있습니다. Mmgt VCN에는 단일 관리 서브넷이 포함되어 있습니다. 또한 각 방화벽에는 전용 VPN 풀이 있으며 최종 사용자는 해당 풀에서 IP 주소를 받습니다.

외부 VCN:

VCN에는 보조 인터페이스(nic0/1)를 사용하여 일반 사용자가 네트워크 로드 밸런서를 통해 이 인터페이스로 VPN 트래픽을 보낼 수 있도록 하는 외부 서브넷이 하나 이상 포함되어 있습니다. 외부 VCN에는 다음과 같은 유연한 외부 네트워크 로드 밸런서가 포함되어 있습니다. 이 공용 네트워크 로드 밸런서에는 Cisco ASA Virtual Firewall의 외부 인터페이스도 있습니다. 따라서 유연한 네트워크 로드 밸런서를 통해 유입되는 트래픽이 방화벽 뒤의 하나로 전달됩니다. 일반 사용자는 이 네트워크 로드 밸런서 VIP IP를 VPN 헤드 엔드로 사용합니다. 2-tuple-Hash을 사용하여 Cisco ASA Virtual Firewall 중 하나로 트래픽 로드 균형을 유지합니다. 이렇게 하면 AnyConnect 클라이언트와 응용 프로그램 트래픽에 모두 영향을 줄 수 있습니다.

VCN 내부:

VCN에는 하나 이상의 내부 서브넷이 포함되어 있습니다. 내부 서브넷은 보조 인터페이스(nic0/2)를 사용하여 일반 사용자가 네트워크 로드 밸런서를 통해 이 인터페이스로 VPN 트래픽을 전송할 수 있도록 합니다. 또한 다른 네트워크 로드 밸런서 세트를 배포하여 내부 NLB 및 각 ASAv 방화벽으로 라우팅된 Spoke VCNs의 트래픽을 조정할 수도 있습니다.

스포크 또는 애플리케이션 VCN(선택사항): VCN은 스포크 VCN으로 작동하는 애플리케이션 VCN이 될 수 있습니다. 외부로부터 연결하고 전용 VPN 풀에서 IP를 가져오면 로컬 피어링 게이트웨이 또는 동적 라우팅 게이트웨이를 통해 VCN을 스포크할 수 있습니다. 기본 데이터베이스 시스템은 가용성 도메인 1에 상주하고 대기 데이터베이스 시스템은 가용성 도메인 2에 있습니다. 데이터베이스 계층 VCN은 동적 라우팅 게이트웨이를 통해 허브 VCN에 연결됩니다.