이 이미지는 Cisco Threat Defense 방화벽을 사용하는 지역에서 웹 또는 애플리케이션(스포크) VCN의 북쪽 아웃바운드 트래픽 플로우를 보여줍니다.

OCI 지역에는 두 개의 가용성 도메인이 포함됩니다. 이 영역에는 허브 VCN과 동적 라우팅 게이트웨이 연결로 연결된 단일 스포크 VCN(웹 또는 애플리케이션 계층)이 포함되어 있습니다.

• Spoke(웹 또는 애플리케이션) VCN(10.0.0.0/24): VCN에 단일 서브넷이 포함되어 있습니다. 애플리케이션 로드 밸런서는 각 가용성 도메인에서 웹 또는 애플리케이션 VM 간의 트래픽을 관리합니다. 애플리케이션 로드 밸런서에서 허브 VCN으로의 아웃바운드 트래픽은 동적 라우팅 게이트웨이를 통해 라우팅됩니다. 스포크 서브넷 대상 CIDR은 DRG를 통해 0.0.0.0/0(모든 주소)입니다.
• 허브 VCN(192.168.0.0/16): 허브 VCN에는 각 가용성 도메인에 있는 VM 2개의 Cisco Threat Defense Firewall Virtual Machine(VM) 클러스터가 내부 및 외부 가변 네트워크 로드 밸런서 간의 샌드위치로 포함되어 있습니다. 허브 VCN에는 Cisco 위협 방어 방화벽을 관리하기 위한 FMC(Management Center VM)도 포함되어 있습니다. 허브 VCN에는 관리 서브넷, 신뢰 서브넷, 신뢰되지 않은 서브넷 및 nlb 서브넷이 네 개 포함됩니다.
  • 관리 서브넷은 기본 인터페이스(mgmt)를 사용하여 일반 사용자가 사용자 인터페이스에 연결할 수 있도록 합니다.
  • 진단 서브넷은 Cisco 위협 방어 방화벽의 진단 목적으로 보조 인터페이스(diag)를 사용합니다.
  • 내부 서브넷은 Cisco Threat Defense 방화벽에 대한 내부 트래픽의 경우 세번째 인터페이스 gig0/0을 사용합니다.
  • 아웃바운드 서브넷은 Cisco Threat Defense 방화벽에 대한 외부 트래픽에 가상 네번째 인터페이스(gig0/1)를 사용합니다.
  • nlb 서브넷을 사용하면 일반 사용자가 전용 또는 공용으로 유연한 네트워크 로드 밸런서를 생성할 수 있으므로 인터넷에서 온프레미스 및 인바운드 접속이 허용됩니다.

스포크(웹 또는 애플리케이션) VCN의 아웃바운드 트래픽은 Cisco 내부 네트워크 로드 밸런서로 들어가서 인터페이스 내 Cisco Threat Defense Firewall에 트래픽을 전송한 다음 외부 서브넷을 통해 외부 대상으로 전송합니다.

• Cisco 위협 방어: DRG의 트래픽은 허브 VCN 게이트웨이를 통해 내부 서브넷을 통해 인터페이스 내부의 Cisco Threat Defense Firewall을 통해 외부 대상으로 라우팅됩니다.
• 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트에 대한 트래픽은 인터넷 게이트웨이를 통해 라우팅됩니다. 인터넷 게이트웨이에 대한 외부 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소)입니다.
• 동적 라우팅 게이트웨이: 고객 데이터 센터에 대한 트래픽은 동적 라우팅 게이트웨이를 통해 라우팅됩니다. 동적 경로 지정 게이트웨이에 대한 외부 서브넷 대상 CIDR은 172.16.0.0/12입니다. DRG는 VCN 간의 통신을 지원하는 데도 사용됩니다. 각 VCN에는 동적 라우팅 게이트웨이에 대한 연결이 있습니다.