Esta imagem mostra duas Regiões do Oracle Cloud Infrastructure que incluem dois domínios de disponibilidade. Cada região inclui pelo menos três VCNs (redes virtuais na nuvem) necessárias para implantar essa arquitetura. As VCNs são organizadas aqui como camadas funcionais.

VCN de Gerenciamento:

A VCN de Gerenciamento contém duas máquinas virtuais (VMs) do Cisco ASA Virtual Firewall com uma VM em cada um dos domínios de disponibilidade como um sanduíche entre o balanceador de carga de rede interno e externo flexível. Você também pode implantar o servidor de gerenciamento dentro da VCN de Gerenciamento para a configuração do firewall do gerenciador. A VCN de Gerenciamento inclui uma única sub-rede de gerenciamento. Cada Firewall tem um pool de VPN dedicado e o usuário final recebe um endereço de IP desse Pool.

A sub-rede de gerenciamento usa a interface primária (nic0/0) para permitir que os usuários finais se conectem à interface do usuário.

A VCN de Gerenciamento usa um Gateway de Internet para conectar clientes da Internet e da Web externos ao Cisco ASA Virtual Firewall para gerenciar a configuração. A VCN de Gerenciamento também contém duas máquinas virtuais (VMs) do Cisco ASA Virtual Firewall com uma VM em cada um dos domínios de disponibilidade, entre o balanceador de carga de rede flexível. A VCN de Gerenciamento inclui uma única sub-rede de gerenciamento. Cada Firewall também tem um pool de VPN dedicado e o usuário final recebe um endereço de IP desse Pool.

VCN Externa:

A VCN contém pelo menos uma sub-rede externa, que usa a interface secundária (nic0/1) para permitir que os usuários finais enviem tráfego de VPN para essa interface via Balanceador de Carga de Rede. A VCN externa inclui o balanceador de carga de rede externa flexível a seguir. Esse balanceador de carga de rede pública também tem interfaces externas do Cisco ASA Virtual Firewall. Isso garante que qualquer tráfego proveniente do balanceador de carga de rede Flexível vá para um dos Firewall por trás dele. Os usuários finais usam este IP VIP do balanceador de carga da rede como head-end da VPN. Ele usa 2-tuple-Hash para garantir que a carga equilibre o tráfego para um dos Cisco ASA Virtual Firewall. Isso manteria a persistência tanto para clientes AnyConnect quanto para o tráfego de aplicativos.

Dentro da VCN:

A VCN contém pelo menos uma sub-rede interna. A sub-rede interna usa a interface secundária (nic0/2) para permitir que os usuários finais enviem tráfego de VPN para essa interface por meio do Balanceador de Carga de Rede. Você também pode implantar outro conjunto de Balanceador de Carga de Rede para direcionar o tráfego de VCNs Spoke roteadas para o NLB Interno e o respectivo firewall ASAv.

VCN Spoke ou de Aplicativo (Opcional): A VCN pode ser uma VCN de aplicativo que atua como VCN Spoke. Depois de estabelecer conexão de fora e obter um IP de um pool de VPN dedicado, você poderá acessar a VCN de spoke via Local Peering Gateway ou Dynamic Routing Gateway. Um sistema de banco de dados principal reside no domínio de disponibilidade 1 e um sistema de banco de dados stand-by reside no domínio de disponibilidade 2. A VCN da camada do banco de dados é conectada à VCN hub por meio do gateway de roteamento dinâmico.