Esta imagem mostra o fluxo de tráfego de saída norte-sul da VCN web ou aplicativo (spoke) por meio da VCN hub em uma região que usa um firewall Cisco Threat Defense.

A região do OCI inclui dois domínios de disponibilidade. A região contém uma VCN de hub e uma VCN de spoke única (camada web ou aplicativo) conectada por anexos de gateway de roteamento dinâmico.
  • VCN (10.0.0.0/24) Spoke (web ou aplicativo): A VCN contém uma única sub-rede. Um balanceador de carga do aplicativo gerencia o tráfego entre as VMs da Web ou do aplicativo em cada um dos domínios de disponibilidade. O tráfego de saída do balanceador de carga do aplicativo para a VCN de hub é roteado no gateway de roteamento dinâmico. O CIDR de destino da sub-rede spoke é 0.0.0.0/0 (todos os endereços) por meio do DRG.
  • Hub VCN (192.168.0.0/16): A VCN hub contém um cluster de duas VMs (hardware virtual) do Cisco Threat Defense com uma VM em cada um dos domínios de disponibilidade como um sanduíche entre o balanceador de carga de rede flexível interno e externo. A VCN de hub também inclui o Management Center VM (FMC) para gerenciar firewalls da Cisco Threat Defense. A VCN de hub inclui quatro sub-redes: Uma sub-rede de gerenciamento, uma sub-rede confiável, uma sub-rede não confiável e uma sub-rede nlb.
    • A sub-rede de gerenciamento usa a interface primária (mgmt) para permitir que os usuários finais se conectem à interface de usuário.
    • A sub-rede de diagnóstico usa interface secundária (diag) para fins de diagnóstico do firewall Cisco Threat Defense.
    • A sub-rede interna usa a terceira interface gig0/0 para tráfego interno de ou para o firewall Cisco Threat Defense.
    • A sub-rede de saída usa a quarta interface virtual (gig0/1) para tráfego externo de/para o firewall Cisco Threat Defense.
    • A sub-rede nlb permite que o usuário final crie um balanceador de carga de rede flexível privado ou público, que permite conexão local e de entrada pela internet.
O tráfego de saída da VCN de spoke (web ou aplicativo) entra no balanceador de carga interno da rede VCN hub, que envia o tráfego para o firewall de Defesa da Ameaça da Cisco dentro das interfaces e, em seguida, fora da sub-rede para destinos externos.
  • Cisco Threat Defense: O tráfego do DRG é roteado por meio do balanceador de carga de rede interno para o firewall do Cisco Threat Defense dentro das interfaces da sub-rede interna, por meio dos gateways de VCN de hub para destinos externos.
  • Gateway de Internet: O tráfego para a internet e os clientes web externos é roteado por meio de um gateway de internet. O CIDR de destino da sub-rede externa para o gateway de internet é 0.0.0.0/0 (todos os endereços).
  • Gateway de roteamento dinâmico: O tráfego para o data center do cliente é roteado por meio de um gateway de roteamento dinâmico. O CIDR de destino da sub-rede externa para o gateway de roteamento dinâmico é 172.16.0.0/12. O DRG também é usado para suportar a comunicação entre VCNs. Cada VCN tem um anexo ao gateway de roteamento dinâmico.