Esta imagem mostra o fluxo de tráfego leste-oeste do banco de dados para a Web ou aplicativo em um hub regional e uma topologia de spoke que usa um firewall da Série de VMs. Inclui três redes virtuais na nuvem (VCNs): Hub VCN (192.168.0.0/16):
  • A VCN de hub abriga os firewalls da Série de VMs. A sub-rede confiável usa vNIC2 para tráfego interno de ou para o firewall da Série de VM. A VCN de hub se comunica com VCNs de spoke por meio de um gateway de roteamento dinâmico (DRG).
  • VCN spoke na camada da Web ou do aplicativo (10.0.0.0/24): A VCN contém uma única sub-rede. Um balanceador de carga gerencia o tráfego para as VMs Web ou de aplicativos. A VCN da camada do aplicativo está conectada à VCN de hub no DRG.
  • VCN de spoke da camada do banco de dados (10.0.1.0/24): A VCN contém uma única sub-rede que contém o sistema de banco de dados principal. A VCN da camada do banco de dados está conectada à VCN de hub no DRG.
O tráfego leste-oeste flui do banco de dados para a Web ou aplicativo nas seguintes etapas:
  1. O tráfego que se move da camada do banco de dados para o balanceador de carga da Web ou do aplicativo (10.0.0.10) é roteado por meio da tabela de roteamento da sub-rede do banco de dados (destino 0.0.0.0/0).
  2. O tráfego se move da tabela de roteamento da sub-rede do banco de dados para o DRG da camada de banco de dados VCN de spoke.
  3. O tráfego passa do DRG por meio da tabela de roteamento de entrada da VCN de hub para VMs de Firewall da Série da VM usando o balanceador de carga da rede interna. O balanceador de carga da rede tem mais de um backend apontando para as interfaces confiáveis (vNIC2) do firewall da Série de VMs.
  4. O tráfego do firewall da Série de VMs é roteado por meio da tabela de roteamento da sub-rede confiável (destino 10.0.0.0/16). O firewall executa a conversão de origem no pacote de entrada para garantir que ele use o endereço IP privado da interface confiável como o objeto de tradução de origem, de modo que a VCN de spoke (Web) veja o tráfego proveniente da interface confiável dos firewalls.
  5. O tráfego passa da tabela de roteamento da sub-rede confiável para o DRG para a VCN de spoke na Web.
  6. O tráfego se move do DRG para a Web, o aplicativo ou o balanceador de carga para a Web ou o aplicativo por meio do anexo VCN de spoke na Web.