Esta imagem mostra o fluxo de tráfego leste-oeste da Web ou do aplicativo para o banco de dados em um hub regional e uma topologia de spoke que usa um firewall da Série de VMs. Inclui três redes virtuais na nuvem (VCNs):
  • Hub VCN (192.168.0.0/16): A VCN hub abriga os firewalls da Série de VMs. A sub-rede confiável usa vNIC2 para tráfego interno de ou para o firewall da Série de VM. A VCN de hub se comunica com VCNs de spoke por meio de um gateway de roteamento dinâmico (DRG).
  • VCN spoke na camada da Web ou do aplicativo (10.0.0.0/24): A VCN contém uma única sub-rede. Um balanceador de carga de aplicativo gerencia o tráfego para as VMs Web ou de aplicativo. A VCN da camada de aplicativo é conectada à VCN de hub por meio do gateway de roteamento dinâmico.
  • VCN de spoke da camada do banco de dados (10.0.1.0/24): A VCN contém uma única sub-rede que contém o sistema de banco de dados principal. A VCN da camada do banco de dados está conectada à VCN de hub no DRG.
Fluxo de tráfego leste-oeste da Web ou do aplicativo para o banco de dados:
  1. O tráfego que se move da camada Web ou do aplicativo para a camada do banco de dados (10.0.1.10) é roteado por meio da tabela de roteamento da sub-rede web ou do aplicativo (destino 0.0.0.0/0).
  2. O tráfego move-se da tabela de roteamento da sub-rede web ou do aplicativo para o DRG da camada de banco de dados VCN spoke.
  3. O tráfego passa do DRG pela tabela de roteamento de entrada da VCN de hub para as VMs do Firewall da Série da VM usando o balanceador de carga da rede interna. O balanceador de carga da rede tem mais de um backend apontando para as interfaces confiáveis (vNIC2) do firewall da Série de VMs.
  4. O tráfego do firewall da Série de VMs é roteado por meio da tabela de roteamento da sub-rede confiável (destino: 10.0.1.0/24). O firewall executa uma tradução de origem no pacote de entrada para garantir que ele use o endereço IP privado da interface confiável como objeto de tradução de origem, de modo que a VCN spoke (Banco de Dados) veja o tráfego proveniente da interface confiável dos firewalls.
  5. O tráfego passa da tabela de roteamento da sub-rede confiável para o DRG para a VCN de spoke do banco de dados.
  6. O tráfego se move do DRG para o sistema de banco de dados por meio do anexo da VCN de spoke do banco de dados.