Esta imagem mostra o fluxo de tráfego de entrada norte-sul entre a VCN hub e a VCN web ou aplicativo (spoke) em uma região que usa firewalls da Série de VMs. A região  OCI inclui dois domínios de disponibilidade. A região contém uma VCN de hub e uma VCN de spoke única (camada web ou aplicativo) conectada pelo gateway de roteamento dinâmico (DRG).
  • VCN de Hub (192.168.0.0/16): A VCN de hub contém um cluster de duas VMs (Virtual Firewall) de Série de VM com uma VM em cada um dos domínios de disponibilidade como um sanduíche entre o balanceador de carga de rede flexível interno e externo. A VCN de hub também pode incluir uma VM de gerenciamento (Panorama) para gerenciar firewalls da Série de VMs. A VCN de hub inclui quatro sub-redes:
    • Uma sub-rede de gerenciamento, uma sub-rede confiável, uma sub-rede não confiável e uma sub-rede NLB. A sub-rede de gerenciamento usa a interface primária (vNIC0) para permitir que os usuários finais se conectem à interface de usuário.
    • A sub-rede não confiável usa a segunda interface (vNIC1) para tráfego externo de/para o firewall da Série de VMs.
    • A sub-rede confiável usa a terceira interface (vNIC2) para tráfego interno de ou para o firewall da Série de VMs.
    • A sub-rede NLB permite que o usuário final crie um balanceador de carga de rede flexível privado ou público, que permite conexão local e de entrada pela internet.
  • O tráfego de entrada entra na VCN de hub de origens externas por meio do IP público do balanceador de carga de rede externo para os firewalls da Série de VMs:
    • Gateway de Internet: O tráfego da Internet e dos clientes Web externos é roteado para o balanceador de carga da rede pública externa e vai para um dos firewalls da Série de VMs por meio de interfaces sem confiança. O balanceador de carga público NLB tem um endereço público, que permite conectar-se de fora. A rota padrão permite que o CIDR de destino seja 0.0.0.0/0 (todos os endereços) e o primeiro endereço IP do host no CIDR de sub-rede não confiável.
    • Gateway de roteamento dinâmico (DRG): O tráfego do data center do cliente (172.16.0.0/12) é roteado para o balanceador de carga privado externo e, em seguida, vai para um dos firewalls da Série de VMs por meio da interface não confiável. O CIDR de destino do DRG é 10.0.0.0/24 ou 10.0.1.0/24 ou as VCNs de spoke. O DRG também suporta a comunicação entre VCNs. Cada VCN tem um anexo ao DRG.
    • Firewall da Série de VM: O tráfego é roteado por meio da VM de gateway e da sub-rede confiável para o DRG. A tradução do endereço de origem acontece no firewall da Série de VMs, usando o endereço IP da interface confiável. O CIDR de destino padrão da sub-rede confiável associada a VCNs de spoke (10.0.0.0/24 ou 10.0.1.0/24 ou VCNs de spoke para aplicativo ou banco de dados. Este endereço é o primeiro endereço IP do host no CIDR da sub-rede confiável.
    • DRG: O tráfego da sub-rede confiável para a VCN spoke é roteado no DRG.
      • Aplicativo ou Web: Se o tráfego for destinado a essa VCN spoke, ele será roteado por meio do aplicativo DRG ou da conexão de anexo da VCN Web.
      • Banco de Dados: Se o tráfego for destinado a essa VCN de spoke, ele será roteado por meio da conexão de anexo VCN do banco de dados DRG.
  • VCN spoke na camada da Web ou do aplicativo (10.0.0.0/24): A VCN contém uma única sub-rede. Um balanceador de carga de aplicativo gerencia o tráfego entre as VMs da Web e dos aplicativos em cada um dos domínios de disponibilidade. O tráfego da VCN de hub para o balanceador de carga do aplicativo é roteado pelo DRG para o balanceador de carga do aplicativo. O CIDR de destino da sub-rede de spoke é roteado por meio do DRG como a sub-rede padrão 0.0.0.0/0 (todos os endereços) .