Esta imagem mostra o fluxo de tráfego de saída norte-sul da VCN web ou aplicativo (spoke) por meio da VCN hub em uma região que usa um firewall de Série de VM.

A região  OCI inclui dois domínios de disponibilidade. A região contém uma VCN de hub e uma VCN de spoke única (camada web ou aplicativo) conectada por anexos do gateway de roteamento dinâmico (DRG).
  • VCN (10.0.0.0/24) Spoke (web ou aplicativo): A VCN contém uma única sub-rede. Um balanceador de carga do aplicativo gerencia o tráfego entre as VMs da Web ou do aplicativo em cada um dos domínios de disponibilidade. O tráfego de saída do balanceador de carga do aplicativo para a VCN de hub é roteado pelo DRG (Dynamic Routing Gateway). O CIDR de destino da sub-rede de spoke é 0.0.0.0/0 (todos os endereços) por meio do DRG.
  • Hub VCN (192.168.0.0/16): A VCN hub contém um cluster de duas máquinas virtuais (VMs) de firewall da Série de VMs com uma VM em cada um dos domínios de disponibilidade como um sanduíche entre o balanceador de carga de rede flexível interno e externo (NLB). A VCN de hub também pode incluir uma VM de gerenciamento (Panorama) para gerenciar firewalls da Série de VMs. A VCN de hub inclui quatro sub-redes:
    • Uma sub-rede de gerenciamento, uma sub-rede confiável, uma sub-rede não confiável e uma sub-rede NLB. A sub-rede de gerenciamento usa a interface primária (vNIC0) para permitir que os usuários finais se conectem à interface de usuário.
    • A sub-rede não confiável usa a segunda interface (vNIC1) para tráfego externo de/para o firewall da Série de VMs.
    • A sub-rede confiável usa a terceira interface (vNIC2) para tráfego interno de ou para o firewall da Série de VMs.
    • A sub-rede NLB permite que os usuários finais criem um balanceador de carga de rede flexível privado ou público, que permite conexão local e de entrada pela internet.
O tráfego de saída da VCN de spoke (web ou aplicativo) entra no balanceador de carga interno da rede VCN de hub, que envia o tráfego para as interfaces de confiança do firewall da Série de VMs e, em seguida, sai pela sub-rede não confiável para destinos externos.
  • Firewall da Série de VMs: O tráfego do DRG é roteado por meio do balanceador de carga de rede interno para as interfaces de confiança do firewall da Série de VMs por meio da sub-rede confiável, por meio dos gateways de VCN de hub para destinos externos. A tradução da origem acontece aqui usando o IP privado da interface não confiável em cada firewall para suportar tráfego de saída.
  • Gateway de Internet: O tráfego para a internet e os clientes web externos é roteado por meio de um gateway de internet. O CIDR de destino da sub-rede não confiável para o gateway de internet é 0.0.0.0/0 (todos os endereços).
  • Gateway de roteamento dinâmico: O tráfego para o data center do cliente é roteado por meio de um DRG. O CIDR de destino da sub-rede não confiável para o gateway de roteamento dinâmico é 172.16.0.0/12. O DRG também é usado para suportar a comunicação entre VCNs. Cada VCN tem um anexo a um DRG.