此图显示了中心 VCN 与使用 Fortinet FortiGate 防火墙的区域中的 Web 或应用程序 （分布式） VCN 之间的南北入站流量。 OCI 区域包含两个可用性域。该区域包含一个中心 VCN 和一个通过动态路由网关 (DRG) 连接的分支 VCN（Web/ 应用程序层）。

• Hub VCN (192.168.0.0/16)：集线器 VCN 包含一个跨两个 Fortinet FortiGate 防火墙的高可用性网络，每个可用性域包含一个 VM。集线器 VCN 包括四个子网：管理子网、信任子网、不可信子网和高可用性子网。
  • 管理子网使用主接口（端口 1）来允许最终用户连接到用户界面。
  • 不信任子网使用虚拟第二个接口（端口 2）进行到 Fortinet FortiGate 防火墙的外部通信。
  • 信任子网使用第三个接口（端口 3）进行到 Fortinet FortiGate 防火墙的内部流量。
  • 高可用性子网使用第四个接口（端口 4）进行 FortiGate 高可用性健康检查。
• 入站流量从外部源通过不可信子网进入集线器 VCN 到主 Fortinet FortiGate 防火墙，然后通过信任子网进入 DRG。
  • Internet 网关：来自 Internet 和外部 Web 客户端的流量通过不信任的子网路由到可用性域 1 中的 Fortinet FortiGate VM。不信任子网有一个公共地址，允许用户从外部进行连接。默认路由允许目标 CIDR 为 0.0.0.0/0（所有地址）。
  • 动态路由网关：来自客户数据中心 (172.16.0.0/12) 的流量从可用性域 1 到不可信子网的 Fortinet FortiGate VM。DRG 目标 CIDR 为 10.0.0.0/24 或 10.0.1.0/24（分支 VCN 或应用程序或数据库）。
  • Fortinet FortiGate：流量通过防火墙 VM 和信任子网路由到 DRG。信任子网的默认目标 CIDR 为 10.0.0.0/24 或 10.0.1.0/24（请求 VCN 或应用程序或数据库）。
  • 动态路由网关：从信任子网到请求 VCN 的流量通过 DRG 进行路由。
    • 应用程序和 Web：如果流量定向到此分支的 VCN，它将通过 DRG 附件进行路由。
    • 数据库：如果流量定向到此请求中的 VCN，则它将通过 DRG 附件进行路由。
• Web 或应用程序层占用了 VCN (10.0.0.0/24)：VCN 包含单个子网。负载平衡器管理每个可用性域中 Web 和应用程序 VM 之间的流量。从集线器 VCN 到负载平衡器的流量通过 DRG 路由到负载平衡器。通话子网目标 CIDR 为 0.0.0.0/0（所有地址）。