此图显示了包含两个可用性域的 an OCI 区域。该区域包含三个虚拟云网络 (virtual cloud network, VCN),它们位于由动态路由网关 (dynamic Routing Gateway, DRG) 连接的中心拓扑中。VCN 作为功能层进行排列。
- Hub VCN:集线器 VCN 包含两个 VM 系列防火墙虚拟机 (VM) 的集群,每个可用性域中有一个 VM,作为内部和外部灵活的网络负载平衡器之间的三明治。集线器 VCN 还可以包含管理 VM (Panorama) 来管理 VM 系列防火墙。集线器 VCN 包括四个子网:管理子网、信任子网、不可信子网和网络负载平衡器 (NLB) 子网。
- 管理子网使用主接口 (vNIC0) 允许最终用户连接到用户界面。
- 不信任子网使用第二个接口 (vNIC1) 来与 VM 系列防火墙进行外部通信。
- 信任子网使用第三个接口 (vNIC2) 进行到 VM 系列防火墙内部通信。
- NLB 子网允许最终用户创建专用或公共灵活的网络负载平衡器,从而允许从互联网进行内部部署和入站连接。
- Internet 网关:通过不信任的子网,将 Internet 和外部 Web 客户端连接到可用性域 1 中的 VM 系列防火墙。
- 动态路由网关 (DRG):通过 IPSec VPN 或 FastConnect 将客户数据中心和客户终端设备连接到可用性域 1 中的 VM 系列防火墙,并通过不可信子网。DRG 还支持 VCN 之间的通信。每个 VCN 都具有 DRG 的附件。
- 服务网关:将中心 VCN 连接到 OCI 对象存储和区域中的其他 Oracle 服务。
- 外部网络负载平衡器
- 专用负载平衡器具有 VM 系列防火墙的不信任接口。内部部署使用 DRG 连接到此负载平衡器。
- 公共负载平衡器还具有 VM 系列防火墙的不信任接口。Internet 流量使用 Internet 网关连接到此负载平衡器。
- 内部网络负载平衡器具有 VM 系列防火墙的信任接口。到请求 VCN 之间和来自请求 VCN 的流量使用 DRG 连接到此负载平衡器。
- Web 或应用程序请求了 VCN:VCN 至少包含一个子网。负载平衡器管理每个可用性域中 Web 或应用程序 VM 之间的流量。应用程序层 VCN 通过 DRG 连接到集线器 VCN。
- 数据库分支了 VCN:VCN 包含单个子网。主数据库系统位于可用性域 1 中,备用数据库系统位于可用性域 2 中。数据库层 VCN 通过 DRG 连接到中心 VCN。