此图显示了中心 VCN 与使用 VM 系列防火墙的区域中的 Web 或应用程序（以分钟为单位）之间的南北入站流量。 OCI 区域包含两个可用性域。该区域包含一个中心 VCN 和一个通过动态路由网关 (DRG) 连接的分支 VCN（Web 或应用程序层）。

• Hub VCN (192.168.0.0/16)：集线器 VCN 包含两个 VM 系列防火墙虚拟机 (VM) 的集群，每个可用性域中有一个 VM，作为内部和外部灵活的网络负载平衡器之间的三明治。集线器 VCN 还可以包含管理 VM (Panorama) 来管理 VM 系列防火墙。集线器 VCN 包括四个子网：
  • 管理子网、信任子网、不可信子网和 NLB 子网。管理子网使用主接口 (vNIC0) 允许最终用户连接到用户界面。
  • 不信任子网使用第二个接口 (vNIC1) 来与 VM 系列防火墙进行外部通信。
  • 信任子网使用第三个接口 (vNIC2) 进行到 VM 系列防火墙内部通信。
  • NLB 子网允许最终用户创建专用或公共灵活的网络负载平衡器，从而允许从互联网进行内部部署和入站连接。
• 入站流量通过外部网络负载平衡器公共 IP 从外部源输入中心 VCN 到 VM 系列防火墙：
  • Internet 网关：来自 Internet 和外部 Web 客户端的流量路由到外部公共网络负载平衡器，然后通过不信任的接口转到 VM 系列防火墙之一。NLB 公共负载平衡器具有公共地址，您可以从外部进行连接。默认路由允许目标 CIDR 为 0.0.0.0/0（所有地址）和不可信子网 CIDR 中的第一个主机 IP 地址。
  • 动态路由网关 (DRG)：来自客户数据中心 (172.16.0.0/12) 的流量路由到外部专用负载平衡器，然后通过不可信接口转到 VM 系列防火墙之一。DRG 目标 CIDR 为 10.0.0.0/24 或 10.0.1.0/24 或分支 VCN。DRG 还支持 VCN 之间的通信。每个 VCN 都具有 DRG 的附件。
  • VM 系列防火墙：流量通过网关 VM 和信任子网路由到 DRG。源地址转换发生在 VM 系列防火墙上，使用信任接口 IP 地址。与请求 VCN（10.0.0.0/24 或 10.0.1.0/24）或请求或数据库的请求 VCN 关联的信任子网的默认目标 CIDR。此地址是信任子网 CIDR 中的第一个主机 IP 地址。
  • DRG：从信任子网到请求 VCN 的流量通过 DRG 进行路由。
    • 应用程序或 Web：如果流量定向到此请求 VCN，则通过 DRG 应用程序或 Web VCN 连接连接进行路由。
    • 数据库：如果流量定向到此请求中的 VCN，则通过 DRG 数据库 VCN 连接连接进行路由。
• Web 或应用程序层占用了 VCN (10.0.0.0/24)：VCN 包含单个子网。应用程序负载平衡器管理每个可用性域中 Web 和应用程序 VM 之间的流量。从集线器 VCN 到应用负载平衡器的流量路由到 DRG 到应用负载平衡器。话题子网目标 CIDR 将作为默认子网 0.0.0.0/0（所有地址）通过 DRG 进行路由。