此图显示了使用 VM 系列防火墙的区域中通过集线器 VCN 的 Web 或应用(开始)VCN 的南北出站流量流。
OCI 区域包含两个可用性域。该区域包含一个集线器 VCN 和通过动态路由网关 (DRG) 附件连接的单个请求 VCN(Web 或应用程序层)。
- 请求(Web 或应用程序)VCN (10.0.0.0/24):VCN 包含单个子网。应用程序负载平衡器管理每个可用性域中 Web 或应用程序 VM 之间的流量。从应用负载平衡器到集线器 VCN 的出站流量通过动态路由网关 (DRG) 进行路由。话题子网目标 CIDR 通过 DRG 为 0.0.0.0/0(所有地址)。
- Hub VCN (192.168.0.0/16):集线器 VCN 包含两个 VM 系列防火墙虚拟机 (VM) 的集群,每个可用性域中有一个 VM,作为内部和外部灵活的网络负载平衡器 (NLB) 之间的三明治。集线器 VCN 还可以包含管理 VM (Panorama) 来管理 VM 系列防火墙。集线器 VCN 包括四个子网:
- 管理子网、信任子网、不可信子网和 NLB 子网。管理子网使用主接口 (vNIC0) 允许最终用户连接到用户界面。
- 不信任子网使用第二个接口 (vNIC1) 来与 VM 系列防火墙进行外部通信。
- 信任子网使用第三个接口 (vNIC2) 进行到 VM 系列防火墙内部通信。
- NLB 子网允许最终用户创建专用或公共灵活的网络负载平衡器,从而允许从互联网进行内部部署和入站连接。
- VM 系列防火墙:来自 DRG 的流量通过内部网络负载平衡器路由到通过信任子网通过集线器 VCN 网关路由到 VM 系列防火墙信任接口。此处,使用每个防火墙上的不可信接口专用 IP 来支持出站流量。
- Internet 网关:通过互联网网关路由到 Internet 和外部 Web 客户端的流量。Internet 网关的不信任子网目标 CIDR 为 0.0.0.0/0(所有地址)。
- 动态路由网关:通过 DRG 路由到客户数据中心的流量。动态路由网关的不信任子网目标 CIDR 为 172.16.0.0/12。DRG 还用于支持 VCN 之间的通信。每个 VCN 都具有一个 DRG 附件。