Diese Abbildung zeigt den eingehenden Nord-Süd-Trafficfluss zwischen dem Hub VCN und dem Web/Application (Spoke) VCN in einer Region, die Palo Alto Networks VM-Series-Firewall verwendet. Die Oracle Cloud Infrastructure-Region umfasst zwei Verfügbarkeitsdomains. Die Region enthält ein Hub VCN und eine einzelne gesprochene VCN (Web- oder Anwendungsebene), die mit lokalen Peering-Gateways (LPGs) verbunden ist.

• Hub VCN (192.168.0.0/16): Hub VCN enthält ein Cluster aus zwei virtuellen Palo Alto Networks-Rechnern (VMs) mit einer VM in jeder der Verfügbarkeitsdomänen als Sandwich zwischen internem und externem flexiblem Network Load Balancer. Das Hub VCN umfasst vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein nlb-Subnetz.

  • Das Verwaltungssubnetz verwendet die Managementschnittstelle (primäre Schnittstelle - VNIC0), um Endbenutzern die Verbindung zur Benutzeroberfläche zu ermöglichen.
  • Das nicht vertrauenswürdige Subnetz verwendet die virtuelle Netzwerkkarte 1 (VNIC1) für externen Traffic zur oder von der Palo Alto Networks VM-Series-Firewall.
  • Das Trust-Subnetz verwendet VNIC2 für internen Traffic zur oder von der Palo Alto Networks VM-Series-Firewall.
  • Das nlb-Subnetz ermöglicht es dem Endbenutzer, einen privaten/öffentlichen flexiblen Netzwerklastausgleich zu erstellen, der On-Premise und/oder eingehende Verbindungen aus dem Internet ermöglicht.

  Eingehender Traffic betritt den Hub VCN von externen Quellen über den externen Network Load Balancer zur Palo Alto Networks VM-Series-Firewall und dann über das Trust-Subnetz zum lokalen Peering-Gateway (LPG):

  • Internetgateway: Datenverkehr von Internet- und externen Web-Clients führt zum externen öffentlichen Netzwerklastbalancer und geht dann über das nicht vertrauenswürdige Subnetz zu einer der Palo Alto Networks VM-Series-Firewall. Das nicht vertrauenswürdige Subnetz verfügt über eine öffentliche Adresse, mit der sich Benutzer von außen verbinden können. Es gibt eine Standardroute, die das Ziel CIDR zulässt, ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routing-Gateway: Der Datenverkehr aus dem Customer Data Center (172.16.0.0/12) wird an externen privaten Load Balancer weitergeleitet und geht dann über das nicht vertrauenswürdige Subnetz an eine der Palo Alto Networks VM-Series-Firewall. DRG-Ziel-CIDR ist 10.0.0.0/24 oder 10.0.1.0/24 (Spoke-VVCNs: Anwendung und Datenbank).
  • Palo Alto Networks: Traffic wird über die Gateway VM und das Trust-Subnetz an die LPG weitergeleitet. Quelladressübersetzung erfolgt auf VM-Series-Firewall. Das Standard-Ziel-CIDR für das Trust-Subnetz ist 10.0.0.0/24 und/oder 10.0.1.0/24 (Spoke-VVCNs: application/database).
  • Lokales Peering-Gateway: Der Traffic vom Trust-Subnetz zum gesprochenen VCN wird über die LPG weitergeleitet.
  • Anwendung oder Web: Wenn Traffic zu diesem gesprochenen VCN bestimmt ist, wird er über LPG-Verbindung weitergeleitet.
  • Datenbank: Wenn Traffic zu diesem gesprochenen VCN bestimmt ist, wird er über LPG-Verbindung weitergeleitet.

• Web- oder Anwendungsebene sprach VCN (10.0.0.0/24): VCN enthält ein einzelnes Subnetz. Ein Application Load Balancer verwaltet den Datenverkehr zwischen Web- und Anwendungs-VMs in jeder der Verfügbarkeitsdomains. Der Traffic vom Hub VCN zum Application Load Balancer wird über ein lokales Peering-Gateway an den Application Load Balancer weitergeleitet. Das Spoke-Subnetzziel CIDR ist 0.0.0.0/0 (alle Adressen).