In dieser Abbildung wird der ausgehende Nord-Süd-Trafficfluss aus dem Web oder der Anwendung (Spoke) VCN über den Hub VCN in einer Region angezeigt, die Palo Alto Networks VM-Series-Firewall verwendet.

Die Oracle Cloud Infrastructure-Region umfasst zwei Verfügbarkeitsdomains. Die Region enthält ein Hub VCN und eine einzelne gesprochene VCN (Web- oder Anwendungsebene), die von lokalen Peering-Gateways (LPG) verbunden ist.

• Spoke (Web oder Anwendung) VCN (10.0.0.0/24): VCN enthält ein einzelnes Subnetz. Ein Application Load Balancer verwaltet den Datenverkehr zwischen den Web- oder Anwendungs-VMs in jeder der Verfügbarkeitsdomains. Ausgehender Traffic vom Application Load Balancer zum Hub VCN wird über ein lokales Peering-Gateway weitergeleitet. Das Spoke-Subnetzziel CIDR ist 0.0.0.0/0 (alle Adressen).
• Hub VCN (192.168.0.0/16): Hub VCN enthält ein High Availability-Netzwerk auf zwei virtuellen Rechnern (VMs) von Palo Alto Networks mit einer VM in jeder der Availability-Domains. Das Hub VCN umfasst vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein nlb-Subnetz.
  • Das Management-Subnetz verwendet die Managementschnittstelle (primäre Schnittstelle), um Endbenutzern die Verbindung zur Benutzeroberfläche von außen oder über eine Proxy-VM zu ermöglichen.
  • Das nicht vertrauenswürdige Subnetz verwendet die virtuelle Netzwerkkarte 1 (VNIC1) für externen Traffic zur oder aus der Firewall der Palo Alto Networks VM-Serie.
  • Das Trust-Subnetz verwendet V für den internen Datenverkehr zur oder von der Firewall der Palo Alto Networks VM-Serie.
  • Das nlb-Subnetz ermöglicht es dem Endbenutzer, einen privaten/öffentlichen flexiblen Netzwerklastausgleich zu erstellen, der On-Premise und/oder eingehende Verbindungen aus dem Internet ermöglicht.

  Ausgehender Traffic aus dem Spoke (Web oder Anwendung) VCN gibt den internen Load Balancer von Hub VCN ein, der den Traffic an die Firewallvertrauensschnittstellen der VM-Serie Palo Alto Networks sendet, und anschließend über das nicht vertrauenswürdige Subnetz an externe Ziele.

  • Lokales Peering-Gateway: Der Traffic vom gesprochenen VCN zum Hub VCN Trust-Subnetz wird über das LPG weitergeleitet. Das Trust-Subnetzziel CIDR ist 0.0.0.0/0 (alle Adressen).
  • Palo Alto Networks: Der Datenverkehr von der LPG wird über den internen Load Balancer des Netzwerks über das Trustsubnetz über die Hub-VCN-Gateways zu externen Zielen an die VM-Firewwallvertrauensschnittstellen von Palo Alto Networks weitergeleitet.
  • Internetgateway: Der Datenverkehr zu Internet und externen Web-Clients wird über ein Internetgateway weitergeleitet. Das nicht vertrauenswürdige Subnetzziel CIDR für das Internetgateway ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routinggateway: Der Datenverkehr zum Kundendatencenter wird über ein dynamisches Routinggateway geleitet. Das nicht vertrauenswürdige Subnetzziel-CIDR für das dynamische Routinggateway ist 172.16.0.0/12.