Dieses Bild zeigt eine Oracle Cloud Infrastructure-Region mit zwei Availability-Domains. Die Region umfasst drei virtuelle Cloud-Netzwerke (VCNs) in einem Hub und eine Sprechtopologie, die durch lokale Peering-Gateways (LPGs) verbunden ist. Die VCNs sind hier als funktionale Schichten angeordnet.

• Hub VCN: Hub VCN enthält ein Cluster von zwei virtuellen Rechnern (VMs) von Palo Alto Networks mit einer VM in jeder der Verfügbarkeitsdomänen als Sandwich zwischen internem und externem flexiblem Load Balancer. Das Hub VCN umfasst vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein nlb-Subnetz.

  • Das Verwaltungssubnetz verwendet die Managementschnittstelle (primäre Schnittstelle - vNIC0), um Endbenutzern die Verbindung zur Benutzeroberfläche zu ermöglichen.
  • Das nicht vertrauenswürdige Subnetz verwendet die virtuelle Netzwerkkarte 1 (vNIC1) für externen Traffic zur oder von der Palo Alto Networks VM-Series-Firewall.
  • Das Trust-Subnetz verwendet vNIC2 für internen Traffic zur oder von der Palo Alto Networks VM-Series-Firewall.
  • Das nlb-Subnetz ermöglicht es dem Endbenutzer, einen privaten/öffentlichen flexiblen Netzwerklastausgleich zu erstellen, der eine On-Prem-und/oder eingehende Verbindung aus dem Internet ermöglicht.

  Das Hub VCN umfasst die folgenden Kommunikationsgateways:

  • Internetgateway: Verbindet Internet- und externe Web-Clients mit der VM-Series-Firewall Palo Alto Networks in Availability-Domain 1 über das nicht vertrauenswürdige Subnetz.
  • Dynamisches Routing-Gateway: Verbindet das Customer Data Center und die Customer Premise Equipment über IPSec VPN oder FastConnect mit der Palo Alto Networks VM-Series Firewall in Availability-Domain 1 über das nicht vertrauenswürdige Subnetz. •
  • Servicegateway: Verbindet den Hub VCN mit Oracle Cloud Infrastructure Object Storage und anderen Oracle-Services für die Region.
  • Lokales Peering-Gateway: Verbindet die Palo Alto Networks VM-Series-Firewall in Availability-Domain 1 mit der Web- oder Anwendungs-Tier-VCN und der Datenbank-Tier-VCN über das Trust-Subnetz.

  Das Hub VCN umfasst die folgenden flexiblen Load Balancer für das Netzwerk:

  • Load Balancer für externes Netzwerk
    • Private Load Balancer mit nicht vertrauenswürdigen Schnittstellen von Palo Alto Networks VM Series Firewalls. On-Prem meldet sich mit Dynamic Routing Gateway bei diesem Load Balancer an.
    • Öffentlicher Load Balancer, der auch nicht vertrauenswürdige Schnittstellen von Palo Alto Networks VM Series Firewalls hat. Dies sollte ein öffentlicher Load Balancer sein. Internetverkehr verbindet sich mit diesem Load Balancer über Internet Gateway.
  • Interner Network Load Balancer mit Vertrauensschnittstellen von Palo Alto Networks VM Series Firewalls. Traffic to/from Spoke VCNs verbindet sich mit diesem Load Balancer mit lokalen Programmiergateways (LPGs).

• Web- oder Anwendungs-Spoke VCN: Das VCN enthält mindestens ein einzelnes Subnetz. Ein Load Balancer verwaltet den Datenverkehr zwischen Web- oder Anwendungs-VMs in jeder der Verfügbarkeitsdomains. Die Application Tier VCN ist über ein lokales Peering-Gateway mit dem Hub VCN verbunden.

• Datenbank-Spoke VCN: VCN enthält ein einzelnes Subnetz. Ein primäres Datenbanksystem befindet sich in Availability-Domain 1, und ein Standby-Datenbanksystem befindet sich in Availability-Domain 2. Die Datenbank-Tier-VCN ist über ein lokales Peering-Gateway mit dem Hub VCN verbunden.