Diese Abbildung zeigt den eingehenden Nord-Süd-Trafficfluss zwischen dem Hub VCN und dem Web/Application (Spoke) VCN in einer Region, die Palo Alto Networks VM-Series-Firewall verwendet. Der Oracle Cloud Infrastructure-Bereich umfasst zwei Verfügbarkeitsdomains. Die Region enthält ein Hub VCN und eine einzelne gesprochene VCN (Web- oder Anwendungsebene), die von lokalen Peering-Gateways (LPGs) verbunden ist.

• Hub VCN (192.168.0.0/16): Hub VCN enthält ein High Availability-Netzwerk auf zwei virtuellen Rechnern (VMs) von Palo Alto Networks mit einer VM in jeder der Availability-Domains. Das Hub VCN enthält vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein High Availability-Subnetz.
  • Das Verwaltungssubnetz verwendet die Managementschnittstelle (primäre Schnittstelle - vNIC0), um Endbenutzern die Verbindung zur Benutzeroberfläche zu ermöglichen.
  • Das nicht vertrauenswürdige Subnetz verwendet die virtuelle Netzwerkkarte 1 (vNIC1) für externen Traffic zur oder von der Palo Alto Networks VM-Series-Firewall.
  • Das Trust-Subnetz verwendet vNIC2 für internen Traffic zur oder von der Palo Alto Networks VM-Series-Firewall.
  • Das High Availability-Subnetz verwendet die vNIC3-Schnittstelle, um sicherzustellen, dass VM-Sseries Firewalls in hoher Verfügbarkeit sind.

  Eingehender Traffic betritt den Hub VCN von externen Quellen über das nicht vertrauenswürdige Subnetz zur Palo Alto Networks VM-Series-Firewall und dann über das Trust-Subnetz zum lokalen Peering-Gateway (LPG):

  • Internetgateway: Datenverkehr von Internet- und externen Webclients führt über das nicht vertrauenswürdige Subnetz zur VM-Series-Firewall Palo Alto Networks in Availability-Domain 1. Das nicht vertrauenswürdige Subnetz verfügt über eine öffentliche Adresse, mit der sich Benutzer von außen verbinden können. Es ist eine Standardroute vorhanden, die das CIDR-Ziel 0.0.0.0/0 zulässt (alle Adressen).
  • Dynamisches Routinggateway: Der Datenverkehr aus dem Customer Data Center (172.16.0.0/12) wird über das nicht vertrauenswürdige Subnetz an die Palo Alto Networks VM-Series-Firewall in Availability-Domain 1 weitergeleitet. DRG-Ziel-CIDR ist 10.0.0.0/24 oder 10.0.1.0/24 (Spoke-VVCNs; Anwendung und Datenbank).
  • Palo Alto Networks: Der Verkehr wird über die Gateway VM und das Trust-Subnet an die LPG weitergeleitet. Das Standard-Ziel-CIDR für das Trust-Subnetz ist 10.0.0.0/24 und/oder 10.0.1.0/24 (Spoke-VVCNs; Anwendung/Datenbank).
  • Lokales Peering-Gateway: Der Traffic vom Trust-Subnetz zum gesprochenen VCN wird über die LPG weitergeleitet.
    • Anwendung oder Web: Wenn Traffic zu diesem Spoke VCN bestimmt ist, wird er über LPG-Verbindung weitergeleitet.
    • Datenbank: Wenn Traffic zu diesem gesprochenen VCN bestimmt ist, wird er über LPG-Verbindung weitergeleitet.
• Web- oder Anwendungsebene sprach VCN (10.0.0.0/24): VCN enthält ein einzelnes Subnetz. Ein Load Balancer verwaltet den Datenverkehr zwischen Web- und Anwendungs-VMs in jeder Availability-Domain. Traffic vom Hub VCN zum Load Balancer wird über ein lokales Peering-Gateway an den Load Balancer weitergeleitet. CIDR für Spoke-Subnetzziel ist 0.0.0.0/0 (alle Adressen).