In dieser Abbildung wird der ausgehende Nord-Süd-Trafficfluss aus dem Web oder der Anwendung (Spoke) VCN über den Hub VCN in einer Region angezeigt, die Palo Alto Networks VM-Series-Firewall verwendet.

Der Oracle Cloud Infrastructure-Bereich umfasst zwei Verfügbarkeitsdomains. Die Region enthält ein Hub VCN und eine einzelne gesprochene VCN (Web- oder Anwendungsebene), die von lokalen Peering-Gateways (LPG) verbunden ist.

• Spoke (Web oder Anwendung) VCN (10.0.0.0/24): VCN enthält ein einzelnes Subnetz. Ein Load Balancer verwaltet den Datenverkehr zwischen den Web- oder Anwendungs-VMs in jeder der Verfügbarkeitsdomains. Ausgehender Traffic vom Load Balancer zum Hub VCN wird über ein lokales Peering-Gateway weitergeleitet. CIDR für Spoke-Subnetzziel ist 0.0.0.0/0 (alle Adressen).
• Hub VCN (192.168.0.0/16): Hub VCN enthält ein High Availability-Netzwerk auf zwei virtuellen Rechnern (VMs) von Palo Alto Networks mit einer VM in jeder der Availability-Domains. Das Hub VCN enthält vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein HA-Subnetz.
  • Das Verwaltungssubnetz verwendet die Managementschnittstelle (primäre Schnittstelle), um Endbenutzern die Verbindung zur Benutzeroberfläche von außen oder über eine Proxy-VM zu ermöglichen.
  • Das nicht vertrauenswürdige Subnetz verwendet die virtuelle Netzwerkkarte 1 (vNIC1) für externen Traffic zur oder aus der Firewall der Palo Alto Networks VM-Serie.
  • Das Trust-Subnetz verwendet vNIC2 für internen Traffic zur oder aus der Firewall der Palo Alto Networks VM-Serie.
  • Das High Availability-Subnetz verwendet die vNIC3-Schnittstelle, um sicherzustellen, dass die Firewall der VM-Serie in hoher Verfügbarkeit ist.
  Ausgehender Traffic aus der Spoke (Web oder Anwendung) VCN gibt das Hub VCN Trust-Subnetz in die Firewall der Palo Alto Networks VM-Serie ein und durchläuft dann das nicht vertrauenswürdige Subnetz zu externen Zielen.

  • Lokales Peering-Gateway: Der Traffic vom gesprochenen VCN zum Hub VCN Trust-Subnetz wird über das LPG weitergeleitet. Das Trust-Subnetzziel CIDR ist 0.0.0.0/0 (alle Adressen).
  • Palo Alto Networks: Traffic aus der LPG wird über die Palo Alto Networks VM in Availability-Domain 1 und das Trust-Subnetz über die Hub-VCN-Gateways zu externen Zielen weitergeleitet.
  • Internetgateway: Datenverkehr zu Internet und externen Web-Clients wird über ein Internetgateway weitergeleitet. Das nicht vertrauenswürdige Subnetz-Ziel-CIDR für das Internetgateway ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routinggateway: Der Verkehr zum Customer Data Center wird über ein dynamisches Routinggateway geleitet. Das nicht vertrauenswürdige Subnetzziel-CIDR für das dynamische Routinggateway ist 172.16.0.0/12.