En esta imagen se muestra el flujo de tráfico entrante norte-sur entre el VCN de hub y el VCN web/application (hablado) en una región que utiliza el firewall de la serie VM de Palo Alto Networks. La región de Oracle Cloud Infrastructure incluye dos dominios de disponibilidad. La región contiene un VCN de hub y un único VCN hablado (web o nivel de aplicación) conectado por gateways de peering locales (LPG).

• VCN de hub (192.168.0.0/16): VCN de hub contiene un cluster de dos máquinas virtuales Palo Alto Networks (VM) con una VM en cada uno de los dominios de disponibilidad como sándwich entre equilibrador de carga de red flexible interno y externo. El hub VCN incluye cuatro subredes: una subred de gestión, una subred de confianza, una subred de no confianza y una subred nlb.

  • La subred de gestión utiliza la interfaz de gestión (interfaz primaria- VNIC0) para permitir a los usuarios finales conectarse a la interfaz de usuario.
  • La subred no confiable utiliza la tarjeta de red virtual 1 (VNIC1) para el tráfico externo desde o hacia Palo Alto Networks VM-Series Firewall.
  • La subred de confianza utiliza VNIC2 para el tráfico interno desde o hacia Palo Alto Networks VM Series Firewall.
  • La subred nlb permite al usuario final crear un equilibrador de carga de red flexible privado/público que permita la conexión local y/o entrante desde Internet.

  El tráfico entrante entra en el VCN de hub desde orígenes externos a través del equilibrador de carga de red externa hasta el firewall de la serie VM de Palo Alto Networks y, a continuación, a través de la subred de confianza hasta el gateway de peering local (LPG):

  • Gateway de Internet: Tráfico desde rutas de Internet y clientes web externos al equilibrador de carga de red pública externa y luego va a uno de los firewall Palo Alto Networks VM-Series a través de la subred de desconfianza. La subred de desconfianza tiene una dirección pública que permite al usuario conectarse desde fuera. Hay una ruta predeterminada que permite CIDR de destino es 0.0.0.0/0 (todas las direcciones).
  • Gateway de enrutamiento dinámico: el tráfico desde el centro de datos del cliente (172.16.0.0/12) se enruta al equilibrador de carga privado externo y, a continuación, se dirige a uno de los firewall de la serie VM de Palo Alto Networks a través de la subred de desconfianza. El CIDR de destino de DRG es 10.0.0.0/24 o 10.0.1.0/24 (VCN hablados: aplicación y base de datos).
  • Redes Palo Alto: el tráfico se enruta a través de la VM de puerta de enlace y la subred de confianza al GLP. La traducción de la dirección de origen ocurre en el firewall de la serie VM. El CIDR de destino por defecto para la subred de confianza es 10.0.0.0/24 y/o 10.0.1.0/24 (VCN hablados: aplicación/base de datos).
  • Gateway de intercambio de tráfico local: el tráfico desde la subred de confianza a la VCN hablada se enruta a través de LPG.
  • Aplicación o web: si el tráfico está destinado a este VCN hablado, se enruta a través de la conexión LPG.
  • Base de datos: si el tráfico está destinado a este VCN hablado, se enruta a través de la conexión LPG.

• VCN hablado de nivel de aplicación o web (10.0.0.0/24): VCN contiene una sola subred. Un equilibrador de carga de aplicación gestiona el tráfico entre máquinas virtuales web y de aplicación en cada uno de los dominios de disponibilidad. El tráfico desde el VCN de hub hasta el equilibrador de carga de la aplicación se direcciona a través de un gateway de peering local al equilibrador de carga de la aplicación. El CIDR de destino de subred hablada es 0.0.0.0/0 (todas las direcciones).