En esta imagen se muestra el flujo de tráfico entrante norte-sur entre el VCN de hub y el VCN web/application (hablado) en una región que utiliza el firewall de la serie VM de Palo Alto Networks. La región de Oracle Cloud Infrastructure incluye dos dominios de disponibilidad. La región contiene un VCN de hub y un único VCN hablado (nivel de aplicación o web) conectado por gateways de peering locales (LPG).

• VCN de hub (192.168.0.0/16): VCN de hub contiene una red de alta disponibilidad en dos máquinas virtuales (VM) de Palo Alto Networks con una VM en cada uno de los dominios de disponibilidad. El hub VCN incluye cuatro subredes: una subred de gestión, una subred de confianza, una subred de no confianza y una subred de alta disponibilidad.
  • La subred de gestión utiliza la interfaz de gestión (interfaz primaria: vNIC0) para permitir a los usuarios finales conectarse a la interfaz de usuario.
  • La subred no confiable utiliza la tarjeta de red virtual 1 (vNIC1) para el tráfico externo desde o hacia Palo Alto Networks VM Series Firewall.
  • La subred trust utiliza vNIC2 para el tráfico interno desde o hacia Palo Alto Networks VM-Series Firewall.
  • La subred de alta disponibilidad utiliza la interfaz vNIC3 para asegurarse de que los firewalls de la serie VM-S están en alta disponibilidad.

  El tráfico entrante entra en el VCN de hub desde orígenes externos a través de la subred de desconfianza hasta el firewall de la serie VM de Palo Alto Networks y, a continuación, a través de la subred de confianza hasta el gateway de peering local (LPG):

  • Gateway de Internet: tráfico desde rutas de Internet y clientes web externos al firewall de la serie VM de Palo Alto Networks en el dominio de disponibilidad 1 a través de la subred de no confianza. La subred de desconfianza tiene una dirección pública que permite al usuario conectarse desde fuera. Hay una ruta predeterminada que permite CIDR de destino es 0.0.0.0/0 (todas las direcciones).
  • Gateway de enrutamiento dinámico: el tráfico desde el centro de datos del cliente (172.16.0.0/12) se direcciona al firewall de la serie VM de Palo Alto Networks en el dominio de disponibilidad 1 a través de la subred no confiable. El CIDR de destino de DRG es 10.0.0.0/24 o 10.0.1.0/24 (VCN hablados; aplicación y base de datos).
  • Redes Palo Alto: el tráfico se enruta a través de la VM de puerta de enlace y la subred de confianza al GLP. El CIDR de destino por defecto para la subred de confianza es 10.0.0.0/24 y/o 10.0.1.0/24 (VCN hablados; aplicación/base de datos).
  • Gateway de intercambio de tráfico local: el tráfico desde la subred de confianza a la VCN hablada se enruta a través de LPG.
    • Aplicación o web: si el tráfico está destinado a este VCN hablado, se direcciona a través de la conexión LPG.
    • Base de datos: si el tráfico está destinado a este VCN hablado, se direcciona a través de la conexión LPG.
• VCN hablado de nivel web o de aplicación (10.0.0.0/24): VCN contiene una sola subred. Un equilibrador de carga gestiona el tráfico entre máquinas virtuales web y de aplicaciones en cada uno de los dominios de disponibilidad. El tráfico desde el VCN de hub al equilibrador de carga se enruta a través de un gateway de intercambio de tráfico local al equilibrador de carga. CIDR de destino de subred hablada es 0.0.0.0/0 (todas las direcciones).