Cette image montre le flux de trafic entrant nord-sud entre le hub VCN et le Web/application (parlé) VCN dans une région utilisant le pare-feu VM-Series Palo Alto Networks. La région Oracle Cloud Infrastructure comprend deux domaines de disponibilité. La région contient un hub VCN et un VCN unique (niveau Web ou application) connecté par des passerelles d'appariement locales (LPG).

• Hub VCN (192.168.0.0/16) : le hub VCN contient un cluster de deux machines virtuelles Palo Alto Networks (VM) avec une VM dans chacun des domaines de disponibilité en tant que sandwich entre équilibreur de charge réseau flexible interne et externe. Le hub VCN comprend quatre sous-réseaux : un sous-réseau de gestion, un sous-réseau de confiance, un sous-réseau non fiable et un sous-réseau nlb.

  • Le sous-réseau de gestion utilise l'interface de gestion (interface principale - VNIC0) pour permettre aux utilisateurs finaux de se connecter à l'interface utilisateur.
  • Le sous-réseau non fiable utilise la carte réseau virtuelle 1 (VNIC1) pour le trafic externe vers ou depuis le pare-feu VM-Series Palo Alto Networks.
  • Le sous-réseau trust utilise VNIC2 pour le trafic interne vers ou depuis le pare-feu VM-Series Palo Alto Networks.
  • Le sous-réseau nlb permet à l'utilisateur final de créer un équilibreur de charge réseau flexible privé/public qui permet une connexion sur site et/ou entrante à partir d'Internet.

  Le trafic entrant entre dans le hub VCN à partir de sources externes via l'équilibreur de charge réseau externe vers le pare-feu VM-Series Palo Alto Networks, puis via le sous-réseau trust vers la passerelle d'appariement locale (LPG) :

  • Passerelle Internet : Le trafic depuis Internet et les clients Web externes se dirige vers l'équilibreur de charge réseau public externe, puis vers l'un des pare-feu VM-Series Palo Alto Networks via le sous-réseau non fiable. Le sous-réseau non fiable dispose d'une adresse publique qui permet à l'utilisateur de se connecter de l'extérieur. Il existe un chemin par défaut autorisant la destination CIDR est 0.0.0.0/0 (toutes les adresses).
  • Passerelle de routage dynamique : le trafic du centre de données client (172.16.0.0/12) est acheminé vers un équilibreur de charge privé externe, puis vers l'un des pare-feu VM-Series Palo Alto Networks via le sous-réseau non sécurisé. Le CIDR de destination DRG est 10.0.0.0/24 ou 10.0.1.0/24 (VCN parlé : application et base de données).
  • Palo Alto Networks : Le trafic est acheminé à travers la VM de passerelle et le sous-réseau de confiance vers le GPL. La traduction d'adresse source se produit sur le pare-feu VM-Series. Le CIDR de destination par défaut pour le sous-réseau trust est 10.0.0.0/24 et/ou 10.0.1.0/24 (VCN parlé : application/base de données).
  • Passerelle d'appariement locale : le trafic entre le sous-réseau trust et le VCN parlé est acheminé via le GPL.
  • Application ou Web : si le trafic est destiné à ce VCN parlé, il est acheminé via la connexion LPG.
  • Base de données : si le trafic est destiné à ce VCN parlé, il est acheminé via la connexion LPG.

• VCN de niveau Web ou application (10.0.0.0/24) : VCN contient un sous-réseau unique. Un équilibreur de charge d'application gère le trafic entre les machines virtuelles Web et les applications dans chacun des domaines de disponibilité. Le trafic entre le hub VCN et l'équilibreur de charge de l'application est acheminé via une passerelle d'appariement locale vers l'équilibreur de charge de l'application. Le CIDR de destination du sous-réseau parlé est 0.0.0.0/0 (toutes les adresses).