Cette image montre le flux de trafic entrant nord-sud entre le hub VCN et le Web/application (parlé) VCN dans une région utilisant le pare-feu VM-Series Palo Alto Networks. La région Oracle Cloud Infrastructure comprend deux domaines de disponibilité. La région contient un hub VCN et un VCN unique (niveau Web ou application) connecté par des passerelles homologues locales (LPG).

• Hub VCN (192.168.0.0/16) : le hub VCN contient un réseau haute disponibilité sur deux machines virtuelles Palo Alto Networks (VM) avec une VM dans chacun des domaines de disponibilité. Le hub VCN comprend quatre sous-réseaux : un sous-réseau de gestion, un sous-réseau de confiance, un sous-réseau non fiable et un sous-réseau haute disponibilité.
  • Le sous-réseau de gestion utilise l'interface de gestion (interface principale - vNIC0) pour permettre aux utilisateurs finaux de se connecter à l'interface utilisateur.
  • Le sous-réseau non fiable utilise la carte réseau virtuelle 1 (vNIC1) pour le trafic externe vers ou depuis le pare-feu de la série VM-Series Palo Alto Networks.
  • Le sous-réseau trust utilise vNIC2 pour le trafic interne vers ou depuis le pare-feu VM-Series Palo Alto Networks.
  • Le sous-réseau haute disponibilité utilise l'interface vNIC3 pour s'assurer que les pare-feu VM-Sseries sont en haute disponibilité.

  Le trafic entrant entre dans le hub VCN à partir de sources externes via le sous-réseau non sécurisé vers le pare-feu VM-Series Palo Alto Networks, puis via le sous-réseau trust vers la passerelle d'appariement locale (LPG) :

  • Passerelle Internet : trafic depuis les clients Internet et Web externes vers le pare-feu VM-Series Palo Alto Networks dans le domaine de disponibilité 1 via le sous-réseau non sécurisé. Le sous-réseau untrust a une adresse publique qui permet à l'utilisateur de se connecter de l'extérieur. Il existe un chemin par défaut autorisant la destination CIDR est 0.0.0.0/0 (toutes les adresses).
  • Passerelle de routage dynamique : le trafic du centre de données client (172.16.0.0/12) est acheminé vers le pare-feu VM-Series Palo Alto Networks dans le domaine de disponibilité 1 via le sous-réseau non sécurisé. Le CIDR de destination DRG est 10.0.0.0/24 ou 10.0.1.0/24 (VCN parlé ; application et base de données).
  • Palo Alto Networks : le trafic est acheminé via la machine virtuelle de passerelle et le sous-réseau de confiance vers le GPL. Le CIDR de destination par défaut du sous-réseau d'assurance est 10.0.0.0/24 et/ou 10.0.1.0/24 (VCN parlé ; application/base de données).
  • Passerelle d'appariement local : le trafic entre le sous-réseau d'affectation spéciale et le VCN parlé est acheminé via le GPL.
    • Application ou Web : si le trafic est destiné à ce VCN parlé, il est acheminé via la connexion LPG.
    • Base de données : si le trafic est destiné à ce VCN parlé, il est acheminé via la connexion LPG.
• VCN de niveau Web ou application (10.0.0.0/24) : VCN contient un sous-réseau unique. Un équilibreur de charge gère le trafic entre les machines virtuelles Web et les applications dans chacun des domaines de disponibilité. Le trafic entre le hub VCN et l'équilibreur de charge est acheminé via une passerelle d'appariement locale vers l'équilibreur de charge. CIDR de destination du sous-réseau parlé est 0.0.0.0/0 (toutes les adresses).