Questa immagine mostra il flusso di traffico in entrata nord-sud tra l'hub VCN e l'applicazione Web/Web (spoke) VCN in un'area che utilizza Palo Alto Networks VM-Series Firewall. L'area Oracle Cloud Infrastructure include due domini di disponibilità. L'area contiene un VCN hub e un singolo VCN spoke (livello Web o applicazione) connesso da gateway peering locali (LPG).

• Hub VCN (192.168.0.0/16): Hub VCN contiene un cluster di due virtual machine Palo Alto Networks (VM) con una VM in ciascuno dei domini di disponibilità come sandwich tra load balancer di rete flessibile interno ed esterno. L'hub VCN include quattro subnet: una subnet di gestione, una subnet trust, una subnet non sicura e una subnet nlb.

  • La subnet di gestione utilizza l'interfaccia di gestione (interfaccia primaria- VNIC0) per consentire agli utenti finali di connettersi all'interfaccia utente.
  • La subnet non sicura utilizza la scheda di rete virtuale 1 (VNIC1) per il traffico esterno da o verso il firewall della serie VM Palo Alto Networks.
  • La subnet trust utilizza VNIC2 per il traffico interno da o per il firewall della serie VM Palo Alto Networks.
  • La subnet nlb consente all'utente finale di creare un load balancer flessibile di rete privato/pubblico che consente la connessione in locale e/o in entrata da Internet.

  Il traffico in entrata entra nell'hub VCN da origini esterne tramite il load balancer di rete esterna al firewall della serie VM Palo Alto Networks, quindi tramite la subnet trust al gateway peering locale (LPG):

  • Gateway Internet: Traffico da Internet e client web esterni percorsi al load balancer della rete pubblica esterna e poi va a uno dei Palo Alto Networks VM-Series Firewall attraverso la sottorete sfiducia. La subnet di sfiducia ha un indirizzo pubblico che consente all'utente di connettersi dall'esterno. Esiste un instradamento predefinito per consentire la destinazione CIDR: 0.0.0.0/0 (tutti gli indirizzi).
  • Gateway di instradamento dinamico: il traffico dal data center cliente (172.16.0.0/12) viene instradato al load balancer privato esterno e quindi passa a uno dei firewall della serie VMwall Palo Alto Networks attraverso la subnet non sicura. Il CIDR di destinazione DRG è 10.0.0.0/24 o 10.0.1.0/24 (VCN parlati: applicazione e database).
  • Palo Alto Networks: Il traffico viene instradato attraverso la VM gateway e la subnet trust al GPL. La traduzione dell'indirizzo di origine avviene su VM-Series Firewall. Il CIDR di destinazione predefinito per la subnet sicura è 10.0.0.0/24 e/o 10.0.1.0/24 (VCN parlati: applicazione/database).
  • Gateway peering locale: il traffico dalla subnet trust a VCN spoke viene instradato sul GPL.
  • Applicazione o Web: se il traffico è destinato a questo VCN spoke, viene instradato tramite la connessione GPL.
  • Database: se il traffico è destinato a questo VCN spoke, viene instradato tramite la connessione LPG.

• Livello Web o applicazione parlato da VCN (10.0.0.0/24): VCN contiene una singola subnet. Un load balancer dell'applicazione gestisce il traffico tra VM Web e applicazioni in ciascuno dei domini di disponibilità. Il traffico dall'hub VCN al load balancer dell'applicazione viene instradato su un gateway peering locale al load balancer dell'applicazione. La destinazione della subnet spoke CIDR è 0.0.0.0/0 (tutti gli indirizzi).