Questa immagine mostra il flusso di traffico in uscita nord-sud dal Web o dall'applicazione (spoke) VCN attraverso l'hub VCN in un'area che utilizza Palo Alto Networks VM-Series Firewall.

L'area Oracle Cloud Infrastructure include due domini di disponibilità. L'area contiene un VCN hub e un singolo VCN spoke (livello Web o applicazione) connesso da gateway peering locali (LPG).

• Spoke (Web o applicazione) VCN (10.0.0.0/24): VCN contiene una singola subnet. Un load balancer dell'applicazione gestisce il traffico tra le VM Web o dell'applicazione in ciascuno dei domini di disponibilità. Il traffico in uscita dal load balancer dell'applicazione all'hub VCN viene instradato su un gateway peering locale. La destinazione della subnet spoke CIDR è 0.0.0.0/0 (tutti gli indirizzi).
• Hub VCN (192.168.0.0/16): Hub VCN contiene una rete ad alta disponibilità su due virtual machine Palo Alto Networks (VM) con una VM in ciascuno dei domini di disponibilità. L'hub VCN include quattro subnet: una subnet di gestione, una subnet trust, una subnet non sicura e una subnet nlb.
  • La subnet di gestione utilizza l'interfaccia di gestione (interfaccia primaria) per consentire agli utenti finali di connettersi all'interfaccia utente dall'esterno o tramite una VM proxy.
  • La subnet non sicura utilizza la scheda di rete virtuale 1 (VNIC1) per il traffico esterno da o verso il firewall della serie VM Palo Alto Networks.
  • La subnet trust utilizza V per il traffico interno da o verso il firewall della serie VM Palo Alto Networks.
  • La subnet nlb consente all'utente finale di creare un load balancer flessibile di rete privato/pubblico che consente la connessione in locale e/o in entrata da Internet.

  Il traffico in uscita dall'interfaccia spoke (Web o applicazione) di VCN entra nel load balancer interno di rete VCN dell'hub che invia il traffico alle interfacce sicure del firewall della serie VM Palo Alto Networks, quindi attraverso la subnet non sicura alle destinazioni esterne.

  • Gateway peering locale: il traffico dalla VCN spoke alla subnet trust VCN hub viene instradato sul GPL. La destinazione della subnet sicura CIDR è 0.0.0.0/0 (tutti gli indirizzi).
  • Palo Alto Networks: il traffico dal GPL viene instradato tramite load balancer di rete interno alle interfacce di sicurezza del firewall VM Palo Alto Networks tramite la subnet trust, attraverso i gateway VCN hub a destinazioni esterne.
  • Gateway Internet: il traffico verso Internet e i client Web esterni viene instradato tramite un gateway Internet. La destinazione della subnet CIDR non sicura per il gateway Internet è 0.0.0.0/0 (tutti gli indirizzi).
  • Gateway di instradamento dinamico: il traffico verso il data center del cliente viene instradato attraverso un gateway di instradamento dinamico. Il CIDR di destinazione della subnet non sicuro per il gateway di instradamento dinamico è 172.16.0.0/12.