Questa immagine mostra il flusso di traffico in entrata nord-sud tra l'hub VCN e l'applicazione Web/Web (spoke) VCN in un'area che utilizza Palo Alto Networks VM-Series Firewall. L'area Oracle Cloud Infrastructure include due domini di disponibilità. L'area contiene un VCN hub e un singolo VCN spoke (livello Web o applicazione) connesso da gateway peering locali (LPG).

• Hub VCN (192.168.0.0/16): Hub VCN contiene una rete ad alta disponibilità in due virtual machine Palo Alto Networks (VM) con una VM in ciascuno dei domini di disponibilità. L'hub VCN include quattro subnet: una subnet di gestione, una subnet sicura, una subnet non sicura e una subnet ad alta disponibilità.
  • La subnet di gestione utilizza l'interfaccia di gestione (interfaccia primaria- vNIC0) per consentire agli utenti finali di connettersi all'interfaccia utente.
  • La subnet non sicura utilizza la scheda di rete virtuale 1 (vNIC1) per il traffico esterno da o verso il firewall della serie VM Palo Alto Networks.
  • La subnet trust utilizza vNIC2 per il traffico interno da o verso il firewall della serie VM Palo Alto Networks.
  • La subnet High Availability utilizza l'interfaccia vNIC3 per assicurarsi che i firewall VM-Sseries siano in alta disponibilità.

  Il traffico in entrata entra nell'hub VCN da origini esterne attraverso la subnet non sicura al firewall della serie VM Palo Alto Networks, quindi tramite la subnet trust al gateway peering locale (LPG):

  • Gateway Internet: il traffico da Internet e da client Web esterni passa al firewall della serie VM Palo Alto Networks nel dominio di disponibilità 1 tramite la subnet non sicura. La subnet non sicura ha un indirizzo pubblico che consente all'utente di connettersi dall'esterno. Esiste un instradamento predefinito per consentire la destinazione CIDR: 0.0.0.0/0 (tutti gli indirizzi).
  • Gateway di instradamento dinamico: il traffico dal data center cliente (172.16.0.0/12) viene instradato al firewall della serie VMwall Palo Alto Networks nel dominio di disponibilità 1 tramite la subnet non sicura. Il CIDR di destinazione DRG è 10.0.0.0/24 o 10.0.1.0/24 (VCN spoke; applicazione e database).
  • Palo Alto Networks: Il traffico viene instradato attraverso la VM gateway e la subnet trust al GPL. Il CIDR di destinazione predefinito per la subnet sicura è 10.0.0.0/24 e/o 10.0.1.0/24 (VCN spoke; applicazione/database).
  • Gateway peering locale: il traffico dalla subnet trust alla VCN spoke viene instradato sul GPL.
    • Applicazione o Web: se il traffico è destinato a questo spoke VCN, viene instradato tramite la connessione LPG.
    • Database: se il traffico è destinato a questo VCN spoke, viene instradato tramite la connessione GPL.
• Livello Web o applicazione parlato da VCN (10.0.0.0/24): VCN contiene una singola subnet. Un load balancer gestisce il traffico tra VM Web e applicazioni in ciascuno dei domini di disponibilità. Il traffico dall'hub VCN al load balancer viene instradato su un gateway peering locale al load balancer. Il CIDR di destinazione subnet spoke è 0.0.0.0/0 (tutti gli indirizzi).