Questa immagine mostra il flusso di traffico in uscita nord-sud dal Web o dall'applicazione (spoke) VCN tramite l'hub VCN in un'area che utilizza Palo Alto Networks VM-Series Firewall.

L'area Oracle Cloud Infrastructure include due domini di disponibilità. L'area contiene un VCN hub e un singolo VCN spoke (livello Web o applicazione) connesso da gateway peering locali (LPG).

• Spoke (Web o applicazione) VCN (10.0.0.0/24): VCN contiene una singola subnet. Un load balancer gestisce il traffico tra le VM Web o dell'applicazione in ciascuno dei domini di disponibilità. Il traffico in uscita dal load balancer all'hub VCN viene instradato su un gateway peering locale. Il CIDR di destinazione subnet spoke è 0.0.0.0/0 (tutti gli indirizzi).
• Hub VCN (192.168.0.0/16): Hub VCN contiene una rete ad alta disponibilità in due virtual machine Palo Alto Networks (VM) con una VM in ciascuno dei domini di disponibilità. L'hub VCN include quattro subnet: una subnet di gestione, una subnet sicura, una subnet non sicura e una subnet HA.
  • La subnet di gestione utilizza l'interfaccia di gestione (interfaccia primaria) per consentire agli utenti finali di connettersi all'interfaccia utente dall'esterno o tramite una VM proxy.
  • La subnet non sicura utilizza la scheda di rete virtuale 1 (vNIC1) per il traffico esterno da o verso il firewall della serie VM Palo Alto Networks.
  • La subnet trust utilizza vNIC2 per il traffico interno da o verso il firewall della serie VM Palo Alto Networks.
  • La subnet High Availability utilizza l'interfaccia vNIC3 per assicurarsi che il firewall della serie VM sia in alta disponibilità.
  Il traffico in uscita dal firewall della serie VM di Palo Alto Networks (Web o applicazione) VCN immette la subnet trust VCN hub nel firewall della serie VM di Palo Alto Networks, quindi passa dalla subnet non sicura alle destinazioni esterne.

  • Gateway peering locale: il traffico dalla VCN spoke all'hub VCN Trust Subnet viene instradato sull'LPG. La destinazione della subnet sicura CIDR è 0.0.0.0/0 (tutti gli indirizzi).
  • Palo Alto Networks: il traffico dal GPL viene instradato attraverso la VM Palo Alto Networks nel dominio di disponibilità 1 e la subnet trust, attraverso i gateway VCN hub a destinazioni esterne.
  • Gateway Internet: il traffico verso Internet e i client Web esterni viene instradato tramite un gateway Internet. Il CIDR di destinazione subnet non sicuro per il gateway Internet è 0.0.0.0/0 (tutti gli indirizzi).
  • Gateway di instradamento dinamico: il traffico verso il data center del cliente viene instradato tramite un gateway di instradamento dinamico. Il CIDR di destinazione subnet non sicuro per il gateway di instradamento dinamico è 172.16.0.0/12.