この図は、Palo Alto Networks VM - Series Firewallを使用するリージョナル・ハブおよびスポーク・トポロジでのWebまたはアプリケーションからデータベースへの東西トラフィック・フローを示しています。

これには、3つの仮想クラウド・ネットワーク(VCN)が含まれます。

• Hub VCN (192.168.0.0/16): Hub VCNにはPalo Alto Networks VMシリーズのファイアウォールが含まれています。信頼サブネットは、Palo Alto Networks VMシリーズ・ファイアウォールとの間の内部トラフィックにVNIC2を使用します。ハブVCNは、ローカル・ピアリング・ゲートウェイ(LPG)を介してスポークVCNと通信します。
• Web層またはアプリケーション層のスポークVCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、WebまたはアプリケーションVMへのトラフィックを管理します。アプリケーション層VCNは、ローカル・ピアリング・ゲートウェイを介してハブVCNに接続されます。
• データベース層スポークVCN (10.0.1.0/24): VCNには、プライマリ・データベース・システムを含む単一のサブネットが含まれます。データベース層VCNは、ローカル・ピアリング・ゲートウェイを介してハブVCNに接続されます。

Webまたはアプリケーションからデータベースへの最短トラフィック・フロー:

1. Web層またはアプリケーション層からデータベース層(10.0.1.10)に移動するトラフィックは、Webまたはアプリケーションのサブネット・ルート表(宛先0.0.0.0/0)を介してルーティングされます。
2. トラフィックは、Webまたはアプリケーション・サブネットのルート表からWeb/アプリケーション層スポークVCNのLPGに移動します。
3. トラフィックは、WebまたはアプリケーションLPGからハブVCNのLPGに移動します(宛先0.0.0.0/0)。
4. トラフィックは、内部ネットワーク・ロード・バランサを使用してハブLPGからPalo Alto Networks VMシリーズのファイアウォールVMに移動します。ネットワーク・ロード・バランサには、VM Series Firewallの信頼インタフェース(VNIC2)を指す複数のバックエンドがあります。
5. Palo Alto Networks VM Series Firewallからのトラフィックは、信頼サブネットルートテーブル（宛先10.0.0.0/24、10.0.1.0/24）を介してルーティングされます。
6. トラフィックは、信頼サブネットのルート表からハブVCNのLPG (宛先0.0.0.0/0)に移動します。
7. トラフィックは、データベース層スポークVCNのハブLPGからLPGに移動します。
8. トラフィックは、データベースLPGからデータベース・システムに移動します。