この図は、Palo Alto Networks VM - Series Firewallを使用するリージョンでのハブVCNとWeb/アプリケーション(スポーク) VCN間の北東インバウンド・トラフィック・フローを示しています。「Oracle Cloud Infrastructure」リージョンには、2つの可用性ドメインがあります。リージョンには、ハブVCNと、ローカル・ピアリング・ゲートウェイ(LPG)によって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。

• Hub VCN (192.168.0.0/16): Hub VCNには、各可用性ドメインに1つのVMを持つ2つのPalo Alto Networks仮想マシン(VM)のクラスタが、内部および外部のフレキシブルなネットワーク・ロード・バランサ間のサンドイッチとして含まれています。ハブVCNには、管理サブネット、信頼サブネット、信頼できないサブネットおよびnlbサブネットの4つのサブネットが含まれています。

  • 管理サブネットは、管理インタフェース(プライマリ・インタフェース- VNIC0)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
  • 信頼できないサブネットでは、Palo Alto Networks VM - Series Firewallとの間の外部トラフィックに仮想ネットワーク・カード1 (VNIC1)を使用します。
  • 信頼サブネットは、Palo Alto Networks VM - Series Firewallとの間の内部トラフィックにVNIC2を使用します。
  • nlbサブネットを使用すると、エンド・ユーザーはプライベート/パブリックのフレキシブルなネットワーク・ロード・バランサを作成できます。これにより、オンプレミスやインターネットからのインバウンド接続が可能になります。

  インバウンド・トラフィックは、外部ソースからPalo Alto Networks VM - Series FirewallへのハブVCNに入り、信頼サブネットを介してローカル・ピアリング・ゲートウェイ(LPG)に入ります。

  • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントからのトラフィックは、外部のパブリック・ネットワーク・ロード・バランサにルーティングされ、信頼できないサブネットを介してPalo Alto Networks VM - Series Firewallのいずれかに送信されます。信頼できないサブネットには、ユーザーが外部から接続できるパブリック・アドレスがあります。デフォルトのルート許可宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • 動的ルーティング・ゲートウェイ:顧客データ・センター(172.16.0.0/12)からのトラフィックは外部プライベート・ロード・バランサにルーティングされ、信頼できないサブネットを介してPalo Alto Networks VM - Series Firewallのいずれかにルーティングされます。DRG宛先CIDRは10.0.0.0/24または10.0.1.0/24 (スポークVCN:アプリケーションおよびデータベース)です。
  • Palo Alto Networks:トラフィックはゲートウェイVMおよび信頼サブネットを介してLPGにルーティングされます。ソース・アドレス変換はVMシリーズのファイアウォールで行われます。信頼サブネットのデフォルトの宛先CIDRは10.0.0.0/24または10.0.1.0/24 (あるいはその両方)です(スポークVCN:アプリケーション/データベース)。
  • ローカル・ピアリング・ゲートウェイ:信頼サブネットからスポークVCNへのトラフィックはLPG経由でルーティングされます。
  • アプリケーションまたはWeb:トラフィックがこのスポークVCNを宛先とする場合、LPG接続を介してルーティングされます。
  • データベース:トラフィックがこのスポークVCNを宛先とする場合、LPG接続を介してルーティングされます。

• Web層またはアプリケーション層のスポークVCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメインのWeb VMとアプリケーションVM間のトラフィックを管理します。ハブVCNからアプリケーション・ロード・バランサへのトラフィックは、ローカル・ピアリング・ゲートウェイを介してアプリケーション・ロード・バランサにルーティングされます。スポーク・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。