この図は、Palo Alto Networks VM - Series Firewallを使用するリージョンでの、ハブVCNを介したWebまたはアプリケーション(スポーク) VCNからの南北のアウトバウンド・トラフィック・フローを示しています。

「Oracle Cloud Infrastructure」リージョンには、2つの可用性ドメインがあります。リージョンには、ハブVCNと、ローカル・ピアリング・ゲートウェイ(LPG)によって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。

• スポーク(Webまたはアプリケーション) VCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、各可用性ドメインのWeb VMまたはアプリケーションVM間のトラフィックを管理します。アプリケーション・ロード・バランサからハブVCNへのアウトバウンド・トラフィックは、ローカル・ピアリング・ゲートウェイを介してルーティングされます。スポーク・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
• Hub VCN (192.168.0.0/16): Hub VCNには、各可用性ドメインに1つのVMを持つPalo Alto Networks仮想マシン(VM)全体にわたる高可用性ネットワークが含まれています。ハブVCNには、管理サブネット、信頼サブネット、信頼できないサブネットおよびnlbサブネットの4つのサブネットが含まれています。
  • 管理サブネットは、管理インタフェース(プライマリ・インタフェース)を使用して、エンド・ユーザーがプロキシVMの外部または経由でユーザー・インタフェースに接続できるようにします。
  • 信頼できないサブネットでは、Palo Alto Networks VMシリーズ・ファイアウォールとの間の外部トラフィックに仮想ネットワーク・カード1 (VNIC1)を使用します。
  • 信頼サブネットは、Palo Alto Networks VMシリーズ・ファイアウォールとの間の内部トラフィックにVを使用します。
  • nlbサブネットを使用すると、エンド・ユーザーはプライベート/パブリックのフレキシブルなネットワーク・ロード・バランサを作成できます。これにより、オンプレミスやインターネットからのインバウンド接続が可能になります。

  スポーク(Webまたはアプリケーション)からのアウトバウンド・トラフィックVCNはハブVCN内部ネットワーク・ロード・バランサに入ります。このロード・バランサは、トラフィックをPalo Alto Networks VMシリーズのファイアウォール信頼インタフェースに送信し、信頼できないサブネットを介して外部ターゲットに送信します。

  • ローカル・ピアリング・ゲートウェイ:スポークVCNからハブVCN信頼サブネットへのトラフィックはLPG経由でルーティングされます。信頼サブネットの宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • Palo Alto Networks: LPGからのトラフィックは、内部ネットワーク・ロード・バランサを介して、信頼サブネットを介してPalo Alto Networks VMファイアウォール信頼インタフェースに、ハブVCNゲートウェイを介して外部ターゲットにルーティングされます。
  • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントへのトラフィックは、インターネット・ゲートウェイを介してルーティングされます。インターネット・ゲートウェイの信頼できないサブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • 動的ルーティング・ゲートウェイ:顧客データ・センターへのトラフィックは、動的ルーティング・ゲートウェイを介してルーティングされます。動的ルーティング・ゲートウェイの信頼できないサブネット宛先CIDRは172.16.0.0/12です。