この図は、可用性ドメインが2つ含まれるOracle Cloud Infrastructureリージョンを示しています。このリージョンには、ハブ内の3つの仮想クラウド・ネットワーク(VCN)と、ローカル・ピアリング・ゲートウェイ(LPG)によって接続されたスポーク・トポロジが含まれます。VCNは機能レイヤーとしてここに配置されています。

• Hub VCN: Hub VCNには、Palo Alto Networks仮想マシン(VM)のクラスタが含まれており、各可用性ドメインに1つのVMが内部および外部のフレキシブルなネットワーク・ロード・バランサ間のサンドイッチとして存在します。ハブVCNには、管理サブネット、信頼サブネット、信頼できないサブネットおよびnlbサブネットの4つのサブネットが含まれています。

  • 管理サブネットは、管理インタフェース(プライマリ・インタフェース– vNIC0)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
  • 信頼できないサブネットでは、Palo Alto Networks VM - Series Firewallとの間の外部トラフィックに仮想ネットワーク・カード1 (vNIC1)を使用します。
  • 信頼サブネットは、Palo Alto Networks VM - Series Firewallとの間の内部トラフィックにvNIC2を使用します。
  • nlbサブネットを使用すると、エンド・ユーザーはインターネットからのオンプレミスまたはインバウンド接続(あるいはその両方)を可能にするプライベート/パブリックのフレキシブルなネットワーク・ロード・バランサを作成できます。

  ハブVCNには、次の通信ゲートウェイが含まれます。

  • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントを、信頼できないサブネットを介して可用性ドメイン1のPalo Alto Networks VM - Series Firewallに接続します。
  • 動的ルーティング・ゲートウェイ: IPSec VPNまたはFastConnectを介して、顧客データ・センターおよび顧客構内機器を、信頼できないサブネットを介して可用性ドメイン1のPalo Alto Networks VM - Series Firewallに接続します。•
  • サービス・ゲートウェイ:リージョンのOracle Cloud Infrastructure Object Storageおよび他のOracleサービスにハブVCNを接続します。
  • ローカル・ピアリング・ゲートウェイ:可用性ドメイン1のPalo Alto Networks VM - Series Firewallを、信頼サブネットを介してWeb層またはアプリケーション層のVCNおよびデータベース層のVCNに接続します。

  ハブVCNには、次の柔軟なネットワーク・ロード・バランサが含まれています。

  • 外部ネットワーク・ロード・バランサ
    • Palo Alto Networks VM Series Firewallの信頼できないインタフェースを持つプライベート・ロード・バランサ。オンプレミスは、動的ルーティング・ゲートウェイを使用してこのロード・バランサに接続します。
    • Palo Alto Networks VM Series Firewallの信頼できないインタフェースも持つパブリック・ロード・バランサ。これはパブリック・ロード・バランサである必要があります。インターネット・トラフィックは、インターネット・ゲートウェイを使用してこのロード・バランサに接続します。
  • Palo Alto Networks VM Series Firewallの信頼インタフェースを持つ内部ネットワーク・ロード・バランサ。スポークVCNとの間のトラフィックは、ローカル・プログラミング・ゲートウェイ(LPG)を使用してこのロード・バランサに接続します。

• Webまたはアプリケーション・スポークVCN: VCNには、少なくとも1つのサブネットが含まれます。ロード・バランサは、各可用性ドメイン内のWeb VMまたはアプリケーションVM間のトラフィックを管理します。アプリケーション層VCNは、ローカル・ピアリング・ゲートウェイを介してハブVCNに接続されます。

• データベース・スポークVCN: VCNには単一のサブネットが含まれます。プライマリ・データベース・システムは可用性ドメイン1に存在し、スタンバイ・データベース・システムは可用性ドメイン2に存在します。データベース層VCNは、ローカル・ピアリング・ゲートウェイを介してハブVCNに接続されます。