この図は、Palo Alto Networks VM - Series Firewallを使用するリージョンでのハブVCNとWeb/アプリケーション(スポーク) VCN間の北東インバウンド・トラフィック・フローを示しています。Oracle Cloud Infrastructureリージョンには、複数の可用性ドメインが含まれています。リージョンには、ハブVCNと、ローカル・ピアリング・ゲートウェイ(LPG)によって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。

• Hub VCN (192.168.0.0/16): Hub VCNには、各可用性ドメインに1つのVMを持つ2つのPalo Alto Networks仮想マシン(VM)にまたがる高可用性ネットワークが含まれます。ハブVCNには、管理サブネット、信頼サブネット、信頼できないサブネットおよび高可用性サブネットの4つのサブネットがあります。
  • 管理サブネットは、管理インタフェース(プライマリ・インタフェース-vNIC0)を使用して、エンド・ユーザーがユーザー・インタフェースに接続できるようにします。
  • untrustサブネットは、Palo Alto Networks VM - Series Firewallとの間の外部トラフィックに仮想ネットワークカード1 (vNIC1)を使用します。
  • 信頼サブネットは、Palo Alto Networks VM - Series Firewallとの間の内部トラフィックにvNIC2を使用します。
  • 高可用性サブネットは、vNIC3インタフェースを使用して、VM - Seriesファイアウォールが高可用性であることを確認します。

  インバウンド・トラフィックは、信頼できないサブネットを介して外部ソースからPalo Alto Networks VM - Series FirewallにハブVCNに入り、次にトラスト・サブネットを介してローカル・ピアリング・ゲートウェイ(LPG)に入ります。

  • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントからのトラフィックは、信頼できないサブネットを介して可用性ドメイン1のPalo Alto Networks VM - Series Firewallにルーティングされます。信頼できないサブネットには、ユーザーが外部から接続できるパブリック・アドレスがあります。デフォルトのルート許可宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • 動的ルーティング・ゲートウェイ:顧客データ・センター(172.16.0.0/12)からのトラフィックは、信頼できないサブネットを介して可用性ドメイン1のPalo Alto Networks VM - Series Firewallにルーティングされます。DRG宛先CIDRは10.0.0.0/24または10.0.1.0/24 (スポークVCN、アプリケーションおよびデータベース)です。
  • Palo Alto Networks:トラフィックはゲートウェイVMおよび信頼サブネットを介してLPGにルーティングされます。信頼サブネットのデフォルトの宛先CIDRは10.0.0.0/24または10.0.1.0/24 (スポークVCN、アプリケーション/データベース)です。
  • ローカル・ピアリング・ゲートウェイ:信頼サブネットからスポークVCNへのトラフィックはLPGを介してルーティングされます。
    • アプリケーションまたはWeb:トラフィックがこのスポークVCNを宛先とする場合、LPG接続を介してルーティングされます。
    • データベース:トラフィックがこのスポークVCNを宛先とする場合、LPG接続を介してルーティングされます。
• Web層またはアプリケーション層のスポークVCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。ロード・バランサは、各可用性ドメインのWeb VMとアプリケーションVM間のトラフィックを管理します。ハブVCNからロード・バランサへのトラフィックは、ローカル・ピアリング・ゲートウェイを介してロード・バランサにルーティングされます。スポーク・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。