この図は、Palo Alto Networks VM - Series Firewallを使用するリージョンでの、ハブVCNを介したWebまたはアプリケーション(スポーク) VCNからの南北のアウトバウンド・トラフィック・フローを示しています。

Oracle Cloud Infrastructureリージョンには、複数の可用性ドメインが含まれています。リージョンには、ハブVCNと、ローカル・ピアリング・ゲートウェイ(LPG)によって接続された単一のスポークVCN (Web層またはアプリケーション層)が含まれます。

• スポーク(Webまたはアプリケーション) VCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。ロード・バランサは、各可用性ドメインのWeb VMまたはアプリケーションVM間のトラフィックを管理します。ロード・バランサからハブVCNへのアウトバウンド・トラフィックは、ローカル・ピアリング・ゲートウェイを介してルーティングされます。スポーク・サブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
• Hub VCN (192.168.0.0/16): Hub VCNには、各可用性ドメインに1つのVMを持つ2つのPalo Alto Networks仮想マシン(VM)にまたがる高可用性ネットワークが含まれます。ハブVCNには、管理サブネット、信頼サブネット、信頼できないサブネットおよびHAサブネットの4つのサブネットが含まれています。
  • 管理サブネットは、管理インタフェース(プライマリ・インタフェース)を使用して、エンド・ユーザーがプロキシVMの外部または経由でユーザー・インタフェースに接続できるようにします。
  • 信頼できないサブネットでは、Palo Alto Networks VMシリーズ・ファイアウォールとの間の外部トラフィックに仮想ネットワーク・カード1 (vNIC1)を使用します。
  • 信頼サブネットは、Palo Alto Networks VMシリーズ・ファイアウォールとの間の内部トラフィックにvNIC2を使用します。
  • 高可用性サブネットは、vNIC3インタフェースを使用して、VMシリーズのファイアウォールが高可用性であることを確認します。
  スポーク(Webまたはアプリケーション)からのアウトバウンド・トラフィックVCNは、ハブVCN信頼サブネットをPalo Alto Networks VMシリーズ・ファイアウォールに入力し、信頼できないサブネットを介して外部ターゲットに送信します。

  • ローカル・ピアリング・ゲートウェイ:スポークVCNからハブVCN信頼サブネットへのトラフィックはLPGを介してルーティングされます。信頼サブネットの宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • Palo Alto Networks: LPGからのトラフィックは、可用性ドメイン1のPalo Alto Networks VMおよび信頼サブネットを介してハブVCNゲートウェイを介して外部ターゲットにルーティングされます。
  • インターネット・ゲートウェイ:インターネットおよび外部Webクライアントへのトラフィックは、インターネット・ゲートウェイを介してルーティングされます。インターネット・ゲートウェイの信頼できないサブネット宛先CIDRは0.0.0.0/0 (すべてのアドレス)です。
  • 動的ルーティング・ゲートウェイ:顧客データ・センターへのトラフィックは、動的ルーティング・ゲートウェイを介してルーティングされます。動的ルーティング・ゲートウェイの信頼できないサブネット宛先CIDRは172.16.0.0/12です。