1. OCI Flexible Network Load Balancer를 사용하여 활성/활성 모드로 Palo Alto 방화벽 배포
  2. 배치 설정 구성

배치 설정 구성

이 섹션에서는 참조 아키텍처에 표시된 VCN, 경로 테이블, 게이트웨이, Palo Alto 방화벽 및 OCI Flexible Network Load Balancer에 대한 구성 단계를 검토합니다.

VCN 구성

다음 절에 설명된 대로 VCN, 서브넷 및 경로 테이블을 구성합니다.

  • 허브 VCN에는 팔로 알토 전용 서브넷 4개가 있으며, hub-tok-inbound-sn이라는 서브넷 1개가 공용입니다.
  • hub-tok-mgmt-sn 서브넷은 Palo Alto 관리 인터페이스용이며, 기본 Palo Alto 인터페이스가 배치되는 위치입니다.
  • hub-tok-trust-sn 서브넷은 내부 OCI Flexible Network Load Balancer가 배포된 Palo Alto 트러스트 인터페이스용입니다.
  • hub-tok-untrust-sn 서브넷은 프라이빗 서브넷이며 OCI의 VM에 대한 아웃바운드 인터넷 액세스를 제공하는 데 사용됩니다.
  • hub-tok-publiclb-sn 서브넷은 DMZ 서비스를 인터넷에 노출하기 위한 공용 서브넷으로, 모든 공용 IP를 포함합니다. OCI Flexible Network Load Balancer는 이 서브넷에 있고, 지원되는 VM은 애플리케이션 또는 환경의 스포크 VCN에 있습니다.
  • 인터넷 게이트웨이, 서비스 게이트웨이, 허브 VCN의 NAT 게이트웨이에는 라우팅 테이블이 연결되어 Palo Alto가 영역 간 패스스루 장치로 사용됩니다.
  • 인터넷에 서비스를 노출하기 위해 Palo Alto에 연결된 공용 IP는 없습니다.
  • 인터넷에 서비스를 노출해야 하는 로드 밸런서, NLB 및 서버는 공용 IP가 연결된 hub-tok-publiclb-sn 서브넷에 배치됩니다.
  • 경로 테이블 IGW RT의 공용 서브넷 경로는 인바운드 NLB IP 10.1.1.198를 가리키는 10.1.1.0/25입니다.
  • 경로 테이블 NGW-RTSGW-RT가 비어 있고 경로가 필요하지 않습니다.
  • 경로 테이블 VCN 연결 경로 테이블에는 보안 NLB IP 10.1.1.229를 가리키는 기본 경로 0.0.0.0/0 및 특정 경로 hub-tok-shared-sn 10.1.1.128/27이 포함됩니다.
  • hub-tok-publiclb-sn 서브넷의 경로 테이블에는 인바운드 NLB IP 10.1.1.198 및 스포크 범위를 가리키는 기본 경로가 DRG에 포함됩니다.
  • hub-tok-inbound-sn 서브넷의 경로 테이블에는 인터넷 게이트웨이에 대한 기본 경로가 포함됩니다.
  • hub-tok-untrust-sn 서브넷의 경로 테이블은 NAT 게이트웨이에 대한 기본 경로와 해당 영역의 모든 Oracle Services Network를 서비스 게이트웨이에 대한 기본 경로를 가집니다.
  • hub-tok-trust-sn 서브넷의 경로 테이블에는 Spoke 범위에 대한 경로와 DRG에 대한 온프레미스 범위가 포함됩니다.
  • 모든 스포크 서브넷 경로 테이블은 DRG에 대한 정적 기본 경로를 가집니다.

OCI Flexible Network Load Balancer 구성

이 섹션에서는 Active/Active Palo Alto 배포를 위한 OCI Flexible Network Load Balancer 구성을 검토합니다.

  1. 헤더 보존 및 대칭 해싱으로 개인 Inbound-nlb를 만듭니다.
  2. 인바운드 서브넷은 공용 서브넷이지만 선택하여 전용 NLB를 생성합니다.
  3. 리스너는 UDP/TCP/ICMP 유형과 모든 포트여야 합니다.
  4. Palo Alto VMs 인바운드 NIC IP를 모든 포트의 백엔드로 NLB 백엔드 집합에 추가합니다.
  5. TCP 포트 22에서 건전성 검사를 구성합니다. 실패가 감지되는 속도에 대한 요구사항에 따라 타이머 값을 변경할 수 있습니다. 이 예제에서는 기본값을 사용했습니다.)
  6. 위와 동일한 단계에 따라 트러스트 서브넷에서 트러스트 NLB를 구성하십시오. 변경 사항만 백엔드 집합으로 Palo Alto의 트러스트 인터페이스 IP를 선택하는 것입니다.

Palo Alto 방화벽 설정 구성

이 섹션에서는 Palo Alto 방화벽 구성 단계를 검토합니다.

  1. 시작하기 전에 섹션에서 공유된 링크를 참조하는 OCI의 독립형 Palo Alto 장치 2개를 배치합니다. 이 배치에서 각 장치에는 네 개의 NIC(관리 NIC, 트러스트 NIC, 신뢰할 수 없는 NIC 및 인바운드 NIC)가 포함됩니다.
  2. Palo Alto 장치 구성 GUI의 NIC가 콘솔과 동일한 순서인지 확인합니다.
  3. 추가 가상 라우터 inbound-rtr을 Palo Alto에 생성하고 인바운드 NIC를 새 가상 라우터에 연결합니다.
  4. 이 가상 라우터는 Palo Alto가 데이터 플레인에 두 개의 기본 경로를 포함할 수 있도록 하는 데 필요합니다. 하나는 OCI NAT 게이트웨이를 통한 송신 인터넷 액세스용이고, 다른 하나는 인터넷 게이트웨이를 통한 수신 인터넷 노출용입니다.

동적 경로 지정 게이트웨이 구성

DRG는 허브와 Spoke VCN 간의 OCI 날짜 평면에서 라우터 역할을 합니다. OCI의 Palo Alto 방화벽을 통해 모든 트래픽이 강제로 전송되도록 경로 테이블 및 각 연결의 임포트 분배를 수정할 것입니다.

  1. 허브 첨부 경로 테이블에 대한 임포트 분배를 생성하고 모든 유형의 경로를 이 테이블로 임포트합니다.
  2. 허브 VCN 연결 경로 테이블에 임포트 분배를 연결합니다.
  3. IPSec VPN 및 OCI FastConnect 연결의 경로 테이블에서 허브 VCN을 가리키는 스포크 VCN 및 허브 VCN 범위에 정적 경로를 추가하고 임포트 분배를 제거합니다.

주:

이 아키텍처는 Checkpoint, Cisco Firepower 등과 같은 다른 마켓플레이스 방화벽을 배포하도록 참조 및 수정할 수 있습니다. Palo Alto 설정 섹션은 다른 마켓플레이스 방화벽과 동등한 구성으로 수정해야 합니다.