이 이미지는 Palo Alto Networks VM-Series Firewall을 사용하는 영역에서 웹 또는 응용 프로그램(Spoke) VCN에서 허브 VCN를 통한 북남 아웃바운드 트래픽 플로우를 보여줍니다.
Oracle Cloud Infrastructure 영역에는 두 개의 가용성 도메인이 포함되어 있습니다. 이 영역에는 LPG(로컬 피어링 게이트웨이) 로 연결된 허브 VCN 및 단일 스포크 VCN(웹 또는 응용 프로그램 계층) 가 포함되어 있습니다.
- 스포크(웹 또는 응용 프로그램) VCN(10.0.0.0/24): VCN는 단일 서브넷을 포함합니다. 응용 프로그램 로드 밸런서는 각 가용성 도메인에서 웹 또는 응용 프로그램 VM 간의 트래픽을 관리합니다. 애플리케이션 로드 밸런서에서 허브 VCN 로의 아웃바운드 트래픽은 로컬 피어링 게이트웨이를 통해 경로 지정됩니다. 스포크 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.
- 허브 VCN(192.168.0.0/16): 허브 VCN 에는 두 Palo Alto 네트워크 VM(가상 머신) 을 통해 각 가용성 도메인에 VM이 하나씩 있는 고가용성 네트워크가 포함되어 있습니다. 허브 VCN 에는 관리 서브넷, 보안 서브넷, 신뢰할 수 없는 서브넷 및 nlb 서브넷의 네 서브넷이 포함되어 있습니다.
- 관리 서브넷은 관리 인터페이스(기본 인터페이스) 를 사용하여 일반 사용자가 외부 또는 프록시 VM을 통해 사용자 인터페이스에 접속할 수 있도록 합니다.
- 신뢰할 수 없는 서브넷은 Palo Alto Networks VM 시리즈 방화벽에 대한 외부 트래픽에 VNIC1(가상 네트워크 카드 1) 을 사용합니다.
- 트러스트 서브넷은 Palo Alto Networks VM 시리즈 방화벽에 대한 내부 트래픽에 V를 사용합니다.
- nlb 서브넷을 통해 일반 사용자는 인터넷의 온-프레미스 및/또는 인바운드 접속을 허용하는 전용/공용 유연한 네트워크 로드 밸런서를 생성할 수 있습니다.
스포크(웹 또는 응용 프로그램) VCN의 아웃바운드 트래픽은 Palo Alto Networks VM 시리즈 방화벽 보안 인터페이스로 트래픽을 전송한 다음 신뢰할 수 없는 서브넷을 통해 외부 대상으로 보내는 허브 VCN 내부 네트워크 로드 밸런서에 들어갑니다.
- 로컬 피어링 게이트웨이: 스포크 VCN에서 허브 VCN 신뢰 서브넷으로의 트래픽은 LPG를 통해 경로 지정됩니다. 보안 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.
- Palo Alto 네트워크: LPG의 트래픽은 허브 VCN 게이트웨이를 통해 외부 대상에 대한 신뢰 서브넷을 통해 내부 네트워크 로드 밸런서를 통해 Palo Alto Networks VM 방화벽 신뢰 인터페이스로 경로 지정됩니다.
- 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트에 대한 트래픽은 인터넷 게이트웨이를 통해 라우팅됩니다. 인터넷 게이트웨이에 대한 신뢰할 수 없는 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.
- 동적 경로 지정 게이트웨이: 고객 데이터 센터에 대한 트래픽은 동적 경로 지정 게이트웨이를 통해 경로 지정됩니다. 동적 경로 지정 게이트웨이에 대한 신뢰할 수 없는 서브넷 대상 CIDR은 172.16.0.0/12입니다.