이 이미지는 Palo Alto Networks VM-Series Firewall을 사용하는 지역에서 허브 VCN와 웹/응용 프로그램(Spoke) VCN 간의 북남 인바운드 트래픽 플로우를 보여줍니다. Oracle Cloud Infrastructure 영역은 두 개의 가용성 도메인을 포함합니다. 이 영역에는 LPG(로컬 피어링 게이트웨이) 로 접속된 허브 VCN 및 단일 스포크 VCN(웹 또는 애플리케이션 계층) 가 포함되어 있습니다.
- 허브 VCN(192.168.0.0/16): 허브 VCN 에는 각 가용성 도메인에 VM이 하나씩 있는 Palo Alto 네트워크 VM(가상 머신) 두 개를 통한 고가용성 네트워크가 포함되어 있습니다. 허브 VCN 에는 관리 서브넷, 보안 서브넷, 신뢰할 수 없는 서브넷 및 고가용성 서브넷의 네 가지 서브넷이 포함되어 있습니다.
- 관리 서브넷은 관리 인터페이스(기본 인터페이스 - vNIC0) 를 사용하여 일반 사용자가 사용자 인터페이스에 접속할 수 있도록 합니다.
- 신뢰할 수 없는 서브넷은 Palo Alto Networks VM 시리즈 방화벽에 대한 외부 트래픽에 vNIC1(가상 네트워크 카드 1) 를 사용합니다.
- 트러스트 서브넷은 Palo Alto Networks VM 시리즈 방화벽과의 내부 트래픽에 vNIC2를 사용합니다.
- 고가용성 서브넷은 vNIC3 인터페이스를 사용하여 VM 시리즈 방화벽이 고가용성에 있는지 확인합니다.
인바운드 트래픽은 신뢰할 수 없는 서브넷을 통해 Palo Alto Networks VM 시리즈 방화벽에 외부 소스에서 허브 VCN로 들어간 다음 신뢰 서브넷을 통해 LPG(로컬 피어링 게이트웨이) 로 들어갑니다:
- 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트의 트래픽은 신뢰할 수 없는 서브넷을 통해 가용성 도메인 1의 Palo Alto Networks VM 시리즈 방화벽으로 라우팅됩니다. 신뢰할 수 없는 서브넷에는 사용자가 외부에서 접속할 수 있는 공용 주소가 있습니다. 기본 경로 허용 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.
- 동적 라우팅 게이트웨이: 신뢰할 수 없는 서브넷을 통해 고객 데이터 센터(172.16.0.0/12) 의 트래픽이 가용성 도메인 1의 Palo Alto Networks VM 시리즈 방화벽으로 라우팅됩니다. DRG 대상 CIDR은 10.0.0.0/24 또는 10.0.1.0/24(스포크 VCN, 응용 프로그램 및 데이터베이스) 입니다.
- Palo Alto Networks: 트래픽은 게이트웨이 VM을 통해 라우팅되고 트러스트 서브넷은 LPG로 라우팅됩니다. 보안 서브넷에 대한 기본 대상 CIDR은 10.0.0.0/24 및/또는 10.0.1.0/24(스포크 VCN; 응용 프로그램/데이터베이스) 입니다.
- 로컬 피어링 게이트웨이: 보안 서브넷에서 스포크 VCN 로의 트래픽이 LPG를 통해 경로 지정됩니다.
- 응용 프로그램 또는 웹: 트래픽이 이 Spoke VCN로 지정된 경우 LPG 연결을 통해 경로가 지정됩니다.
- 데이터베이스: 트래픽이 이 스포크 VCN로 지정된 경우 LPG 접속을 통해 경로가 지정됩니다.
- 웹 또는 응용 프로그램 계층 Spoke VCN(10.0.0.0/24): VCN는 단일 서브넷을 포함합니다. 로드 밸런서는 각 가용성 도메인에서 웹 VM과 애플리케이션 VM 간의 트래픽을 관리합니다. 허브 VCN에서 로드 밸런서로의 트래픽은 로컬 피어링 게이트웨이를 통해 로드 밸런서로 경로 지정됩니다. 스포크 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.