이 이미지는 Palo Alto Networks VM-Series Firewall을 사용하는 영역에서 웹 또는 응용 프로그램(Spoke) VCN에서 허브 VCN를 통한 북남 아웃바운드 트래픽 플로우를 보여줍니다.
Oracle Cloud Infrastructure 영역은 두 개의 가용성 도메인을 포함합니다. 이 영역에는 LPG(로컬 피어링 게이트웨이) 로 접속된 허브 VCN 및 단일 스포크 VCN(웹 또는 애플리케이션 계층) 가 포함되어 있습니다.
- 스포크(웹 또는 응용 프로그램) VCN(10.0.0.0/24): VCN는 단일 서브넷을 포함합니다. 로드 밸런서는 각 가용성 도메인에서 웹 또는 애플리케이션 VM 간의 트래픽을 관리합니다. 로드 밸런서에서 허브 VCN 로의 아웃바운드 트래픽은 로컬 피어링 게이트웨이를 통해 경로 지정됩니다. 스포크 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.
- 허브 VCN(192.168.0.0/16): 허브 VCN 에는 각 가용성 도메인에 VM이 하나씩 있는 Palo Alto 네트워크 VM(가상 머신) 두 개를 통한 고가용성 네트워크가 포함되어 있습니다. 허브 VCN 에는 관리 서브넷, 보안 서브넷, 신뢰할 수 없는 서브넷 및 HA 서브넷의 네 서브넷이 포함되어 있습니다.
- 관리 서브넷은 관리 인터페이스(기본 인터페이스) 를 사용하여 일반 사용자가 외부 또는 프록시 VM을 통해 사용자 인터페이스에 접속할 수 있도록 합니다.
- 신뢰할 수 없는 서브넷은 Palo Alto Networks VM 시리즈 방화벽에 대한 외부 트래픽에 vNIC1(가상 네트워크 카드 1) 를 사용합니다.
- 트러스트 서브넷은 Palo Alto Networks VM 시리즈 방화벽에 대한 내부 트래픽에 vNIC2를 사용합니다.
- 고가용성 서브넷은 vNIC3 인터페이스를 사용하여 VM 시리즈 방화벽이 고가용성에 있는지 확인합니다.
스포크(웹 또는 응용 프로그램) VCN의 아웃바운드 트래픽은 허브 VCN 신뢰 서브넷을 Palo Alto Networks VM 시리즈 방화벽에 넣은 다음 신뢰할 수 없는 서브넷을 통해 외부 대상에 출력합니다.- 로컬 피어링 게이트웨이: 스포크 VCN에서 허브 VCN 신뢰 서브넷으로의 트래픽은 LPG를 통해 경로 지정됩니다. 보안 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.
- Palo Alto 네트워크: LPG의 트래픽은 가용성 도메인 1의 Palo Alto 네트워크 VM을 통해 라우팅되고 허브 VCN 게이트웨이를 통해 외부 대상으로 라우팅됩니다.
- 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트에 대한 트래픽은 인터넷 게이트웨이를 통해 경로 지정됩니다. 인터넷 게이트웨이에 대한 신뢰할 수 없는 서브넷 대상 CIDR은 0.0.0.0/0(모든 주소) 입니다.
- 동적 경로 지정 게이트웨이: 고객 데이터 센터에 대한 트래픽이 동적 경로 지정 게이트웨이를 통해 경로 지정됩니다. 동적 경로 지정 게이트웨이에 대한 신뢰할 수 없는 서브넷 대상 CIDR은 172.16.0.0/12입니다.