Esta imagem mostra o fluxo de tráfego de entrada norte-sul entre a VCN hub e a VCN web/aplicação (spoke) em uma região que usa o Firewall da Série VMs de Redes Palo Alto. A região do Oracle Cloud Infrastructure inclui dois domínios de disponibilidade. A região contém uma VCN hub e uma VCN spoke única (camada Web ou de aplicativos) conectada por gateways de pareamento local (LPGs).

• Hub VCN (192.168.0.0/16): A Hub VCN contém uma rede de alta disponibilidade em duas máquinas virtuais (VMs) Palo Alto Networks com uma VM em cada um dos domínios de disponibilidade. A VCN hub inclui quatro sub-redes: uma sub-rede de gerenciamento, uma sub-rede confiável, uma sub-rede não confiável e uma sub-rede de alta disponibilidade.
  • A sub-rede de gerenciamento usa a interface de gerenciamento (interface principal - vNIC0) para permitir que os usuários finais se conectem à interface do usuário.
  • A sub-rede não confiável usa a placa de rede virtual 1 (vNIC1) para tráfego externo de ou para o Firewall da Série de VMs de Redes Alto Palo.
  • A sub-rede confiável usa o vNIC2 para tráfego interno de ou para o Firewall da Série de VMs de Redes Alto Palo.
  • A sub-rede de alta disponibilidade usa a interface vNIC3 para garantir que os firewalls VM-Sseries estejam em alta disponibilidade.

  O tráfego de entrada entra na VCN hub de origens externas por meio da sub-rede não confiável para o Firewall VM-Series das Redes Altas Palo e, em seguida, por meio da sub-rede confiável para o gateway de pareamento local (LPG):

  • Gateway de Internet: Tráfego de rotas de clientes Web externos e da Internet para o Firewall de Redes Palo Alto VM-Series no domínio de disponibilidade 1 por meio da sub-rede não confiável. A sub-rede não confiável tem um endereço público que permite que o usuário se conecte de fora. Há um CIDR de destino de permissão de rota padrão é 0.0.0.0/0 (todos os endereços).
  • Gateway de roteamento dinâmico: O tráfego do data center do cliente (172.16.0.0/12) é roteado para o Firewall de VM-Series das Redes Palo Alto no domínio de disponibilidade 1 por meio da sub-rede não confiável. O CIDR de destino DRG é 10.0.0.0/24 ou 10.0.1.0/24 (VCNs spoke; aplicativo e banco de dados).
  • Redes Palo Alto: O tráfego é roteado pela VM do gateway e pela sub-rede confiável para o LPG. O CIDR de destino padrão para a sub-rede confiável é 10.0.0.0/24 e/ou 10.0.1.0/24 (as VCNs spoke; aplicativo/banco de dados).
  • Gateway de pareamento local: O tráfego da sub-rede confiável para a VCN spoke é roteado pelo LPG.
    • Aplicativo ou Web: Se o tráfego for destinado a esta VCN falada, ele será roteado por meio da conexão LPG.
    • Banco de Dados: Se o tráfego for destinado a esta VCN spoke, ele será roteado por meio da conexão LPG.
• A camada da Web ou da aplicação falou VCN (10.0.0.0/24): A VCN contém uma única sub-rede. Um balanceador de carga gerencia o tráfego entre VMs Web e de aplicativos em cada um dos domínios de disponibilidade. O tráfego da VCN hub para o balanceador de carga é roteado por um gateway de pareamento local para o balanceador de carga. O CIDR de destino da sub-rede spoke é 0.0.0.0/0 (todos os endereços).