此图显示了使用 Palo Alto Networks VM-SSeries 防火墙的区域中中心服务器 VCN 和Web/应用程序（分支）VCN 之间的北南入站通信流。Oracle Cloud Infrastructure 区域包含两个可用性域。该区域包含一个中心服务器 VCN 和一个由本地对等网关 (LPG) 连接的扬声器 VCN（Web 或应用程序层）。

• Hub VCN (192.168.0.0/16)：Hub VCN 包含一个由两个 Palo Alto Networks 虚拟机 (VM) 组成的群集，每个可用性域中有一个 VM 作为内部和外部灵活网络负载平衡器之间的三角形。集线器 VCN 包含四个子网：管理子网、信任子网、不可信子网和 nlb 子网。

  • 管理子网使用管理界面（主界面 - VNIC0）允许最终用户连接到用户界面。
  • 不可信子网使用虚拟网卡 1 (VNIC1) 进行到 Palo Alto Networks VM 系列防火墙或从 Palo Alto Networks 进行外部通信。
  • 信任子网使用 VNIC2 进行到 Palo Alto Networks VM 系列防火墙的内部通信。
  • nlb 子网允许最终用户创建专用/公共灵活的网络负载平衡器，从而允许从 Internet 进行内部部署和/或入站连接。

  入站通信从外部源通过外部网络负载平衡器进入集线器 VCN 到 Palo Alto Networks VM 系列防火墙，然后通过信任子网进入本地对等网关 (LPG)：

  • Internet 网关：从 Internet 和外部 Web 客户机的通信将路由到外部公共网络负载平衡器，然后通过不可信子网转到 Palo Alto Networks VM 系列防火墙之一。不可信子网的公共地址允许用户从外部连接。缺省路由允许目标 CIDR 为 0.0.0.0/0（所有地址）。
  • 动态路由网关：从客户数据中心 (172.16.0.0/12) 流量路由到外部专用负载平衡器，然后通过不可信子网转到 Palo Alto Networks VM-SSeries 防火墙之一。DRG 目标 CIDR 为 10.0.0.0/24 或 10.0.1.0/24（分支 VCN：应用程序和数据库）。
  • Palo Alto 网络：流量通过网关 VM 和信任子网路由到 LPG。源地址转换发生在 VM 系列防火墙上。信任子网的默认目标 CIDR 为 10.0.0.0/24 和/或 10.0.1.0/24（分支 VCN：应用程序/数据库）。
  • 本地对等网关：从信任子网到分支 VCN 的通信通过 LPG 进行路由。
  • 应用程序或 Web：如果流量指向此通话 VCN，则通过 LPG 连接进行路由。
  • 数据库：如果流量被指定到此通话 VCN，则通过 LPG 连接进行路由。

• Web 或应用程序层表示 VCN (10.0.0.0/24)：VCN 包含一个子网。应用程序负载平衡器管理每个可用性域中的 Web VM 和应用程序 VM 之间的通信。从集线器 VCN 到应用程序负载平衡器的通信通过本地对等网关路由到应用程序负载平衡器。分支子网目标 CIDR 为 0.0.0.0/0（所有地址）。