此图显示了使用 Palo Alto Networks VM 系列防火墙的区域中从 Web 或应用程序（分支）VCN 通过中心服务器 VCN 的南北出站通信流。

Oracle Cloud Infrastructure 区域包含两个可用性域。该区域包含一个中心服务器 VCN 和一个由本地对等网关 (LPG) 连接的扬声器 VCN（Web 或应用程序层）。

• Spoke（Web 或应用程序）VCN (10.0.0.0/24)：VCN 包含一个子网。应用程序负载平衡器管理每个可用性域中 Web VM 或应用程序 VM 之间的通信。从应用程序负载平衡器到集线器 VCN 的出站通信通过本地对等网关进行路由。分支子网目标 CIDR 为 0.0.0.0/0（所有地址）。
• Hub VCN (192.168.0.0/16)：Hub VCN 包含跨两个 Palo Alto Networks 虚拟机 (VM) 的高可用性网络，每个可用性域中有一个 VM。集线器 VCN 包含四个子网：管理子网、信任子网、不可信子网和 nlb 子网。
  • 管理子网使用管理接口（主接口）允许最终用户从外部或通过代理 VM 连接到用户界面。
  • 不可信子网使用虚拟网卡 1 (VNIC1) 进行到 Palo Alto Networks VM 系列防火墙或从 Palo Alto Networks VM 进行外部通信。
  • 信任子网使用 V 进行到 Palo Alto Networks VM 系列防火墙的内部通信。
  • nlb 子网允许最终用户创建专用/公共灵活的网络负载平衡器，从而允许从 Internet 进行内部部署和/或入站连接。

  来自分支（Web 或应用程序）的出站通信 VCN 进入集线器 VCN 内部网络负载平衡器，该负载平衡器将通信发送到 Palo Alto Networks VM 系列防火墙信任接口，然后通过不可信子网传出到外部目标。

  • 本地对等网关：从分支 VCN 到集线器 VCN 信任子网的通信通过 LPG 进行路由。信任子网目标 CIDR 为 0.0.0.0/0（所有地址）。
  • Palo Alto 网络：通过内部网络负载平衡器将 LPG 中的通信路由到 Palo Alto Networks VM 防火墙信任接口通过信任子网，通过集线器 VCN 网关路由到外部目标。
  • Internet 网关：通过 Internet 网关路由到 Internet 和外部 Web 客户机的通信。Internet 网关的不可信子网目标 CIDR 为 0.0.0.0/0（所有地址）。
  • 动态路由网关：通过动态路由网关路由到客户数据中心的通信。动态路由网关的不可信子网目标 CIDR 为 172.16.0.0/12。