瞭解如何使用 OCI Flexible Network Load Balancer 在作用中 / 作用中模式部署 Palo Alto 防火牆

本文件提供在 Oracle Cloud Infrastructure (OCI) 內以主動 / 主動模式部署 Palo Alto VM 系列防火牆的指南。

雖然 Palo Alto 原生支援內部部署資料中心的主動 / 主動式高可用性 (HA) 功能，但在公有雲環境中並不適用。不過，OCI 中可以使用 OCI Flexible Network Load Balancer 中稱為對稱雜湊的突破性功能，在 OCI 中實現此部署的解決方法。

在此部署模型中，Palo Alto 防火牆可作為傳遞裝置，這表示不需要網路位址轉譯 (NAT) 或公用 IP 位址。公用 IP 位址會改為與實際的 DMZ 伺服器或負載平衡器關聯。因此，即使已達到次要 IP 數目上限，也不需要額外的 NIC。此功能可透過選項將路由表連附至 OCI 中的 NAT 閘道、網際網路閘道和服務閘道。

優點：

1. 增加的傳輸量：兩個防火牆都是作用中狀態，因此會產生較高的傳輸量。
2. 無縫擴充：您可以在不中斷現有流量的情況下部署新的防火牆，並且將其新增至網路負載平衡器的後端。
3. 縮短容錯移轉時間：由於不需要 API 呼叫將 IP 位址從主要裝置移至次要裝置，因此容錯移轉速度會更快。
4. 沒有 OCI Identity and Access Management 原則組態：不需要設定 OCI Identity and Access Management 原則，即可讓 Palo Alto 防火牆讀取 VCN 並管理 NIC 的移動。
5. 不需要額外的 NIC：當公用 IP 數目超過 64 個時，就不需要額外的 NIC，因為沒有公用 IP 與防火牆關聯。DMZ 子網路的大小決定了網際網路上可公開的服務或應用程式數目上限。
6. 節省成本：授權和 VM 作業成本會降低，因為此模型不需要額外的 NIC。

Before You Begin - 開始之前

若要更瞭解此部署模型，請參閱下列連結，瞭解 OCI Flexible Network Load Balancer 的對稱雜湊功能和 OCI 中的 Palo Alto 部署。

• 在 OCI 網路負載平衡器上啟用具有對稱雜湊的彈性安全架構
• 準備在 OCI 上設定 VM 系列防火牆

架構

下圖顯示用於測試 OCI 中 Palo Alto Active/Active 設定的高階架構。

這是 OCI 中典型的集線器網輻架構部署，其中 Active/Active Palo Alto 防火牆部署在 Hub VCN 上，其中 4 個 NIC 會增加到 Hub VCN 中 DMZ 的公用子網路。Spoke VCN 將附加至 DRG，以便透過 Palo Alto 防火牆遞送所有位於東南部的北南方。將 Palo Alto VM 新增為內送和信任 NLB 的後端，即可執行主動 / 主動設定。

在本節中，我們將深入探討此參考架構中的流量路由和流量。資源名稱中的「tok」一詞是指部署和測試此參考架構模型的東京地區。

oci-nlb-palo-alto-active-active-arch.png 圖解描述

oci-nlb-palo-alto-active-active-arch-oracle.zip

向南傳輸至 OCI 的北方輸入網際網路流量：

下圖說明 DMZ Web 服務對網際網路公開的流程。應用程式負載平衡器位於公用子網路，而後端伺服器位於支點 VCN 的專用子網路中。下列步驟說明每個躍點的詳細流程。

oci-nlb-palo-alto-active-active-dmz.png 圖解描述

oci-nlb-palo-alto-active-active-dmz-oracle.zip

1. 網際網路上用戶端機器的流量會路由至網際網路閘道 (IGW)。
2. IGW 會將網際網路閘道路由表指向 "hub-tok-publiclb-sn" 子網路，並將流量遞送至內送 NLB IP 10.1.1.198。
3. 內送 NLB 會使用對稱雜湊演算法，將流量負載平衡至後端的其中一個 PA 裝置。
4. 防火牆將會驗證原則，將流量從虛擬路由器 "inbound-rtr" 上的輸入介面傳出至具有公用 IP 的應用程式負載平衡器。

   附註：

   防火牆安全原則將會寫入公用負載平衡器的專用 IP (10.1.1.112)。
5. OCI 彈性網路負載平衡器將會對流量執行「來源網路位址轉譯 (SNAT)」，並將其遞送至參照子網路路由表的動態路由閘道 (DRG)。
6. 參照 Hub VCN 連附項路由表的 DRG，會將流量遞送至網輻 VCN，而流量則會到達 Web 伺服器。
7. Web 伺服器會根據子網路路由表，將傳回流量傳送至 DRG 連附項。
8. DRG 將參考軸輻式 VCN 連附項的路由表，並將流量傳送至中樞的 OCI 彈性網路負載平衡器。
9. OCI 彈性網路負載平衡器會將流量設為 UNAT，並使用子網路的預設路由將流量傳送至內送 NLB IP 10.1.1.198。
10. 內送 NLB 會將流量轉送至後端中相同的 PA 裝置，後端會使用對稱雜湊演算法起始流量。
11. Palo Alto 會接收內送 NIC 上的流量，並根據虛擬路由器的預設路由將流量傳回網際網路閘道。
12. 網際網路閘道會將流量遞送至網際網路從屬端。

來自 OCI 的北向輸出網際網路流量：

下圖說明 OCI 的輸出網際網路流量流程。OCI 中的所有 VM 都將使用 Palo Alto 的 SNAT 和 OCI NAT 閘道存取網際網路。需要 Palo Alto 的 SNAT，才能使傳回路徑對稱。輸出公用 IP 位址將是 NAT 閘道的 IP 位址。

oci-nlb-palo-alto-active-active-outbound.png 圖解描述

oci-nlb-palo-alto-active-active-outbound-oracle.zip

1. 使用預設路由至 DRG 之網輻子網路中的 VM 流量，會將流量遞送至 DRG 連附項。
2. DRG 指的是網輻的連附路由表，並將流量遞送至 VCN 的 Hub VCN 和 VCN 的傳輸路由表，並將流量遞送至信任 NLB IP 10.1.1.229。
3. NLB 負載會將流量平衡至「作用中 / 作用中」模式的其中一個防火牆。
4. 防火牆會接收預設虛擬路由器中信任介面的流量。它會針對通往不信任介面 IP 的流量執行 SNAT，並參考預設路由，將流量轉送至 OCI NAT 閘道。
5. NAT 閘道使用 NAT 閘道的公用 IP 遞送至網際網路的流量。
6. 網際網路會將返回流量重新路由至 NAT 閘道。
7. NAT 閘道 UNAT 的流量會將其送回與 Palo Alto 上有 SNAT 相同的 Palo Alto 介面。
8. 以 Palo Alto 為基礎的狀態表和預設虛擬路由器上的路由會在反向 NAT 閘道之後，將信任 NIC 的流量傳送到 DRG。
9. DRG 指的是連附至 Hub VCN 的路由表，以及通往個別支點 VCN 的路由，並到達來源 VM。

OCI 發言或內部部署到 OCI 之間的西向流量：

下圖說明內部部署和 OCI 之間的流量。為了瞭解 OCI 中發言人之間的流量，我們可以將內部部署視為其中一個發言人。在此情況下，唯一的變更是軸輻附件上參考的路由表。此部署可稱為單一 arm 模式，其中流量將會進入並離開防火牆的相同介面，此處的介面是信任介面。

oci-nlb-palo-alto-active-active-onprem.png 圖解描述

oci-nlb-palo-alto-active-active-onprem-oracle.zip

1. 內部部署流量會透過 IPSec 或 OCI FastConnect 遞送至 OCI DRG。
2. DRG 指的是 OCI FastConnect 或 IPSec 的連附路由表，並將流量路由至 Hub VCN，中樞的 VCN 連附路由表會將流量遞送至信任 NLB IP 10.1.1.229。
3. NLB 負載會以「作用中 / 作用中」模式將流量平衡至其中一個防火牆。
4. 防火牆會根據安全規則處理流量，並將流量遞送回 Hub 連附項中 Hub 路由表上的 DRG。
5. DRG 是指連附至 Hub 連附項的路由表，並將流量遞送至個別的網輻 VCN 和個別的 VM。
6. VM 會將傳回流量傳送至參照路由表中預設路由規則的 DRG。
7. DRG 指的是附加至支點 VCN 的路由表，並將流量路由至 Hub VCN，Hub 傳輸路由表會將流量路由至信任 NLB。
8. NLB 負載使用對稱雜湊演算法，將流量平衡至相同的 Palo Alto 裝置。
9. 防火牆是指預設虛擬路由器的狀態表格和路由，並將流量傳回 Hub 連附項中 Hub 路由表上的 DRG。
10. DRG 是指 Hub 連附項中的 Hub 路由表，並透過 OCI FastConnect 或 IPSec 通道將流量遞送至內部部署環境。

從 OCI VM 到 Oracle Services Network 的東向外流量：

下圖說明從 OCI VM 到 Oracle Services Network 的輸出流量。OCI 中的所有 VM 都將使用 Palo Alto 的 SNAT 和 OCI 服務閘道存取 Oracle Services Network。需要 Palo Alto 的 SNAT，才能使傳回路徑對稱。在 Oracle Services Network 上，如果您需要將 VCN 加入白名單，它將會是 Hub VCN 範圍。

oci-nlb-palo-alto-active-active-osn.png 圖解描述

oci-nlb-palo-alto-active-active-osn-oracle.zip

1. 使用預設路由至 DRG 的網輻子網路 VM 流量，會將流量遞送至 DRG 連附項。
2. DRG 是指網輻的連附路由表，並將流量遞送至 Hub VCN 上的 Hub VCN 和 VCN 連附路由表，並將流量遞送至信任 NLB IP 10.1.1.229。
3. 信任 NLB 負載會將流量平衡至「作用中 / 作用中」模式的其中一個防火牆。
4. 防火牆會接收預設虛擬路由器上信任介面的流量。它會針對傳送至不信任介面 IP 的流量執行 SNAT。然後參考預設路由，將流量轉送至 OCI 子網路路由表，再轉送至 OCI 服務閘道。
5. 服務閘道會透過 OCI 骨幹將流量遞送至 Oracle Services Network，並將傳回流量傳回到與 Palo Alto 上有 SNAT 相同的防火牆介面。
6. Palo Alto 參照狀態表，執行反向 NAT，並根據預設虛擬路由器的靜態路由，最終將流量從信任 NIC 傳送到 DRG。
7. DRG 指的是連附至 Hub VCN 的路由表，並將流量遞送至個別的網輻 VCN，然後遞送至來源 VM。

此架構支援下列元件：

• 網路負載平衡器

  網路負載平衡器是一種負載平衡服務，可在 Open Systems Interconnection (OSI) 模型的第 3 層和第 4 層運作。此服務提供高可用性優點，並提供高傳輸量，同時維持超低延遲。

• Palo Alto 防火牆

  VM 系列新一代防火牆使用與保護客戶雲端基礎架構相同的安全功能，保護您的應用程式和資料安全。VM 系列新一代防火牆可讓開發人員和雲端安全架構師將內嵌威脅和防止資料遺失嵌入其應用程式開發工作流程中。

• 動態路由閘道 (DRG)

  DRG 是一個虛擬路由器，提供相同區域中 VCN 之間、VCN 與區域外網路 (例如其他 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或其他雲端提供者中的網路) 之間的專用網路流量路徑。

• 網際網路閘道

  網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。

• 網路位址轉譯 (NAT) 閘道

  NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機，而不會對內送網際網路連線公開這些資源。

• 內部部署網路

  這是貴組織使用的區域網路。

• 路由表

  虛擬路由表包含將流量從子網路路由到 VCN 外部目的地 (通常是透過閘道) 的規則。

• 服務閘道

  服務閘道可讓您從 VCN 存取其他服務，例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送，不會周遊網際網路。

• 虛擬雲端網路 (VCN) 和子網路

  VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣，VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊，您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路，此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成，這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。