此圖像顯示 Hub VCN 與使用 Palo Alto Networks VM-Series Firewall 之區域中 Web/application (網幅) VCN 之間的北部輸入流量流程。Oracle Cloud Infrastructure 區域包含兩個可用性網域。此區域包含一個 Hub VCN 以及一個由本機對等互連閘道 (LPG) 連線的單一網幅 VCN (Web 或應用程式層)。

• Hub VCN (192.168.0.0/16)：Hub VCN 包含兩個 Palo Alto Networks 虛擬機器 (VM) 的叢集，每個可用性網域中都有一個 VM，作為內部與外部彈性網路負載平衡器之間的封閉測試環境。Hub VCN 包含四個子網路：一個管理子網路、一個信任子網路、一個不受信任的子網路以及一個 nlb 子網路。

  • 管理子網路使用管理介面 (主要介面- VNIC0) 來允許一般使用者連線至使用者介面。
  • 不信任的子網路使用虛擬網路卡 1 (VNIC1) 作為 Palo Alto Networks VM-Series Firewall 的外部流量。
  • 信任子網路使用 VNIC2 作為 Palo Alto Networks VM-Series Firewall 的內部流量。
  • nlb 子網路可讓一般使用者建立專用/公用彈性網路負載平衡器，以允許從網際網路進行內部部署和 (或) 內送連線。

  輸入流量會透過外部網路負載平衡器將 Hub VCN 進入 Palo Alto Networks VM-Series Firewall，然後透過信任子網路進入本機對等互連閘道 (LPG)：

  • 網際網路閘道：來自網際網路和外部 Web 從屬端的流量會路由至外部公用網路負載平衡器，然後透過不信任的子網路移至 Palo Alto Network VM-Series Firewall 其中之一。不信任的子網路有一個允許使用者從外部連線的公用位址。預設路由允許目的地 CIDR 為 0.0.0.0/0 (所有位址)。
  • 動態路由閘道：從客戶資料中心 (172.16.0.0/12) 傳送流量至外部專用負載平衡器，然後透過不信任的子網路傳送至 Palo Alto Networks VM-Series Firewall 其中之一。DRG 目的地 CIDR 為 10.0.0.0/24 或 10.0.1.0/24 (網幅 VCN：應用程式和資料庫)。
  • Palo Alto 網路：流量會透過閘道 VM 和信任子網路遞送至 LPG。「VM-Series 防火牆」發生「來源位址」轉譯。信任子網路的預設目的地 CIDR 為 10.0.0.0/24 和 (或)10.0.1.0/24 (網幅 VCN：應用程式/資料庫)。
  • 本地對等互連閘道：從信任子網路到網幅 VCN 的流量會透過 LPG 遞送。
  • 應用程式或 Web：如果流量目的地為此網幅 VCN，則會透過 LPG 連線來遞送。
  • 資料庫：如果流量目的地為此網幅 VCN，則會透過 LPG 連線進行路由。

• Web 或應用程式層網幅 VCN (10.0.0.0/24)：VCN 包含單一子網路。應用程式負載平衡器可管理每個可用性網域中 Web VM 與應用程式 VM 之間的流量。從中樞 VCN 到應用程式負載平衡器的流量會透過本機對等互連閘道遞送至應用程式負載平衡器。網幅子網路目的地 CIDR 為 0.0.0.0/0 (所有位址)。