Trafic VPN GCP de la site la site prin Palo Alto

Caut niste directii. A implementat cineva cazul de utilizare descris în acest laborator [Palo Alto Networks: Implementare avansată din seria VM cu vpn de la site la site la onprem?

Întrebare. Care vpc ați terminat traficul vpn pentru ca atât traficul de intrare, cât și cel de ieșire să treacă prin firewall?

Am terminat cu un alt vpc decât firewall-ul într-un hub gcp peered și am vorbit, acum atât traficul de intrare, cât și cel de ieșire ocolesc firewall-ul.

O altă abordare pe care am luat-o și care a eșuat:A

Creați un echilibrator de încărcare intern în vpc-ul neîncrezat terminați traficul vpc pe conducta neîncrezătoare a traficului de intrare prin acest ilb către instanțele serviciului backend (PAN). Problema cu această abordare este că echilibratorul de încărcare intern nu reușește verificarea sănătății backend-ului. Motivul fiind că, nu pot adăuga IP-ul sursei de verificare a stării GCP la NIC neîncrezător, deoarece ruta trebuie să fie unică.

A implementat cineva ceva similar, vă puteți împărtăși câteva gânduri și idei?