Ich suche ein paar Wegbeschreibungen. Hat jemand den in diesem Lab beschriebenen Anwendungsfall implementiert [Palo Alto Networks: VM-Series Advanced Deployment with site-to-site vpn to onprem?

Frage . Welchen vpc haben Sie den VPN-Verkehr beendet, damit sowohl der eingehende als auch der ausgehende Verkehr die Firewall passieren kann?

Ich habe in einem anderen vpc als der Firewall in einem Peering-GCP-Hub beendet und gesprochen, jetzt umgehen sowohl der eingehende als auch der ausgehende Datenverkehr die Firewall.

Ein anderer Ansatz, den ich gewählt habe, der fehlgeschlagen ist: 

Lassen Sie einen internen Load Balancer in der nicht vertrauenswürdigen vpc den vpc-Datenverkehr auf der nicht vertrauenswürdigen Instanz beenden, indem Sie den eingehenden Datenverkehr über dieses ilb an die Back-End-Service-Instanzen (PAN) weiterleiten. Das Problem bei diesem Ansatz besteht darin, dass der interne Load Balancer die Back-End-Zustandsprüfung nicht besteht. Aus diesem Grund kann ich die Quell-IP der GCP-Systemdiagnose nicht der nicht vertrauenswürdigen Netzwerkkarte hinzufügen, da die Route eindeutig sein muss. 

Hat jemand etwas Ähnliches implementiert, können Sie einige Gedanken und Ideen teilen? 

no answer