GCP site-to-site VPN-трафик через Пало-Альто

Я ищу некоторые направления. Кто-нибудь реализовал вариант использования, описанный в этой лабораторной работе [Palo Alto Networks: Расширенное развертывание серии VM с site-to-site vpn на onprem?

Вопрос. В каком vpc вы терминировали vpn-трафик, чтобы входящий и исходящий трафик проходил через брандмауэр?

Я остановился в vpc, отличном от брандмауэра, в одноранговом концентраторе gcp и луче, теперь и входящий, и исходящий трафик обходят брандмауэр.

Другой подход, который я использовал, не удался:Â

Создайте внутренний балансировщик нагрузки в ненадежном vpc прекратить трафик vpc по ненадежному конвейеру, направляющему входящий трафик через этот ilb к экземплярам серверной службы (PAN). Проблема с этим подходом заключается в том, что внутренний балансировщик нагрузки не выполняет проверку работоспособности серверной части. Причина в том, что я не могу добавить исходный IP-адрес проверки работоспособности GCP к ненадежному сетевому адаптеру, поскольку маршрут должен быть уникальным.

Кто-нибудь реализовал что-то подобное, можете поделиться мыслями и идеями?