Die Abbildung zeigt eine On-Premise- oder Drittanbieter-Cloud-Zone mit zwei Gruppen (Anwendungsserver und Management Agent sowie Management Agent und Datenbankserver), die Daten über HTTPS an einen Kundenproxy mit Sicherheitslisten senden (beachten Sie, dass Service-IP-Adressen zulässig sein müssen).

Der Kundenproxy verbindet sich dann bidirektional über das Internet über die IP-Sek.-Tunnel 1 und 2 und einen VPN-Header mit einer OCI-Region. Diese beiden Pfade stellen eine Verbindung zu OCI Object Storage in der OCI-Region her. Dabei werden Daten über eine EM-Bridge an ein Oracle-Servicenetzwerk gesendet, das eine Beobachtbarkeits- und Managementgruppe mit OCI Ops Insights und einen Datenspeicher enthält, auf den von Kunden verwaltete Schlüssel zugreifen.