Diese Abbildung zeigt eine Netzwerkarchitektur, bei der die öffentlichen und privaten Ressourcen in separaten Subnetzen 10.0.1.0/24 und 10.0.2.0/24 innerhalb von VCN 10.0.0.0/16 isoliert sind.

• Datenverkehr zwischen 10.0.1.0/24 und den Internetabläufen über ein Internetgateway. Eine Routingregel leitet den Datenverkehr, der für das öffentliche Internet über das Internetgateway bestimmt ist. Eine zustandsbehaftete Sicherheitsregel ermöglicht Ingress-Traffic von jedem Host an Port 80. Eine weitere zustandsbehaftete Sicherheitsregel ermöglicht TCP/1521 Egress-Traffic auf 10.0.2.0/24.
• Die Ressourcen in 10.0.2.0/24 haben keine direkte Verbindung zum öffentlichen Internet. Eine Routing-Regel leitet ausgehenden Datenverkehr an das NAT-Gateway, Servicegateway oder dynamisches Routinggateway (DRG) weiter. Eine zustandsbehaftete Sicherheitsregel ermöglicht TCP/1521 Ingress-Traffic von 10.0.1.0/24.