Die Abbildung zeigt eine sichere Architektur innerhalb eines OCI-Mandanten, die nach Compartments und Netzwerktrennung organisiert ist, um sichere Vorgänge zu ermöglichen.

Der Mandant (Root Compartment) umfasst administrative und Governance-Komponenten: einen Tag-Namespace, eine Auditingfunktion, Reinraumadministratoren, Vault-Administratoren, eine dynamische Gruppe und eine IAM-Policy auf Root-Ebene. Zusätzliche Elemente umfassen Policys für Reinraumadministratoren, Vault-Administratoren und dynamische Gruppen sowie einen Skript-Bucket für die Reinraumarchitektur (Clean Room Architecture, CRA). Ein übergeordnetes Compartment im Mandanten-Compartment verfügt über zwei sichere Hauptumgebungen: Safe Room und Vault.

Die Safe Room-Umgebung enthält ein virtuelles Cloud-Netzwerk (VCN) und ein Subnetz mit dem Adressbereich 192.168.1.0/24, das als derzeit nicht verwendet markiert ist.

Die Vault-Umgebung verfügt über ein eigenes VCN und ein Subnetz mit dem Adressbereich 10.01.0.0/24. In dieser Umgebung gibt es mehrere Ressourcen: einen Orchestrierungsserver, einen oder mehrere Worker-Knoten und Dateispeicher mit einem Mountziel für jede Availability-Domain, wenn der Dateispeicherschutz aktiviert ist.

In der Vault-Umgebung sind auch mehrere Services und Sicherheitsfeatures enthalten: Cloud Guard-Sicherheitszone, eine OCI-Queue, ein Bastion-Service für sicheren Zugriff, eine Logginggruppe, ein Servicegateway, ein unveränderlicher Objektspeicher-Bucket, OCI-Benachrichtigungen und Cloud Guard-Detektorrezepte.