此图显示两个包含两个可用性域的 Oracle Cloud Infrastructure 区域。每个区域至少包含三个部署此体系结构所需的虚拟云网络 (virtual cloud network， VCN)。VCN 在此处作为功能层排列。

管理 VCN：

管理 VCN 包含两个 Cisco ASA 虚拟防火墙虚拟机 (Virtual Firewall， VM)，每个可用性域中有一个 VM，即内部和外部灵活网络负载平衡器之间的三明治。还可以将管理 VCN 中的管理服务器部署到管理防火墙配置。管理 VCN 包含单个管理子网。每个防火墙都有一个专用 VPN 池，最终用户可以从该池获取 IP 地址。

管理子网使用主接口 (nic0/0) 允许最终用户连接到用户界面。

管理 VCN 使用 Internet 网关将 Internet 和外部 Web 客户机连接到 Cisco ASA 虚拟防火墙以管理配置。管理 VCN 还包含两个 Cisco ASA 虚拟防火墙虚拟机 (Virtual Firewall Virtual Machine， VM)，每个可用性域中的一个 VM，在灵活的网络负载平衡器之间。管理 VCN 包含单个管理子网。每个防火墙还具有一个专用 VPN 池，最终用户可以从该池获取 IP 地址。

在 VCN 外部：

VCN 至少包含一个外部子网。该子网使用辅助接口 (nic0/1) 来允许最终用户通过网络负载平衡器将 VPN 流量发送到此接口。外部 VCN 包含以下灵活的外部网络负载平衡器。此公共网络负载平衡器还具有 Cisco ASA 虚拟防火墙的外部接口。这可确保通过灵活网络负载平衡器传送的任何流量都进入其后面的防火墙之一。最终用户使用此网络负载平衡器 VIP IP 作为 VPN 标头。它使用 2-tuple-Hash 确保将流量负载平衡至 Cisco ASA 虚拟防火墙之一。这将保持 AnyConnect 客户机和应用程序通信的粘滞性。

在 VCN 内：

VCN 至少包含一个在子网内。内部子网使用辅助接口 (nic0/2) 允许最终用户通过网络负载平衡器将 VPN 流量发送到此接口。您还可以部署另一组网络负载平衡器来引导来自 Spoke VCN（路由到内部 NLB）和相应 ASAv 防火墙的流量。

请求或应用程序 VCN（可选）：VCN 可能是充当 Spoke VCN 的应用程序 VCN。从外部连接并从专用 VPN 池中获取 IP 后，您可以通过本地对等连接网关或动态路由网关与 VCN 联系。主数据库系统位于可用性域 1 中，备用数据库系统位于可用性域 2 中。数据库层 VCN 通过动态路由网关连接到中心 VCN。