此图显示了包含两个可用性域的 Oracle Cloud Infrastructure 区域。该区域包括部署在分布式模型中的三个安全虚拟云网络 (Virtual Cloud Network，VCN)。每个安全 VCN 都可用作自己的环境，并且包含以下组件。

安全 VCN-A：受保护的 VCN 至少包括两个子网：防火墙子网和安全子网。

• 防火墙子网用于部署 OCI 网络防火墙。必须在启动网络防火墙期间添加所需的防火墙策略。
• 安全子网用于部署云负载。从工作负载子网传出流量路由到网络防火墙 IP 地址以进行检查和保护。

安全 VCN 包括以下通信网关：

• Internet 网关：允许工作负载连接到 Internet，您可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。
• 服务网关：允许工作负载连接到 Oracle Cloud Infrastructure Object Storage（该区域的其他 Oracle 服务），并且可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。

可以部署其他网关：

• NAT 网关：NAT 网关允许 VCN 中的专用资源访问互联网上的主机，而不向传入的互联网连接公开这些资源，并且您可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。
• 动态路由网关：通过 IPSec VPN 或 FastConnect 连接客户数据中心和客户终端设备，并且您可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。

确保安全 VCN 中使用对称路由，以确保入站和出站遵循通过网络防火墙的相同路径。与安全的 VCN-A 类似，应在安全的 VCN-B 和安全的 VCN-C 中部署所需资源。