此图显示了从安全专用子网中的 VM 到通过网络防火墙的 OSN 服务的子网 A 到 OCI 服务的通信流。它包括一个安全 VCN，但您也可以具有多个安全 VCN。

安全的 VCN-A (10.10.0.0/16) 包括以下组件：

• 防火墙子网 (10.10.1.0/24)，其中包括网络防火墙及其关联的 IP 地址。
• 安全的专用子网 (10.10.0.0/24)，其中包括应用程序工作负载。此子网中有一个具有 10.10.0.10 专用 IP 地址的 VM。
• 用于支持 OSN 服务的服务网关以及连接到该网关的路由表。通过服务网关，可以从 VCN 访问其他服务，例如 OCI 对象存储。从 VCN 到 Oracle Service 的流量通过 Oracle 网络结构传输，并且从不穿越互联网。
• 路由表与防火墙子网、安全专用子网和服务网关关联，确保流量通过网络防火墙进行路由。

从安全专用子网中的虚拟机流向内部部署 VM 的从南北通信流：

1. 从工作负荷 VM (10.10.0.10) 到 OSN 地址的流量通过安全子网路由表（目标 OSN CIDR）进行路由。
2. 从受保护子网路由表传入基于 OSN 目标的网络防火墙的 IP 地址。
3. 防火墙根据防火墙策略检查并保护流量。检查和保护后，通过防火墙子网路由表（目标 OSN 服务）从防火墙 IP 地址退出通信。
4. 防火墙子网路由表将流量发送到服务网关和对象存储服务目标。
5. 流量从对象存储返回到服务网关，会遵循相同的路径，因为在每个路由表中都设置了对称路由。