此图显示了包含两个可用性域的 OCI 区域。该区域包括通过动态路由网关 (Dynamic Routing Gateway，DRG) 连接的集线器和调用拓扑中的三个虚拟云网络 (Virtual Cloud Network，VCN)。VCN 作为功能层进行排列。

安全 VCN-A：

包括以下通信网关：

Internet 网关：允许工作负载连接到互联网，您可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。
服务网关：允许工作负载连接到 Oracle Cloud Infrastructure Object Storage（该区域的其他 Oracle 服务），并且可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。
动态路由网关：通过 IPSec VPN 或 FastConnect 连接客户数据中心和客户终端设备，并且您可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。

可以部署其他网关：

NAT 网关：NAT 网关允许 VCN 中的专用资源访问互联网上的主机，而不向传入的互联网连接公开这些资源，并且您可以将流量路由到防火墙子网中提供的网络防火墙来进行检查和保护。

确保安全 VCN-A 中使用对称路由，以确保入站和出站遵循通过网络防火墙的相同路径。

Web 或应用发出安全 VCN-B：VCN 至少包含一个子网。负载平衡器管理每个可用性域中 Web 或应用 VM 之间的流量。安全 VCN-B 通过 VCN 附加连接到安全 VCN-A over DRG。

数据库采用了安全 VCN-C：VCN 包含单个子网。主数据库系统位于可用性域 1 中，备用数据库系统位于可用性域 2 中。安全 VCN-C 通过 VCN 附加连接到安全 VCN-A over DRG。