此圖像顯示兩個「Oracle Cloud Infrastructure 區域」，其中包含兩個可用性網域。每個區域至少包含部署此架構所需的三個虛擬雲端網路 (VCN)。VCN 在這裡被列為功能層。

管理 VCN：

管理 VCN 包含兩個 Cisco ASA 虛擬防火牆虛擬機器 (VM)，每個可用性網域內都有一個 VM，作為內部和外部彈性網路負載平衡器之間的三明治。您也可以將管理伺服器在管理 VCN 內部署到管理員防火牆組態。管理 VCN 包含單一管理子網路。每個防火牆都有專用的 VPN 集區，一般使用者便會從該集區取得 IP 位址。

管理子網路使用主要介面 (nic0/0)，讓一般使用者能夠連線至使用者介面。

管理 VCN 使用網際網路閘道將網際網路和外部 Web 從屬端連線至 Cisco ASA 虛擬防火牆來管理組態。管理 VCN 在彈性網路負載平衡器之間，還包含兩個 Cisco ASA 虛擬防火牆虛擬機器 (VM)，其中每個可用性網域內都有一個 VM。Mmgt VCN 包含單一管理子網路。每個防火牆也有專用的 VPN 集區，一般使用者便會從該集區取得 IP 位址。

VCN 外部：

VCN 包含至少一個外部子網路，使用次要介面 (nic0/1) 讓一般使用者透過網路負載平衡器傳送 VPN 流量至此介面。外部 VCN 包含下列彈性的外部網路負載平衡器。此公用網路負載平衡器也有 Cisco ASA 虛擬防火牆的外部介面。這可確保透過彈性網路負載平衡器遞送的任何流量能夠連線至防火牆後方的任一流量。一般使用者使用此網路負載平衡器 VIP IP 作為 VPN 標頭端。它會使用 2-tuple-Hash，確保流量能夠平衡至其中一個「Cisco ASA 虛擬防火牆」。這將使 AnyConnect 用戶端和應用程式流量的嚴格性。

內部 VCN：

VCN 至少包含一個子網路內。內部子網路使用次要介面 (nic0/2)，讓一般使用者能夠透過網路負載平衡器將 VPN 流量傳送給此介面。您也可以部署另一組網路負載平衡器，以操控從 Spoke VCN 遞送至內部 NLB 和個別 ASAv 防火牆的流量。

支點或應用程式 VCN (選擇性)：VCN 可以是作為支點 VCN 的應用程式 VCN。從外部連線並取得專用 VPN 集區的 IP 之後，您就可以透過本地對等互連閘道或動態路由閘道連線至支點 VCN。主要資料庫系統位於可用性網域 1，而待命資料庫系統則位於可用性網域 2。資料庫層 VCN 透過動態路由閘道連線至中樞 VCN。