此映像檔顯示包含兩個可用性網域的 OCI 區域。此區域在由動態路由閘道 (DRG) 連線的集線路拓樸中包括三個虛擬雲端網路 (VCN)。VCN 會安排為功能層。

保護的 VCN-A：

• 包含用於部署 OCI 網路防火牆的防火牆子網路。您必須在網路防火牆建立啟動期間，新增必要的防火牆策略。

包括下列通訊閘道：

• 網際網路閘道：允許工作負載連線至網際網路，且您可以將流量遞送至防火牆子網路中可用的網路防火牆，以進行檢查和保護。
• 服務閘道：可讓工作負載連線至區域的 Oracle Cloud Infrastructure Object Storage、其他 Oracle 服務，以及將流量遞送至防火牆子網路中可用的網路防火牆，以進行檢查和保護。
• 動態路由閘道：透過 IPSec VPN 或 FastConnect 連線客戶資料中心和客戶端設備，並且可以將流量遞送至防火牆子網路中可用的網路防火牆，以進行檢查和保護。

可以部署額外的閘道：

• NAT 閘道：NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機，而不會向內送網際網路連線暴露這些資源，也可將流量遞送至防火牆子網路中可用的網路防火牆以供檢查與保護。

確定安全 VCN-A 中使用對稱路由，確保輸入和輸出遵循相同的網路防火牆路徑。

Web 或應用程式衍生受保護的 VCN-B：VCN 至少包含一個子網路。負載平衡器會管理每個可用性網域中 Web 或應用程式 VM 之間的流量。安全的 VCN-B 會透過 VCN 連附項透過 DRG 連線至受保護的 VCN-A。

資料庫會衍生受保護的 VCN-C：VCN 包含單一子網路。主要資料庫系統位於可用性網域 1 中，而待命資料庫系統則位於可用性網域 2 中。安全的 VCN-C 會透過 VCN 連附項透過 DRG 連線至受保護的 VCN-A。