Informationen zu Entwurfsoptionen für Netzwerkkonnektivität

Standardmäßig werden Oracle Cloud Infrastructure FastConnect - und IPSec-VPN-Tunnel auf einem logischen Gerät beendet, das als dynamisches Routinggateway (DRG) bezeichnet wird. Sie können andere VPN-Netzwerk-Edge-Geräte mit Anbietern in Oracle Cloud Marketplace oder mit offenen Quelllösungen, wie Libreswan, verwenden.

Die folgenden Themen zeigen Architekturdiagramme für jede Option an und vergleichen dann ihre Pros und Konsequenzen.

FastConnect

FastConnect bietet Hochgeschwindigkeit (1 Gbit/s oder 10 Gbit/s) an Oracle Cloud Infrastructure.

Sie können sich wie folgt mit Oracle verbinden:
  • Über einen FastConnect-Provider
  • Über einen Nicht-FastConnect-Provider, der auch als Fremdanbieter bezeichnet wird
  • Über eine direkte Faserkehr, wenn Sie bereits im selben Data Center-Campus wie Oracle untergebracht sind

Im Gegensatz zu unseren Mitbewerbern verfügt Oracle Cloud Infrastructure über eine flache Gebühr pro FastConnect-Verbindung. Es wird keine inkrementelle Gebühr für Daten berechnet, die über die Verbindung übertragen werden. Einzelheiten zu FastConnect, einschließlich einer schrittweisen Anleitung, finden Sie in der FastConnect -Dokumentation.

Um eine Redundanz zu erzielen, wird empfohlen, dass Sie mindestens zwei FastConnect-Verbindungen haben, um eine einzige Fehlerposition auf der Oracle-Seite zu vermeiden. Die höchste Verfügbarkeitsoption besteht darin, auch über zwei WAN-(Wide Area Network-) Router zu verfügen, die an Ihrem On-Premise-Ort bereitgestellt sind. Diese Router werden im Allgemeinen als Customer Premise-Equipment (CPE) bezeichnet.

Beschreibung von fastconnect_w_priv_peering.png folgt
Beschreibung der Abbildung fastconnect_w_priv_peering.png

Oracle Cloud Infrastructure-basiertes IPSec-VPN

Oracle Cloud stellt den VPN Connect-Service bereit. Eine einzelne IPSec-Verbindung stellt automatisch zwei verschiedene IPSec-Tunnel bereit.

Sie müssen dafür sorgen, dass beide Tunnel hochgefahren sind, oder stellen Sie zwei verschiedene VPN-CPEs bereit, um eine Diversität auf On-Premise- und Oracle-Seite der Verbindung zu erreichen. VPN Connect ist kostenlos und geht über das öffentliche Internet. Deshalb kann Ihre Verbindung der Jitter- und Variabilität basierend auf aktuellen Internetbedingungen außerhalb der Oracle-Steuerung unterliegen.

Beschreibung von oci_ipsec_vpn_2_tunnel.png folgt
Beschreibung der Abbildung oci_ipsec_vpn_2_tunnel.png

NVA-basiertes IPSec-VPN

Um mehr Kontrolle über beide Enden der IPSec-VPN-Verbindung zu haben, können Sie Ihre eigene virtuelle Netzwerk-Appliance (NVA) bereitstellen.

In diesem Modell stellen Sie mindestens einen virtuellen Rechner (VMs) bereit, um eine hochverfügbare Firewall zu erstellen. Beispiele umfassen Palo Alto Networks, Fortinet und Check Point. Eine vollständige Liste der Firewall-Lösungen finden Sie in Oracle Cloud Marketplace. Ein Beispiel finden Sie in einer schrittweisen Anleitung für Palo Alto-Netzwerke.

Beschreibung von nva_ipsec_vpn_1_tunnel.png folgt
Beschreibung der Abbildung nva_ipsec_vpn_1_tunnel.png

NVA-basiertes SSL-VPN

Für einige Anwendungen könnte ein SSL-VPN erforderlich sein. SSL-VPN könnte in Oracle Cloud Infrastructure als NVA oder als Appliance innerhalb der Oracle Cloud VMware-Lösung ausgeführt und bereitgestellt werden.

Ein Beispiel, das die Oracle Cloud Marketplace und die OpenVPN-Appliance verwendet, wurde zuvor in dieser Lösung freigegeben.

Beschreibung von nva_ssl_vpn_w_3_tunnels.png folgt
Beschreibung der Abbildung nva_ssl_vpn_w_3_tunnels.png

NSX-basiertes IPSec-VPN

Ein weiteres Deployment-Modell besteht darin, einen IPSec-Tunnel direkt in der Oracle Cloud VMware-Lösung einzurichten. NSX-T unterstützt Layer 3 - und Layer 2 - IPSec-Tunnel, aber SSL-VPN wird nicht unterstützt.

Wenn die Kommunikation über langlebigen-distance-Links erfolgt, kann die Latenz Anwendungen erheblich verlangsamen. Es wird empfohlen, dass Layer-3 - IPSec-Tunnel verwendet werden, damit der Datenverkehr ordnungsgemäß zwischen On-Premise- und Oracle Cloud VMware Solution Workloads segmentiert wird. Wenn Sie versuchen, die Schicht 2 VLANs über das Internet oder dedizierte Links zu strecken, können Chatty-Anwendungen Ihre Verbindungen erheblich verlangsamen.

Beschreibung von nsx_ipsec_w_1_tunnel.png folgt
Beschreibung der Abbildung nsx_ipsec_w_1_tunnel.png

Qualitätstechniker/innen im Netzwerk

In der folgenden Tabelle werden die pros und Kons jeder der vorangegangenen Technologien beschrieben.

Netzwerkverbindung PROs CONs
FastConnect (DRG) Hohe Geschwindigkeit, Links mit geringer Latenzzeit

Sie müssen mehr als eine FastConnect-Verbindung bereitstellen, um ein Single Point of Failure zu vermeiden

Je nach Modell kann es mehrere Wochen oder Monate für das Deployment dauern

VPN-Verbindung (DRG)

Es ist frei

Verwendet eine vorhandene Internetverbindung

Niedrige Durchlaufzeit zum Einrichten

Kann eine Nur-Software-Lösung sein

Thema zu Internetvariabilität, jitter und Verzögerung
IPSec oder SSL-VPN mit NVA

Kunde kann die VPN-Appliance in der Cloud und On Premise steuern

Flexibilität, IPSec - oder SSL-VPN-Netzwerkparameter zu wählen

Thema zu Internetvariabilität, jitter und Verzögerung

Der Kunde ist für die Verwaltung der VM-Appliance verantwortlich

Zusätzliche Lizenzkosten für den VPN-/Firewall-Appliance-Anbieter

IPSec VPN zu NSX (über einem privaten Netzwerk)

Verwendet eine bestehende Verbindung für den Zugriff auf private Subnetze in Oracle Cloud

Softwaredefinierte Konnektivität und Benutzerfreundlichkeit für VMware-Administratoren

Angenommen, private Subnetze sind von On-Premise-Netzwerken erreichbar
FastConnect (DRG) plus IPSec-VPN zu einem Oracle Cloud NVA

Hohe Geschwindigkeit, geringe Latenz

Verschlüsselung zu Oracle Cloud

Sie konnten auch SSL-VPN-Services bereitstellen (sofern vom VM-Appliance-Hersteller unterstützt)

Der Kunde ist für die Verwaltung der VM-Appliance verantwortlich

Zusätzliche Lizenzkosten für den VPN-/Firewall-Appliance-Anbieter

FastConnect (DRG) plus IPSec VPN zu NSX-Edge

Hohe Geschwindigkeit, geringe Latenz

Verschlüsselung zur Oracle Cloud VMware-Lösungsumgebung

Verwendet NSX-Technologie

VPN-Tunnel ist auf die VMware-Umgebung beschränkt

Der Kunde kann möglicherweise nicht auf IaaS-, PaaS - oder SaaS-Services in Oracle Cloud Infrastructure zugreifen