Netzwerk- und Konnektivitätsarchitektur definieren

Wenn Sie Ressourcen in der Cloud bereitstellen, können Sie mit einer einzelnen VPN Connect- oder Oracle Cloud Infrastructure FastConnect-Verbindung zwischen Oracle Cloud und Ihrem On-Premise-Netzwerk beginnen. Um die Redundanz zu planen, sollten Sie alle Komponenten (Hardware, Einrichtungen, Schaltungen und Stromversorgung) zwischen Ihrem On-Premise-Netzwerk und der Cloud berücksichtigen. Berücksichtigen Sie auch Vielfalt, um sicherzustellen, dass Einrichtungen nicht zwischen den Pfaden geteilt werden.

Redundante Verbindungen für Ihre On-Premise-Umgebungen und privaten Ressourcen verwenden

Enterprise Architect, Cloud Architect, Cloud Operations Manager, Netzwerkadministrator

Verwenden Sie hochverfügbare und redundante Verbindungen zwischen Ihren On-Premise-Umgebungen und privaten Ressourcen in Oracle Cloud Infrastructure (OCI).

Die folgenden Optionen sind verfügbar, um Ihre On-Premise-Umgebungen mit Ihren privaten Ressourcen in der Cloud zu verbinden:

• VPN Connect

  Erstellt hochverfügbare und redundante VPN-Verbindungen mit verschlüsselten VPN-Tunneln für IP-Sicherheit (IPSec) über das Internet. IPSec ist eine Protokollsuite, die den gesamten IP-Traffic verschlüsselt, bevor die Pakete von der Quelle zum Ziel übertragen werden. Oracle erstellt redundante IPSec-Tunnel für jede VPN-Verbindung. Die Tunnel sind logisch und physisch isoliert. Wenn möglich, sollten beide Tunnel mit verschiedenen CPEs verbunden werden, um die Verfügbarkeit zu maximieren.

• Oracle Cloud Infrastructure FastConnect

  Erstellt dedizierte, private Verbindungen zwischen Ihrem Data Center und OCI. Oracle Cloud Infrastructure FastConnect bietet Optionen mit höherer Bandbreite sowie ein zuverlässigeres und konsistenteres Netzwerk als bei internetbasierten Verbindungen. Die End-to-End-Verbindung wird als Virtual Circuit bezeichnet. Es wird immer empfohlen, aus Redundanzgründen zwei oder mehr Virtual Circuits zu installieren. Oracle Cloud Infrastructure FastConnect verwendet ein Border Gateway Protocol (BGP), um sicherzustellen, dass Ihr Traffic den besten Pfad verwendet.

Die folgenden Konnektivitätsmodelle sind in Oracle Cloud Infrastructure FastConnect verfügbar:

• Mit einem Oracle-Provider

  Sie können eine FastConnect-Verbindung von Ihrem On-Premise- oder Remote-Data-Center zu dem Data Center herstellen, in dem Ihre Oracle Cloud-Ressourcen bereitgestellt werden. Fordern Sie dazu Cloud-Konnektivitätsservices von einem der FastConnect-Partner von Oracle an. Oracle hat den Service FastConnect mit einem geografisch vielfältigen Set von IP-, VPN- und Ethernet-Netzwerkprovidern und Cloud-Austausch integriert, um Ihnen den Aufbau einer Verbindung zu Oracle Cloud-Services zu erleichtern.

  Dieses Verbindungsmodell ist geeignet, wenn Sie planen, Netzwerkkonnektivitätsservices von einem Oracle FastConnect-Partner in Anspruch zu nehmen, oder diese bereits nutzen. Je nach dem gewünschten Partner müssen Sie möglicherweise redundante Cloud-Konnektivitätsservices beim Oracle FastConnect-Partner bestellen.

• Mit einem Drittanbieter

  Sie können eine FastConnect-Verbindung von Ihrem Remote-Data Center zum Oracle-Data Center herstellen, in dem Ihre Cloud-Ressourcen bereitgestellt werden, indem Sie einen privaten oder dedizierten Circuit von einem Netzbetreiber bestellen, der kein Oracle FastConnect-Partner ist. Dieser externe Netzbetreiber, in der Regel ein MPLS-VPN-Provider, ist für die physische Verbindung zwischen Ihrem On-Premise-Netzwerk und den FastConnect-Edge-Geräten von Oracle verantwortlich, einschließlich der letzten Verbindungslinie innerhalb des Data Centers von Oracle. Oracle stellt ein Autorisierungsschreiben (Letter of Authorization, LOA) zur Verfügung, das Sie dem gewünschten Netzwerkträger bereitstellen müssen. Dieser stellt den Circuit dann bereit. Um Redundanz zu gewährleisten, sollten Sie zwei derartige Schaltungen von Ihrem Netzbetreiber an das Oracle-Data Center bestellen.

  Dieses Verbindungsmodell ist geeignet, wenn Sie bereits eine Beziehung mit bestimmten Netzwerkanbietern haben und oder Ihr Standort Ihres On-Premise- oder Remote-Data-Centers von keinen Oracle FastConnect-Partnern bedient wird.

• Colocation mit Oracle

  Wenn Sie Colocation-Raum von einem Data-Center-Provider erworben haben, können Sie mit Oracle Cloud Infrastructure FastConnect eine Verbindung von Ihrer Netzwerkausrüstung in dieser Colocation-Funktion zu den an diesem Standort bereitgestellten Oracle Cloud-Services herstellen. Oracle stellt Ihnen ein Autorisierungsschreiben (LOA) zur Verfügung, das der Data-Center-Provider benötigt, um einen direkten Crossconnect zu den FastConnect-Edge-Geräten von Oracle zu erstellen.

  Dieses Verbindungsmodell ist geeignet, wenn Sie bereits in einem Oracle Cloud Infrastructure FastConnect-Standort präsent sind oder dort eine Colocation-Präsenz suchen. Um Redundanz zu gewährleisten, müssen Sie zwei derartige Verbindungen zu einem Data Center bestellen.

• Redundanzempfehlungen
  • Wenn Sie sich für den Zugriff auf OCI-basierte Ressourcen auf FastConnect verlassen, stellen Sie sicher, dass der Pfad zum Provider redundant ist. Nutzen Sie nach Möglichkeit mehrere Spediteure.
  • Wenn Sie Workloads in mehreren Regionen ausführen, sollten Sie ein regionales Failover Ihrer FastConnect-Konnektivität in Betracht ziehen oder VPN als Backup bei Ausfall einer regionsinternen Redundanz nutzen.
  • Wenn es nicht möglich ist, eine redundante FastConnect zu erstellen, empfiehlt es sich, eine Backup-VPN-Verbindung zu erstellen. Während die Bandbreite niedriger sein kann und die Latenz höher sein kann, ist die Aufrechterhaltung der Konnektivität über VPN im Falle eines Problems mit FastConnect besser als keine Konnektivität. Stellen Sie sicher, dass der Netzwerkverkehr standardmäßig auf den bevorzugten Pfad eingestellt ist, und stellen Sie sicher, dass Sie die Trafficumleitung in einem Fehlerszenario testen.

Nicht überlappende private Netzwerkbereiche in privaten Umgebungen einrichten

Cloud Architect, Cloud Operations Manager, Netzwerkadministrator

Stellen Sie sicher, dass sich nicht überschneidende private Netzwerkbereiche über private Umgebungen hinweg eingerichtet werden, um Peering-Beziehungen zu ermöglichen.

Sie können nur lokale und Remote-Peering-Beziehungen zwischen mehreren virtuellen Cloud-Netzwerken (VCNs) haben, wenn sie sich nicht überschneidende private IP-Adressbereiche aufweisen. Vermeiden Sie auch Überschneidungen, wenn Sie VCNs mit privaten On-Premise-Umgebungen mit ähnlichen IP-Bereichen verbinden. Stellen Sie beim Deployment mehrerer VCNs in einer Region sicher, dass alle CIDRs Teil eines größeren zusammenhängenden CIDR-Blocks (Supernetzwerk) sind, um die Routingkonfiguration zu vereinfachen.

Sie können Oracle Dynamic Routing Gateway (DRG) verwenden, einen virtuellen Router, an den Sie VCNs, Remote-Peering-Verbindungen, Site-to-Site-VPN-IPSec-Tunnel und OCI-FastConnect-Virtual Circuits anhängen können. Verwenden Sie DRG V2 für die VCN-übergreifende Konnektivität innerhalb und zwischen Mandanten und in der gesamten Region. Mit DRG V2 können die Ressourcen über ein NAT-Gateway über ein privates Subnetz auf das Internet zugreifen.

Größe des virtuellen Cloud-Netzwerks für Erweiterung festlegen

Cloud Architect, Cloud Operations Manager, Netzwerkadministrator

Lassen Sie beim Erstellen Ihrer VCNs und Subnetze Platz für zukünftige Workloads und Erweiterungen.

Sie können zwar Ihren CIDR-Bereich vergrößern oder CIDR-Bereiche zu einem VCN hinzufügen, die Größe Ihres VCN sollte jedoch von Anfang an angemessen sein. Stellen Sie sicher, dass Sie VCN-CIDRs und Subnetz-CIDR-Bereiche erstellen, die zukünftiges Wachstum ermöglichen, einschließlich Kapazität für Disaster-Recovery-Aktivitäten.

Beachten Sie Folgendes:

• Viele Services, einschließlich Oracle Cloud Infrastructure Load Balancing- und Oracle Cloud Infrastructure File Storage-Services, verwenden mehrere IP-Adressen in einem Subnetz, um einen hochverfügbaren Service bereitzustellen.
• Alle in einem VCN erstellten Subnetze liegen im CIDR-Bereich.
• Die Erweiterung eines VCN um ein zusätzliches CIDR ist möglich. Wenn Sie jedoch Oracle Cloud Infrastructure FastConnect nutzen, sind möglicherweise zusätzliche Schritte erforderlich, um sicherzustellen, dass das zusätzliche CIDR von Ihrem On-Premise-Netzwerk aus erreichbar ist.

Fehlertolerante und High Availability-Verbindungen für Ihre öffentliche Workload einrichten

Enterprise Architect, Cloud Architect, Cloud Operations Manager, Netzwerkadministrator

Stellen Sie Fehlertoleranz und High Availability für Benutzer sicher, die eine Verbindung zu Ihrer öffentlichen Workload herstellen.

Verwenden Sie die folgenden Services, um die Verbindungen für Ihre öffentliche Workload zu stärken:

• Oracle Cloud Infrastructure Load Balancing: Automatisiert die Trafficverteilung von einem Einstiegspunkt auf mehrere Server, die über das virtuelle Cloud-Netzwerk (VCN) erreichbar sind. Es verbessert die Ressourcennutzung, vereinfacht die Skalierung und gewährleistet Hochverfügbarkeit.
• Oracle Cloud Infrastructure Steuerungs-Policys für Trafficmanagement: Damit können Sie Policys konfigurieren, um intelligente Antworten auf DNS-Abfragen zu liefern. So können Sie Failover- und High-Availablility-Funktionen erstellen.

Umgehen des Internets bei der Verbindung mit öffentlichen Ressourcen

Enterprise Architect, Cloud Architect, Cloud Operations Manager, Netzwerkadministrator

Wenn Sie Oracle Cloud Infrastructure (OCI) mit öffentlichen Ressourcen verbinden, verwenden Sie Oracle Cloud Infrastructure FastConnect oder ein Servicegateway, um das Internet zu umgehen.

Sie können Oracle Cloud Infrastructure FastConnect mit öffentlichem oder privatem Peering implementieren. Nutzen Sie für in OCI gehostete Workloads ein Servicegateway, um eine Verbindung zu öffentlichen OCI-Services herzustellen.

Mit einer der folgenden Methoden können Sie das Internet umgehen:

• Öffentliches Peering

  Bietet Zugriff auf öffentliche Services in OCI, ohne das Internet zu verwenden.

• Private Peering:

  Erweitert Ihre vorhandene Infrastruktur in ein VCN auf OCI.

• Servicegateway

  Ermöglicht Cloud-Ressourcen ohne öffentliche IP-Adressen den privaten Zugriff auf Oracle-Services. Kombinieren Sie ein Servicegateway mit Transitrouting und Private Peering, um den Zugriff von On-Premise-Ressourcen auf öffentliche OCI-Services zu ermöglichen.

Transitrouting

Cloud Architect, Cloud Operations Manager, Netzwerkadministrator

Verwenden Sie dynamische Routinggateways, um ein Hub-and-Spoke-Netzwerkmodell für einen sicheren und kostengünstigen Zugriff auf mehrere VCNs in einer Oracle Cloud Infrastructure-Region mit einer einzelnen VPN Connect- oder Oracle Cloud Infrastructure FastConnect-Verbindung zu erstellen.

Sie können das Hub-and-Spoke-Modell mit einem Servicegateway erweitern, um Zugriff auf öffentliche Services über dieselbe VPN Connect- oder FastConnect-Verbindung bereitzustellen. Das Hub-and-Spoke-Modell dient auch als optimale Netzwerkarchitektur, wenn Sie die Implementierung einer virtuellen Firewall-Appliance in Betracht ziehen. Die Appliance wird im Hub-VCN mit dem gesamten Traffic zwischen dem VPN oder FastConnect und den VCNs bereitgestellt, die über die Appliance weitergeleitet werden. Optional können Sie Traffic zwischen VCN über die Appliance weiterleiten.

Mehrere Virtual Appliance-Angebote sind im Oracle Cloud Marketplace verfügbar. Um die Verfügbarkeit sicherzustellen, stellen Sie redundante Appliances im Hub bereit, und konfigurieren Sie sie für das automatische Failover (die Failover-Konfiguration ist Appliance-spezifisch).

Weitere Informationen

• Best Practices für IPSec-VPN

• Handbuch zur Konnektivitätsredundanz

• Transitrouting: Zugriff auf mehrere VCNs in derselben Region

• Transitrouting: Privater Zugriff auf Oracle-Services

• Regionale Subnetze