1. 了解有关连接到 Oracle Cloud 和 VMware 资源的信息
  2. 了解网络连接设计选项

了解网络连接设计选项

默认情况下,Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 隧道在名为动态路由网关(DRG)的逻辑设备上终止。通过在 Oracle Cloud Marketplace 中使用供应商或通过使用开源解决方案(例如 Libreswan),可以选择使用其他 VPN 网络边缘设备。

以下主题显示每个选项的体系结构图,然后对其进行比较和合并。

FastConnect

FastConnect 提供了与 Oracle Cloud Infrastructure 的高速(1 Gbps 或 10 Gbps)连接。

可以通过以下方式连接到 Oracle:
  • 通过 FastConnect 提供方
  • 通过非 FastConnect 提供方(也称为第三方提供方)
  • 如果您在 Oracle 所在的数据中心校园中心托管

与我们的竞争对手不同,Oracle Cloud Infrastructure 在每个 FastConnect 连接都有一个统一费用。对于通过连接传输的数据,我们不会收取增量费用。有关 FastConnect 的详细信息(包括分步指南),请参阅 FastConnect 文档。

为了实现冗余,我们建议您至少有两个 FastConnect 连接,以避免在 Oracle 端出现单点故障。最高可用性选项也是在内部部署位置部署了两个广域网(WAN)路由器。这些路由器通常称为客户部署设备(CPE)。

后面是 fastconnect_w_priv_peering.png 的说明
插图 fastconnect_w_priv_peering.png 的说明

基于 Oracle Cloud Infrastructure 的 IPSec VPN

Oracle Cloud 提供 VPN 连接服务。单个 IPSec 连接会自动提供两个不同的 IPSec 隧道。

您负责确保两个隧道均已启动,或部署两个不同的 VPN cpe 以在连接的内部部署和 Oracle 端实现多样性。VPN 连接不收费,通过公共 Internet。因此,根据 Oracle 控件外部的当前互联网条件,您的连接可能会受到广播和可变性的限制。

后面是 oci_ipsec_vpn_2_tunnel.png 的说明
插图 oci_ipsec_vpn_2_tunnel.png 的说明

基于 Nvra 的 IPSec VPN

为了对 IPSec VPN 连接的两个端进行更多控制,您可能需要部署自己的网络虚拟设备(NVA)。

在此模型中,部署一个或多个虚拟机(Vm)以构建高可用性防火墙。示例包括 Palo Alto Networks、Fortinet 和 Check Point。有关防火墙解决方案的完整列表,请参见 Oracle Cloud Marketplace。有关示例,请参见 Palo Alto 网络的逐步指南。

后面是 nva_ipsec_vpn_1_tunnel.png 的说明
插图 nva_ipsec_vpn_1_tunnel.png 的说明

基于 Nvra 的 SSL VPN

SSL VPN 可能是一些应用程序的要求。可以在 Oracle Cloud Infrastructure 中实现 SSL VPN 并将其部署为 NVA,或者可能作为 Oracle Cloud VMware 解决方案中的设备来实现和部署。

以前在此解决方案中共享了使用 Oracle Cloud Marketplace 和 OpenVPN 设备的示例。

后面是 nva_ssl_vpn_w_3_tunnels.png 的说明
插图 nva_ssl_vpn_w_3_tunnels.png 的说明

基于 Nsx 的 IPSec VPN

另一种部署模型是将 IPSec 隧道直接建立到 Oracle Cloud VMware 解决方案中。NSX-T 支持第 3 层和第 2 层 IPSec 隧道,但不支持 SSL VPN。

当通信超过短暂链路时,延迟可能会显著降低应用程序的速度。我们建议第 3 层 IPSec 隧道在内部部署工作量和 Oracle Cloud VMware 解决方案工作量之间完全分段流量。如果尝试在 Internet 或专用链路中拉伸第 2 层 VLAN,则聊天应用程序将显著降低您的关系。

后面是 nsx_ipsec_w_1_tunnel.png 的说明
插图 nsx_ipsec_w_1_tunnecessary l.png 的说明

网络连接技术生产和违规

下表说明了比例并合并以上每种技术。

网络连接 提交 连接
FastConnect (DRG) 高速度,低延迟链路

需要部署多个 FastConnect 连接以避免出现单点故障

根据模型,部署可能需要几周或几个月
VPN 连接(DRG)

空闲

使用现有 Internet 连接

设置的提前期下限

可以是仅软件的解决方案

 适用于互联网可变性、分路器和延迟
具有 Nvra 的 IPSec 或 SSL VPN

客户可以控制云中的 VPN 设备和内部部署

可灵活地选择 IPSec 或 SSL VPN 网络参数

适用于互联网可变性、分路器和延迟

客户负责管理 VM 设备

VPN/防火墙设备供应商的额外许可成本
IPSec VPN 到 NSX(通过专用网络)

使用现有连接访问 Oracle Cloud 中的专用子网

软件定义的连接并简化了 VMware 管理员的使用

 假设专用子网可从内部部署网络访问
FastConnect (DRG)加 IPSec VPN 到 Oracle Cloud NVA

高速度,低延迟

加密到 Oracle Cloud

还可以提供 SSL VPN 服务(如果 VM 设备供应商支持)

 客户负责管理 VM 设备

VPN/防火墙设备供应商的额外许可成本
FastConnect (DRG)以及 IPSec VPN 到 NSX Edge

高速度,低延迟

Oracle Cloud VMware 解决方案环境加密

使用 NSX 技术

VPN 隧道可能仅限于 VMware 环境

客户可能无法访问 Oracle Cloud Infrastructure 中的 IaaS、PaaS 或 SaaS 服务