定义网络和连接体系结构
为内部部署环境和专用资源使用冗余连接
Enterprise Architect, 企业架构师,Cloud Architect, 云架构师,Infrastructure Lead, 基础结构线索,Network Administrator, 网络管理员
以下选项可用于将内部部署环境连接到云中的专用资源:
- VPN 连接
通过互联网使用加密 IP 安全 (IPSec) VPN 隧道创建高可用性和冗余 VPN 连接。IPSec 是一个协议套件,用于在包从源传输到目标之前对所有 IP 通信进行加密。Oracle 为每个 VPN 连接创建冗余 IPSec 隧道。隧道在逻辑上和物理上是隔离的,如果可能,这两个隧道都应连接到不同的 CPE,以最大限度地提高可用性。
- Oracle Cloud Infrastructure FastConnect
在数据中心与 OCI 之间创建专用专用连接。与基于 Internet 的连接相比,Oracle Cloud Infrastructure FastConnect 提供了更高的带宽选项以及更可靠、更一致的网络体验。端到端连接称为虚拟线路。为冗余安装两个或多个虚拟电路始终是最佳实践。Oracle Cloud Infrastructure FastConnect 使用边界网关协议 (Border Gateway Protocol, BGP) 确保流量使用最佳路径。
Oracle Cloud Infrastructure FastConnect 提供了以下连接模型:
- 使用 Oracle 提供程序
您可以通过从 Oracle 的任一 FastConnect 合作伙伴请求云连接服务,在内部部署或远程数据中心与预配了 Oracle Cloud 资源的数据中心之间建立 FastConnect 连接。Oracle 已将 FastConnect 服务与地理位置分散的一组 IP、VPN 和以太网网络提供商以及云交换集成在一起,您可以轻松地与 Oracle Cloud 服务建立连接。
如果您打算使用或已在使用任一 Oracle FastConnect 合作伙伴的网络连接服务,则适合使用此连接模型。根据所选的合作伙伴,您可能需要从 Oracle FastConnect 合作伙伴那里订购冗余的云连接服务。
- 具有第三方供应商
您可以通过从非 Oracle FastConnect 合作伙伴的网络载体订购专用或专用电路来建立从远程数据中心到 Oracle 数据中心的 FastConnect 连接。此第三方网络运营商(通常是 MPLS VPN 提供商)负责内部部署网络与 Oracle FastConnect 边缘设备(包括 Oracle 数据中心内的最后一段连接)之间的物理连接。Oracle 将提供一份授权书 (LOA),您需要将此授权书提供给所选的网络运营商,然后网络运营商将预配线路。应从网络载体订购两个这样的电路到 Oracle 数据中心以提供冗余。
如果您已与某些网络运营商建立关系,或者如果您的内部部署或远程数据中心位置不在任何 Oracle FastConnect 合作伙伴的支持范围内,则适合使用此连接模型。
- 使用 Oracle 的颜色
如果您从数据中心提供商那里购买了托管空间,则可以使用 Oracle Cloud Infrastructure FastConnect 在该托管设施中的网络设备与在此位置预配的 Oracle Cloud 服务之间建立连接。Oracle 将向您提供一份授权书 (LOA),数据中心提供商需要此授权书才能与 Oracle FastConnect 边缘设备建立直接交叉连接。
如果您已在某个 Oracle Cloud Infrastructure FastConnect 位置进行托管或者打算在那里进行托管,则适合使用此连接模型。应订购到数据中心的两个此类连接以提供冗余。
- 冗余建议
- 如果您依赖 FastConnect 访问基于 OCI 的资源,请确保提供程序的路径是冗余的。利用多个承运商(如果可能)。
- 如果您正在多个区域中运行工作负载,请考虑 FastConnect 连接的区域故障转移,或者在区域内冗余失败时将 VPN 用作备份。
- 如果无法创建冗余 FastConnect,则最佳做法是创建备份 VPN 连接。虽然带宽可能较低且延迟可能较高,但在出现 FastConnect 问题时,最好通过 VPN 维护连接,而不是无连接。验证网络通信是否默认为首选路径,并确保在故障场景中测试通信重定向。
跨专用环境建立无重叠的专用网络范围
Cloud Architect, 云架构师,Infrastructure Lead, 基础结构线索,Network Administrator, 网络管理员
调整虚拟云网络大小以允许扩展
Cloud Architect, 云架构师,Infrastructure Lead, 基础结构线索,Network Administrator, 网络管理员
虽然您可以增加 CIDR 范围,也可以将 CIDR 范围添加到 VCN,但最好从一开始就相应地调整 VCN 大小。确保创建 VCN CIDR 和子网 CIDR 范围,这些范围可以适应未来的增长,包括灾难恢复活动的容量。
考虑以下事项:
- 许多服务(包括 Oracle Cloud Infrastructure Load Balancing 和 Oracle Cloud Infrastructure 文件存储服务)使用子网中的多个 IP 地址来提供高可用性服务。
- 在 VCN 中创建的所有子网都在 CIDR 范围内。
- 使用附加 CIDR 扩展 VCN 是可能的,但如果您利用 Oracle Cloud Infrastructure FastConnect,则可能需要执行其他步骤,以确保可以从内部部署网络访问额外的 CIDR。
为公共工作量建立容错和高可用性连接
Enterprise Architect, 企业架构师,Cloud Architect, 云架构师,Infrastructure Lead, 基础结构线索,Network Administrator, 网络管理员
使用以下服务可增强公共工作量的连接:
- Oracle Cloud Infrastructure Load Balancing:自动将流量分布从一个入口点到可从虚拟云网络访问的多个服务器 (VCN)。它提高了资源利用率,促进了扩展,并帮助确保了高可用性。
- Oracle Cloud Infrastructure Traffic Management 指导策略:使您可以配置策略来为 DNS 查询提供智能响应,从而使您能够创建故障转移和高可用性功能。
连接到公共资源时绕过 Internet
Enterprise Architect, 企业架构师,Cloud Architect, 云架构师,Infrastructure Lead, 基础结构线索,Network Administrator, 网络管理员
您可以使用公共或专用对等连接实现 Oracle Cloud Infrastructure FastConnect,而 VPN Connect 仅支持专用对等连接。对于 OCI 中托管的工作负载,利用服务网关连接到公共 OCI 服务。
使用以下方法之一绕过 Internet:
- 公共对等连接
在不使用 Internet 的情况下访问 OCI 中的公共服务。
- 专用对等连接:
将现有基础结构扩展到 OCI 上的 VCN。
- 服务网关
允许没有公共 IP 地址的云资源私有访问 Oracle 服务。将服务网关与传输路由和专用对等连接结合起来,以允许从内部部署资源访问公共 OCI 服务。
传输路由
Cloud Architect, 云架构师,Infrastructure Lead, 基础结构线索,Network Administrator, 网络管理员
可以通过使用服务网关通过同一 VPN Connect 或 FastConnect 连接提供对公共服务的访问来扩展集线器和标记模型。在考虑实施虚拟防火墙设备时,集线器和闪烁模型也充当最佳网络体系结构。设备部署在 Hub VCN 中,其中包含 VPN 或 FastConnect 与通过设备的 VCN 路由之间的所有通信。(可选)您可以通过设备在 VCN 之间路由通信。
Oracle Cloud Marketplace 中提供了多个虚拟设备产品。为了确保可用性,请在集线器中部署冗余设备并配置为自动故障转移(故障转移配置特定于设备)。