定义网络和连接体系结构
对您的内部部署环境和专用资源使用冗余连接
企业架构师、云架构师、云运营经理、网络管理员
以下选项可用于将内部部署环境连接到云中的专用资源:
- VPN 连接
通过通过互联网使用加密 IP 安全 (IPSec) VPN 隧道创建高可用性和冗余 VPN 连接。IPSec 是一个协议套件,在将数据包从源传输到目标之前对所有 IP 流量进行加密。Oracle 为每个 VPN 连接创建冗余 IPSec 隧道。如果可能,两条隧道在逻辑上和物理上都是相互隔离的,应将两条隧道连接到不同的 CPE 以尽可能提高可用性。
- Oracle Cloud Infrastructure FastConnect
在数据中心与 OCI 之间创建专用专用连接。Oracle Cloud Infrastructure FastConnect 提供了更高的带宽选项,并且与基于 Internet 的连接相比,其网络体验更加可靠和一致。端到端连接称为虚拟线路。最佳做法始终是安装两个或更多个虚拟线路以实现冗余。Oracle Cloud Infrastructure FastConnect 使用边界网关协议 (BGP) 确保流量使用最佳路径。
Oracle Cloud Infrastructure FastConnect 提供以下连接模式:
- 借助 Oracle 提供商
您可以通过向任何 Oracle FastConnect 合作伙伴请求云连接服务来建立从内部部署或远程数据中心到预配 Oracle Cloud 资源的数据中心的 FastConnect 连接。Oracle 已将 FastConnect 服务与一组分布在各地的 IP、VPN、以太网网络提供商和云交易所集成,以便您轻松与 Oracle Cloud 服务建立连接。
如果您计划使用或已在使用任一 Oracle FastConnect 合作伙伴的网络连接服务,则适合使用此连接模型。根据所选的合作伙伴,您可能需要从 Oracle FastConnect 合作伙伴那里订购冗余云连接服务。
- 通过第三方提供商
您可以通过订购非 Oracle FastConnect 合作伙伴的网络运营商的专用或专用线路,在远程数据中心与预配云资源的 Oracle 数据中心之间建立 FastConnect 连接。此第三方网络运营商(通常是 MPLS VPN 提供商)负责您的内部部署网络与 Oracle FastConnect 边缘设备之间的物理连接,包括 Oracle 数据中心内的最后一段连接。Oracle 将提供一份授权书 (LOA),贵方需要将其提供给所选的网络运营商,然后网络运营商将预配线路。您应该订购从您的网络运营商到 Oracle 数据中心的两个此类线路以提供冗余。
如果贵方已与某些网络运营商关系,或如果贵方内部部署或远程数据中心位置不在任何 Oracle FastConnect 合作伙伴的支持范围内,则适合使用此连接模型。
- 在 Oracle 数据中心托管设施
如果您从数据中心提供商购买了托管空间,则可以使用 Oracle Cloud Infrastructure FastConnect 从该托管设施中的网络设备建立与该位置预配的 Oracle Cloud 服务的连接。Oracle 将向贵方提供一份授权函 (LOA),数据中心提供商需要此授权函才能与 Oracle FastConnect 边缘设备建立直接交叉连接。
如果您在 Oracle Cloud Infrastructure FastConnect 位置已经存在,或者希望在该位置建立共存,则适合使用此连接模型。您应订购与数据中心的两个此类连接以提供冗余。
- 冗余建议
- 如果您依赖 FastConnect 访问基于 OCI 的资源,请确保您通往提供商的路径是冗余的。如果可能,利用多个承运人。
- 如果您在多个区域运行负载,请考虑在区域内进行 FastConnect 连接故障转移,或者在区域内冗余失败时利用 VPN 作为备份。
- 如果无法创建冗余 FastConnect,则最佳做法是创建备份 VPN 连接。虽然带宽可能会更低,延迟可能会更高,但如果 FastConnect 出现问题,通过 VPN 维护连接是首选方式,而不是不连接。验证网络流量是否默认为首选路径,并确保在故障情况下测试流量重定向。
在专用环境中建立不重叠的专用网络范围
云架构师,云运营经理,网络管理员
仅当多个虚拟云网络 (VCN) 具有不重叠的专用 IP 地址范围时,才能在它们之间建立本地和远程对等连接关系。同样,如果要将 VCN 与具有相似 IP 范围的内部部署专用环境连接,请避免重叠。在区域内部署多个 VCN 时,请尝试确保所有 CIDR 构成更大的连续 CIDR 块(超级网络)的一部分,以简化路由配置。
您可以使用 Oracle 动态路由网关 (Dynamic Routing Gateway,DRG),这是一种虚拟路由器,您可以将 VCN、远程对等连接、站点到站点 VPN IPSec 隧道和 OCI FastConnect 虚拟线路连接到该路由器。使用 DRG V2 在租户内和租户之间以及跨区域建立 VCN 间连接。DRG V2 允许资源使用 NAT 网关从专用子网访问互联网。
调整虚拟云网络大小以允许扩展
云架构师,云运营经理,网络管理员
您可以增加 CIDR 范围或向 VCN 添加 CIDR 范围,但最好从一开始就相应调整 VCN 的大小。确保创建可以适应未来发展的 VCN CIDR 和子网 CIDR 范围,包括用于灾难恢复活动的容量。
考虑以下事项:
- 许多服务(包括 Oracle Cloud Infrastructure Load Balancing 和 Oracle Cloud Infrastructure File Storage 服务)在一个子网内使用多个 IP 地址来提供高可用性服务。
- 在 VCN 中创建的所有子网都在 CIDR 范围内。
- 可以通过额外的 CIDR 扩展 VCN,但如果您使用 Oracle Cloud Infrastructure FastConnect ,则可能需要执行其他步骤来确保可从内部部署网络访问额外的 CIDR。
为您的公共负载建立容错和高可用性连接
企业架构师、云架构师、云运营经理、网络管理员
使用以下服务来增强公共工作负载的连接:
- Oracle Cloud Infrastructure Load Balancing :将流量从一个入口点自动分发到可从虚拟云网络 (VCN) 访问的多个服务器。它可以提高资源利用率,促进扩展,并有助于确保高可用性。
- Oracle Cloud Infrastructure 流量管理引导策略:使您能够配置策略来为 DNS 查询提供智能响应,从而创建故障转移和高可用性功能。
连接到公共资源时绕过 Internet
企业架构师、云架构师、云运营经理、网络管理员
您可以使用公共或专用对等连接实施 Oracle Cloud Infrastructure FastConnect 。对于在 OCI 中托管的工作负载,您可以利用服务网关连接到公共 OCI 服务。
使用以下方法之一绕过 Internet:
- 公共对等连接
无需使用互联网即可访问 OCI 中的公共服务。
- 专用对等连接:
将现有基础设施扩展到 OCI 上的 VCN。
- 服务网关
允许没有公共 IP 地址的云资源以专用方式访问 Oracle 服务。将服务网关与传输路由和专用对等连接相结合,以允许从内部部署资源访问公共 OCI 服务。
在途路由
云架构师,云运营经理,网络管理员
您可以使用服务网关通过相同的 VPN Connect 或 FastConnect 连接提供对公共服务的访问,从而扩展中心辐射模型。在考虑实施虚拟防火墙设备时,集线器和辐条模型还可用作最佳网络体系结构。设备部署在中心 VCN 内,在 VPN 或 FastConnect 与 VCN 之间通过设备进行路由的所有流量。(可选)您可以通过设备在 VCN 之间路由流量。
Oracle Cloud Marketplace 中提供了多个虚拟设备产品。为确保可用性,请在集线器内部署冗余设备,并配置自动故障转移(故障转移配置特定于设备)。