了解网络连接
确保网络连接完全冗余
对于 DRG,Oracle 建议您检查 DRG 的冗余状态以获得快速指示,但这可能会导致误报状态,您可能需要进一步说明来验证冗余状态。
Oracle 建议对 FastConnect 连接执行以下操作:
- 了解 OCI 区域提供的 FastConnect 位置。查看 OCI 文档中的 FastConnect 冗余最佳实践。
- 查找 FastConnect 方案,了解它提供的特定于位置的多样性级别,以及增加多样性的可用选项。
- 避免沿路径出现单点故障,包括第三方或 Oracle 合作伙伴的网络。
对于 IPSec VPN 连接,Oracle 建议执行以下操作:
- 使用另一组 IPSec 隧道部署两个客户终端设备 (CPE)。
- 最好将两个 CPE 定位在不同数据中心或地理位置,以实现最大的多样性。
- 如果两个 CPE 位于同一数据中心,则最低限度地确保 CPE 具有单独的电源、局域网 (Local Area Network,LAN) 交换机,并连接到不同的 Internet 服务提供商 (Internet Service Provider,ISP),以提供最高级别的多样性。
提示:
确保在主连接断开时,辅助连接可以处理带宽。例如,您可以使用 IPSec VPN 作为主 1 GB FastConnect 的备份。但是,将 IPSec VPN 或 1 GB FastConnect 用作 10 GB FastConnect 作为主服务器的备份可能对您无效。Oracle 还建议执行以下操作:
- 使用边界网关协议 (BGP) 对路由进行动态通告,以提供可预测的自动网络故障转移。
- 执行故障转移测试,包括:
- 首次预配冗余连接以验证它们在投入生产之前是否正常工作。
- 在计划的停机时段(例如每 6 个月或每年)定期验证故障转移是否仍在正常工作,以确保在初始故障转移测试之后在环境中进行的更改不会中断故障转移。如果您仅在首次预配冗余连接时进行测试,则可能会发现,当实际停机为时已晚时,系统无法正常工作。
- 也不要忘记验证是否未能返回到主要工作。
考虑使用 Oracle FastConnect 合作伙伴
OCI FastConnect 连接有多种连接模式,包括直接连接或与 Oracle 托管、使用第三方以及使用 OCI FastConnect 合作伙伴。
使用 OCI FastConnect 合作伙伴可以获得许多优势,包括:
-
多样性和冗余
我们的 FastConnect 位置会根据标准要求对 Oracle 合作伙伴进行物理引导,多个高速链路在不同的 OCI FastConnect 路由器上端接。
-
轻松预配
由于物理连接已建立并共享,因此使用 OCI 和合作伙伴的控制台, OCI FastConnect 合作伙伴连接的预配过程相对快速且简单。您可以在几分钟内或数小时内启动并运行 FastConnect。
-
成本
由于不需要昂贵的第三方电信线路,因此使用 Oracle 合作伙伴是一种成本低廉的方案。与合作伙伴的物理连接成本与所有客户共享。
-
大型合作伙伴生态系统
我们在所有 OCI 区域拥有超过 90 个独特的合作伙伴,总连接数超过 750 个。这个数字继续增长,并为您提供了几种可以合作的合作伙伴。
-
多云连接
您可以选择多个 OCI FastConnect 合作伙伴在云服务提供商之间提供快速、简便、低成本的连接。
下表列出了 Oracle FastConnect 模型的连接相关信息:
| FactConnect 选项 | 实施时间 | 复杂性 | 运营商虚拟线路费用 | 承运商费用 |
|---|---|---|---|---|
| Oracle 合作伙伴 | 快速 | 简单 | $ |
$$ |
| 第三方供应商 | 长整数 | 复杂 | 包含 | $$$ |
| 托管/直接 | 短 | 简单 | 包含 | $ |
Oracle 建议执行以下操作:
- 查看特定 OCI 区域中的可用 FastConnect 合作伙伴。
- 请考虑在您具有现有合同或关系的列表中使用 FastConnect 合作伙伴。
在 FastConnect 和 IPSec VPN 之间选择
IPSec VPN 可以作为概念验证 (PoC) 或小型环境的良好选择,从而快速启动和运行 VPN。
随着时间的推移,随着 PoC 成功或组织对 OCI 公有云的信心增加,您可能需要迁移到 OCI FastConnect 等专用连接。如果从频率、数量和延迟敏感的角度来看,基于云的应用与基于内部部署的应用之间的集成级别很高,FastConnect 将更有用。
当迁移候选项被视为关键应用程序时,您还可以尽早采用 FastConnect,尤其是在一致的广域网性能是至关重要的要求时。
IPSec VPN 路由到公共互联网。因此,可用总带宽受 Internet 服务提供商 (ISP) 提供的限制。带宽通常是可变的,容易出现网络拥塞,应视为 best effort,无服务级别。Oracle 客户通常会在单个 IPSec 隧道上看到至少 250 Mbps 的吞吐量,有时甚至会超出这一要求。但是,在任何时间点实现的实际带宽取决于 Oracle 控制之外的许多因素。
下表列出了每个选项的云连接选项和注意事项:
| 云连接选项 | 注意事项 |
|---|---|
| OCI FastConnect |
|
| 站点到站点 VPN |
|
| 公共 Internet |
|
Oracle 建议执行以下操作:
- 在项目的设计阶段,提前计划和记录您的带宽和延迟要求。
- 如果需要一致且可预测的网络性能(带宽、延迟、抖动等),请预配 FastConnect。
- 估计预配 FastConnect 所涉及的成本。不要假设 FastConnect 的成本很高,并且 IPSec VPN 是免费的。您可以从 FastConnect 获得增值,通常可以显著降低 FastConnect 的成本,尤其是在使用 Oracle 合作伙伴时。
- 了解 FastConnect 公共和专用对等连接虚拟线路与适用于公共对等连接选项的任何相关出站数据传输费之间的差异。
下图是将 FastConnect 用于内置冗余的多个位置的示例:
插图 fastconnect-multiple-fc-locations.png 的说明
将描述性名称用于 IPSec 隧道
在 OCI 中预配 IPSec VPN 连接时,Oracle 默认会为 IPSec VPN 连接提供两个隧道。
默认情况下,隧道名称不会为隧道提供太多的有价值或描述性信息,并且当您稍后尝试查找有关特定隧道的信息时可能会导致混淆。默认隧道命名约定为 ipsectunnel<year><month><day><time>-<tunnelnumber>。例如,ipsectunnel20220112214811-1。
提示:
如果您未使用隧道,则无法删除隧道。这可能导致混淆,因为不熟悉网络的用户可能会误解控制台,并假设其生产隧道处于关闭状态,实际上这是无法删除的未使用隧道。Oracle 建议执行以下操作:
- 在 OCI 控制台中预配隧道时,创建描述性和用户友好的隧道名称。例如,使用“主”和“备份”代替“隧道 1”和“隧道 2”。
- 如果您未使用其中一个隧道,请考虑使用说明性名称,让其他人知道该隧道未使用。例如,“未使用的隧道”或“未在使用”。
使用定制 DRG 路由表和导入路由分配
预配 DRG 时,您可能会注意到它会将自动生成的 DRG 路由表与 DRG 附加关联,并将自动生成的导入路由分配与这些 DRG 路由表关联。
这些自动生成的路由表和导入路由分配适用于基本连接方案。您的需求可能会在以后发生变化,并且需要高级 DRG 功能。然后,您需要更改自动生成的路由表和导入路由分配。
Oracle 建议您创建自己的定制 DRG 路由表和导入路由分配,而不是尝试修改自动生成的路由表和导入路由分配。与修改自动生成的默认逻辑相比,这可以更清晰、更轻松地理解逻辑。
Oracle 建议执行以下操作:
- 了解 DRG 路由表和导入路由分配的工作原理。查看浏览更多部分链接的 OCI 文档、博客和 YouTube 视频。
- 为具有相同路由逻辑的每个附件或附件组创建定制 DRG 路由表。
- 为每个 DRG 路由表创建定制 DRG 导入路由分配。在导入路由分配语句中明确并具体说明要从中导入路由的路由和附件。