瞭解網路連線設計選項

依照預設,Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 通道會在稱為動態路由閘道 (DRG) 的邏輯裝置上終止。您可以選擇使用 Oracle Cloud Marketplace 中的廠商或使用開源解決方案 (例如程式庫),使用其他 VPN 網路邊緣裝置。

下列主題顯示每個選項的架構圖,然後比較它們的方法和合併。

FastConnect

FastConnect 提供高速 (1 Gbps 或 10 Gbps) 連線至 Oracle Cloud Infrastructure

您可以使用下列方式連線至 Oracle:
  • 透過 FastConnect 提供者
  • 透過非 FastConnect 提供者,也稱為第三方提供者
  • 透過直接光纖作用,如果您共置於與 Oracle 相同的資料中心,

與我們的競爭對手不同,Oracle Cloud Infrastructure 每一 FastConnect 連線都有一條固定費用。我們不會收取透過連線傳輸之資料的增量費用。如需有關 FastConnect 的詳細資訊 (包括逐步指南),請參閱 FastConnect 文件。

為了達到冗餘,建議您至少要有兩個 FastConnect 連線,以避免在 Oracle 端發生單點失敗。最高可用性選項還是要在企業內部部署位置中部署兩個廣域網路 (WAN) 路由器。這些路由器通常稱為客戶內部部署設備 (CPE)。

Quickconnect_w_priv_peering.png 的描述請參見下方
Fast connect_w_priv_peering.png 圖解描述

Oracle Cloud Infrastructure 為基礎的 IPSec VPN

Oracle Cloud 提供「VPN 連線」服務。單一 IPSec 連線會自動提供兩個不同的 IPSec 通道。

您必須負責確保這兩個通道都已啟動,或建置兩個不同的 VPN cpe,以在連線的企業內部部署與 Oracle 端達到相異性。「VPN 連線」免費負擔,可透過公用網際網路進行。因此,您的連線可能會依據 Oracle 控制項以外的目前網際網路條件而受到調整和變化。

Oci_ipsec_vpn_2_tunnel.png 的描述請參見下方
Oci_ipsec_vpn_2_tunnel.png 圖解描述

Nva-型 IPSec VPN

若要在 IPSec VPN 連線的兩端具有更多控制權,您可以部署自己的網路虛擬設備 (NVA)。

在此模型中,您可以建置一或多個虛擬機器 (Vm),以建置高度可用的防火牆。範例包括 Palo Alto Networks、Fortinet 以及 Check Point。如需防火牆解決方案的完整清單,請參閱 Oracle Cloud Marketplace。如需範例,請參閱 Palo Alto 網路的逐步指南。

Nva_ipsec_vpn_1_tunnel.png 的描述請參見下方
Nva_ipsec_vpn_1_tunnel.png 圖解描述

Na-式 SSL VPN

SSL VPN 可能需要某些應用程式。SSL VPN 可以在 Oracle Cloud Infrastructure 中完成並部署為 NVA,或者在 Oracle Cloud VMware 解決方案內部部部署為設備。

使用 Oracle Cloud Marketplace 和 OpenVPN 設備的範例稍早在此解決方案中共用。

Nva_ssl_vpn_w_3_tunnels.png 的描述請參見下方
Nva_ssl_vpn_w_3_tunnels.png 圖解描述

Nsx 型 IPSec VPN

另一種建置模型是將 IPSec 通道直接建立到 Oracle Cloud VMware 解決方案中。NSX-T 支援第 3 層和第 2 層 IPSec 通道,但是不支援 SSL VPN。

當通訊超過持續度連結時,延遲會大幅減緩應用程式的速度。我們建議第 3 層 IPSec 通道,讓流量在企業內部部署和 Oracle Cloud VMware 解決方案工作負載之間維持清除區段。如果您嘗試延伸網際網路或專用連結的第 2 層 Vlan,交談應用系統會大幅降低您的連線速度。

Nsx_ipsec_w_1_tunnel.png 的描述請參見下方
Nsx_ipsec_w_1_tunnel.png 圖解描述

網路連線技術方案與整合

下表描述每個先前技術的程度和諮詢。

網路連線 代理商 CONs
FastConnect (DRG) 高速、低延遲連結

需要建置多個 FastConnect 連線,以避免單點失敗

視模型而定,可能需要數週或數個月進行部署

VPN 連線 (DRG)

免費

使用現有的網際網路連線

設定的前置時間下限

可以是僅限軟體的解決方案

依據網際網路變化性、規定及延遲
具有 NVA 的 IPSec 或 SSL VPN

客戶可以控制雲端和企業內部部署的 VPN 設備

選擇 IPSec 或 SSL VPN 網路參數的彈性

依據網際網路變化性、規定及延遲

客戶負責管理 VM 設備

VPN/防火牆設備廠商的其他授權成本

IPSec VPN to NSX (透過專用網路)

使用現有連線存取 Oracle Cloud 中的專用子網路

VMware 管理員可以輕鬆地使用軟體定義的連線

假設可從企業內部部署網路存取專用子網路
FastConnect (DRG) 加上 IPSec VPN 到 Oracle Cloud NVA

高速,低延遲

加密至 Oracle Cloud

也可以提供 SSL VPN 服務 (如果 VM 設備廠商支援)

客戶負責管理 VM 設備

VPN/防火牆設備廠商的其他授權成本

FastConnect (DRG) 加上 IPSec VPN 到 NSX 邊緣

高速,低延遲

加密至 Oracle Cloud VMware 解決方案環境

使用 NSX 技術

VPN 通道會受限於 VMware 環境

客戶可能無法存取 Oracle Cloud Infrastructure 中的 IaaS、PaaS 或 SaaS 服務