瞭解連線技術
整合 Oracle Utilities Cloud 服務應用程式與外部代管的應用程式 (不論是在您的資料中心或第三方資料中心) 時,您可以選取三種不同的連線技術 (視拓樸整合需求而定)。
- Oracle Cloud Infrastructure FastConnect
- IPsec VPN 連線
- 反向代理主機
瞭解 Oracle VPN 連線
您可以使用 Oracle VPN Connect,透過公用網際網路將公司/專用網路連線至 Oracle Cloud Infrastructure (OCI)。它透過 OCI 上的 Oracle Utilities Cloud 服務與其整合的外部應用程式之間的公用網際網路,透過虛擬專用通道提供安全的通訊。
整合外部應用程式時,您必須為每個資料中心和可能需要連線至 OCI 的每個第三方資料中心設定個別的 VPN。客戶需要設定 VPN 連線。VPN 連線是一項免費服務,不需支付連接埠時數費用。網路雲價格涵蓋資料傳輸成本。
使用 VPN 連線的時機
當這些條件存在時,您應該考慮使用 VPN 連線:
- 需要與 Oracle Utilities Cloud 服務整合的外部應用程式位於您的公司專用網路內,且您不打算從資料中心內公開 API 至公用網際網路 (Oracle Utilities Cloud 服務應用程式的出埠),或是應用程式無法存取公用網際網路 (入埠至 Oracle Utilities Cloud 服務) 但必須與 Oracle Utilities Cloud 服務整合時。
存取外部應用程式的專用端點 /API 時,需要 Oracle Cloud Infrastructure 上的中介機構與 VPN 連線。Oracle Utilities Cloud 服務無法連線至專用 IP 位址進行來自 SaaS 的輸出通訊,需要公用 IP 位址才能進行整合。
- 當外部應用程式未使用 CA-issued 憑證,而您計畫使用在 Oracle Cloud Infrastructure 內設定的逆向代理主機,且外部應用程式不會對公用網際網路公開任何 API 時。逆向代理主機可能需要 VPN 連線,才能夠從 Oracle Cloud Infrastructure 連線至外部應用程式。
- 當您希望安全的通訊通道透過公用網際網路,將 Oracle Utilities Cloud 服務與資料中心或第三方資料中心的應用程式整合時。
準備使用 VPN 連線
導入 VPN 連線以整合外部應用程式與 Oracle SaaS 之前,請先執行下列作業:
- 瞭解設定的需求和工作。
- 設定客戶提供的設備 (CPE)。
- 規劃可防止系統停止工作的時間成本的冗餘。
設定 IPSec VPN 連線
設定外部應用程式與 Oracle SaaS 之間的 IPSec VPN 連線網路是一個可以複雜的多步驟處理作業,除非您完全瞭解此主題提供必要步驟的基本總覽。如需詳細資訊,請參閱使用 VPN 連線之前中參照的設定 VPN 連線。
- 選擇最適合您實行的路由類型。IPSec VPN 有兩個備援的 IPSec 通道,您應該將客戶提供的設備 (CPE) 裝置設定為使用這兩個通道。您可以為這些通道選取兩種路由類型之一:
- BGP 動態路由,可用的路由會透過 BGP 動態學習。
- 靜態路由,當您設定 IPSec 與 DRG 的連線時,您可以指定讓 VCN 知道的特定路由給企業內部部署網路。
- 完成設定 VPN 連線中的問卷,請參閱使用 VPN 連線之前。這些問題需要您的 VCN CIDR、CPE 裝置的公用 IP 位址、計畫使用的路由類型以及其他相關詳細資訊等資訊。
- 設定 IPSec VPN 元件:
- 建立您的 VCN。
- 建立 DRG。
- 將 DRG 連附至您的 VCN。
- 建立 DRG 的路由表和路由規則。
- 建立安全清單和必要的規則。
- 在 VCN 中建立子網路。
- 建立 CPE 物件並提供 CPE 裝置的公用 IP 位址。
- 建立 CPE 物件的 IPSec 連線並提供必要的路由資訊。
- 使用 CPE 組態協助程式,產生設定 CPE 裝置時要使用的網路工程師資訊。如需詳細資訊,請參閱使用 VPN 連線之前參照的 CPE 組態協助程式和 CPE 組態。
- 讓您的網路工程師設定 CPE 裝置。
- 驗證連線。
設定客戶提供的設備
網路工程師需要有關企業內部部署裝置內部和外部介面的基本資訊;亦即您的客戶提供的設備或 CPE。這可讓他們在您的 IPSec VPN 端設定這些內部部署裝置,讓流量能夠在內部部署網路與 VCN 之間流動。
備註:
Oracle 已驗證搭配 VPN Connect 使用的特定軟體;不過,在此列出的軟體超出此 Player 的範圍。您可以在使用 VPN 連線之前參照的已驗證 CPE 裝置中見到此清單。- 決定路線規定。Oracle 在構成 IPSec VPN 連線的多個通道間使用非對稱路由。即使您將一個通道設定為主要通道並將另一個通道設定為備份,從您的 VCN 到內部部署網路的流量仍可使用您裝置上「使用中」的任何通道。
相應地設定防火牆。否則,跨連線偵測測試或應用程式流量將無法可靠地運作。如果您在 IPSec VPN 使用 BGP 動態路由,您可以設定路由,讓 Oracle 偏好透過另一個通道。
- 收集 VCN 與 IPSec 連線多個 IPSec 通道的重要資訊。這些資訊包括:
- VCN OCID,這是結尾具有 UUID 的唯一 Oracle Cloud Infrastructure ID
- VCN CIDR
- VCN CIDR 子網路遮罩
- 針對每個 IPSec 通道,Oracle IPSec 通道端點 (VPN 前端) 的 IP 位址和共用密碼
- 收集內部部署裝置 (CPE) 內部和外部介面的基本資訊。
- 判斷 Oracle VPN 前端是否使用以路由為基礎的通道或以原則為基礎的通道 (也請注意,使用以原則為基礎的通道會隨附一些警告)。
- 請觀察下列 IPSec VPN 最佳做法:
- 設定每個 IPSec 連線的所有通道。
- 在您的內部部署位置有備援的 CPE。
- 考慮備份聚總路由。
- 測試並確認連線狀態。設定 IPSec 連線之後,請在 VCN 中啟動執行處理,然後從內部部署網路偵測連線以進行測試。
計畫冗餘
IPSec VPN Connect 實作中的冗餘可確保可靠的效能,並將系統的停止工作時間及其他壓力降到最低或排除。實行冗餘時,金鑰是為了效率、速度和可用性而建立的備份路徑。
| 元件 | 注意事項 |
| Internet 服務提供者 (ISP) | 並非所有 ISP 都相同。來自您 ISP 的對等互連關係可讓您的流量路由更有效率地減少延遲,因為它會隨著網際網路而改變。 |
| 硬體 | 啟用具有備援硬體的服務,並確保路徑中的任何位置都沒有單點失敗。您將如何處理基礎架構維護 (由 Oracle 或您自己的 IT 部門)?您可以容許停止工作時間嗎?您可以容許多少停止工作時間? |
| 設施相異性 | 您有備援的電源饋送嗎?您的建築物是否有多樣的電信進入點?您的設備位於不同的機架或資料中心? |
| Oracle FastConnect POP 多樣性 | 要將兩個 FastConnect 迴路終止到相同的目前狀態點 (POP) 或不同的位置?請注意,POP 多元化僅適用於鳳凰城、阿什本、法蘭克福及倫敦區域。 |
| 電路提供者多樣性 | 您是否計畫使用不同的承運商?您的 WAN 或 Internet 迴路是否完全多樣,或共用 POP?請注意,具有不同的承運商並不代表迴路是完全多樣的。 |
瞭解 OCI FastConnect
Oracle FastConnect 可讓專用專用線路安裝在外部資料中心與 Oracle Cloud Infrastructure (OCI) 資料中心之間的電信提供者。這可透過與 OCI 資料中心和外部資料中心連線的個別專用專用線路提供可靠且安全的通訊,並在公用網際網路外提供通訊功能。
Oracle FastConnect 可與屬於 Oracle Utilities Cloud 服務應用程式客戶或第三方資料中心的資料中心搭配使用,以整合外部應用程式。具有第三方資料中心的 FastConnect 功能可能涉及額外的協議/工作。如果需要 FastConnect 功能,則必須由客戶個別授權與設定。
何時使用 OCI FastConnect
每當代管外部應用程式和 Oracle Utilities Cloud 服務應用程式的資料中心之間需要高頻寬專用線路時,請使用 OCI FastConnect。
準備使用 OCI FastConnect
在您實作 Oracle Cloud Infrastructure FastConnect 以整合外部應用程式與 Oracle SaaS 之前,請先執行下列動作:
- 複查 OCI FastConnect 文件。
- 瞭解 OCI FastConnect 的需求。
- 複查最有效的設計概念。
- 規劃冗餘。
檢閱 FastConnect 文件
Oracle 提供實作及使用 OCI FastConnect 的絕佳完整文件,此文件超出此播放書的範圍。請參閱「使用 OCI FastConnect 之前」主題中的連結以找出此內容。
瞭解 FastConnect 需求
開始使用 FastConnect 之前,您必須先處理一組實行需求。
- 擁有 Oracle Cloud Infrastructure 帳戶,且至少擁有一個具備適當 Oracle Cloud Infrastructure Identity and Access Management (IAM) 權限的使用者。
- 具備適當的 Oracle Cloud Infrastructure Identity and Access Management (IAM) 權限 (例如,Administrators 群組中的使用者)。
- 使用 BGP 來支援 Layer 3 路由的可能網路設備。
- 與 Oracle 共置:可使用所選 FastConnect 位置中的單一模式光纖連線。另請參閱硬體與路由需求。
- 若要連線至 Oracle 夥伴,您至少需要一個與夥伴的實體網路連線。
- 若要連線至第三方提供者,您至少需要一個與提供者的實體連線。
- 您至少需要為 VCN 設定一個現有的 DRG。
- 僅供公用對等互連使用:您需要連線時所要使用的公用 IP 位址前置碼清單。Oracle 將會驗證您對每個前置碼的擁有權。
複查 FastConnect 設計選項
有三種 FastConnect 選項可供選擇:Oracle 提供者、第三方提供者以及共用位置。本主題將協助您根據設計中的重要點來選擇導入的最佳選項。
- 首先,決定要連線的 Oracle 位置。
Oracle 在全球有多個位置,稱為部署 Oracle Cloud Infrastructure 的區域。每個區域都有一個或兩個實體項目位置 (稱為 FastConnect Data Center (DC))。FastConnect DC 是 OCI 區域的進入點,具有備援硬體。FastConnect DC 是客戶建立連線的地方。您可以在 Oracle 的北美洲網路提供者和交換夥伴網站找到完整的已啟用 FastConnect 區域清單,請參閱使用 OCI FastConnect 之前主題。
- 接著,識別您要透過 FastConnect (又稱為虛擬迴路) 連線的服務。
FastConnect 是指企業內部部署與 Oracle Cloud Infrastructure (OCI) 之間的實體連線。在 FastConnect 內,您將建立虛擬迴路以連線至 OCI 內的服務。虛擬迴路 (VC) 有兩種類型:
- 專用對等互連:當您想要連線至 OCI 內的虛擬雲端網路 (VCN) 時,這是一個虛擬迴路。
- 公用對等互連:這是一個虛擬迴路,可讓您將企業內部部署系統連線至 Oracle Services Network (OSN),以及在不使用網際網路的情況下存取公用服務。
- 最後,決定要使用的 FastConnect 種類:
這三個 FastConnect 選項中有哪些最符合您的需求?若要回答該問題,您需要考慮設計的某些不同方面:
- 客戶的資料中心位於何處?
- 客戶想要連線至 OCI 的資料中心數目
- 客戶與提供者或承運商的關係為何?
- 提供者可在何處傳遞迴路或交叉連線
- 客戶要部署 FastConnect 的速度有多快?成本延遲頻寬
這是簡短的大綱,說明如何處理實行 OCI FastConnect 的設計選項。如需這些設計選項的更詳細討論,請參閱主題使用 OCI FastConnect 之前參照的部落格張貼項目 FastConnect 設計。
計畫冗餘
OCI FastConnect 實行中的冗餘可確保可靠的效能,並將系統上的成本停止工作時間及其他壓力降至最低。實行冗餘時,金鑰是為了效率、速度和可用性而建立的備份路徑。
- 依您的組織、您的提供者 (如果使用的話) 或 Oracle 定期排定維護。
- 網路元件、您的提供者或 Oracle 的一部分發生未預期的失敗。失敗是很少見的,但您應該規劃它們。
- 每個區域有多個提供者
- 下列每一個區域的兩個 FastConnect 位置 (所有其他區域都有單一的 FastConnect 位置)
- 德國中部 (法蘭克福)
- 英國南部 (倫敦)
- 美國東部 (阿什本)
- 美國西部 (鳳凰城)
- 每個 FastConnect 位置中有兩個路由器
- 每個 Oracle 夥伴與 Oracle 之間的多個實體連線 (針對指定的區域)
您可以在 FastConnect 冗餘最佳應用中找到 OCI FastConnect 連線模型特定的最佳應用討論 (請參閱使用 OCI FastConnect 之前)。
使用 OCI FastConnect 之前
上述 Oracle Cloud Infrastructure FastConnect 最佳做法已從 OCI 文件中累積,其中包含此服務的更多詳細資訊。使用 FastConnect 之前,您應該先複查下列項目:
- 如需完整的 FastConnect 文件,請參閱 FastConnect。
- 若要瞭解 FastConnect 的先決條件,請參閱 FastConnect Requirements。
- 如需設計 FastConnect 實行的最佳做法,請參閱 FastConnect Design and FastConnect Redundancy Best Practices。
瞭解反向代理主機範例
反向代理主機是一種代理主機伺服器類型,可代理一或多個伺服器,並代表從屬端從這些伺服器擷取資源。從屬端看到它是由反向代理主機提供服務的要求,對反向代理主機抽象的伺服器有責任。反向代理主機可用來向公用網際網路公開專用端點/API,如果伺服器/應用程式未使用簽署的憑證,也可以使用已簽署的憑證提供安全通訊。
您可以在能夠存取公司/專用網路的資料中心解除封裝區域中佈建反向代理主機,並透過反向代理主機將應用程式的特定端點公開給公用網際網路,以與 OCI 上的 Oracle Utilities Cloud 服務應用程式整合。
如果外部應用程式中沒有需要與 Oracle Utilities Cloud 服務應用程式整合的 CA 簽署憑證 (更明確地說是 Oracle Utilities Cloud 服務應用程式的輸出通訊),您可以設定反向代理與 CA 簽署的憑證,以代理外部應用程式/應用程式。
您可以設定單一反向代理主機來代理多個應用程式 (受限於網路設定)。反向代理主機可根據適用性設定在 Oracle Cloud Infrastructure 或資料中心的去除軍事網路區域內。您可以視需要使用需要 VM 和其他資源訂閱、設定和組態的適當代理主機軟體,在 Oracle Cloud Infrastructure 上進行反向代理主機設定。
使用反向代理主機的時機
外部應用程式的 API 不會公開給公用網際網路,因此在外部應用程式或 Oracle Cloud Infrastructure 的資料中心中設定的反向代理主機可以將這些端點公開給 Oracle Utilities Cloud 服務應用程式。
如果在 Oracle Cloud Infrastructure 上設定反向代理主機,當外部應用程式的 API 未公開給公用網際網路時,可能需要 VPN 連線。如果外部應用程式未使用 CA 簽署憑證。然後可以設定單一反向代理主機搭配 CA 發出的憑證,以代理一或多個外部應用程式。
- 若要在 OCI 上設定反向代理主機,請在 VCN 中建立 VM 執行處理。
- 如果您的 VM 使用 Linux 作為 O/S,請在 VCN 中設定輸入規則,以允許 SSH 存取 VM。
- 在 OCI 上新佈建的 VM 上下載並安裝反向代理軟體,並設定該軟體,以便能夠從 Oracle Utilities Cloud 服務接收通訊並透過 VPN 將它遞送至外部應用程式。
- 請務必使用公用 IP 位址設定反向代理主機,讓 Oracle Utilities Cloud Service 可以傳送出埠通訊給反向代理主機。
請參閱本電子書其他地方的「瞭解可用的整合通道」,瞭解與外部系統整合的支援通道和其他需求。
瞭解 VPN 連線與 OCI FastConnect 之間的差異
如果您不需要使用反向代理主機來實行 Oracle Utilities Cloud 服務應用程式與外部代管的應用程式之間的整合,但仍不確定要使用 IPSec VPN Connect 或 OCI FastConnect,瞭解這兩者之間的差異將有助於您正確判斷。
IPSec VPN 會在外部應用程式的資料中心與 Oracle Cloud Infrastructure 虛擬雲端網路 (VCN) 之間,透過網際網路建立加密的網路連線。它提供低頻寬或最小頻寬,並在網際網路連線中具有固有的變化性。
FastConnect 會略過網際網路,而是在外部應用程式的網路或資料中心與 VCN 之間,使用專屬的專用網路連線。
以下是進一步的比較:
| IPSec VPN 連線 | OCI FastConnect | |
| 使用案例 | 開發、測試及小型生產環境工作負載 | 企業級與關鍵任務工作負載、Oracle 應用系統、備份、DR |
| 支援的服務 | VCN 內的所有 OCI 服務 | VCN 內的所有 OCI 服務 |
| 典型頻寬 | 通常< 250 Mbps 聚總 | 較高的頻寬;增加 1 Gbps 和 10 Gbps 連接埠 |
| 網際網路 | 網際網路協定安全 (IPsec) | 邊界閘道通訊協定 (BGP) |
| 路由 | 靜態路由 | 動態路由 |
| 連線復原能力 | active-active -主動-主動 | active-active -主動-主動 |
| 加密 | 是,預設為 | 否,可以使用虛擬防火牆達成 |
| 訂價 | 免費使用受管理的服務 | 可計費連接埠時數可用性網域之間不需要資料傳輸費用 |
| 服務層次協議 | 沒有服務層次協議 | 99.9%可用性服務層次協議 |