規劃網路資源的高可用性

使用 Oracle Cloud Infrastructure 的第一個步驟就是為您的雲端資源設定虛擬雲端網路 (VCN)。確保此網路的高可用性是架構設計中最重要的考量之一。

為規劃網路資源的高可用性，您應該考慮的主要設計策略包括：

• 決定網路子網路的正確大小。
• 規劃下列主要元件的高可用性組態：負載平衡器、IPSec VPN 連線和 FastConnect 迴路。

本文將說明這些策略。

判斷子網路的正確大小

子網路是雲端網路的細分。若要建立網路高可用性，必須正確調整此資源的大小。

VCN 中的每個子網路都是由不與 VCN 中其他子網路重疊的連續 IP 位址範圍所組成 (例如 172.16.1.0/24)。Oracle Cloud Infrastructure Networking 服務會保留子網路 CIDR 中的前兩個 IP 位址及最後一個 IP 位址。子網路建立後即無法變更其大小，因此請務必先判斷所需的大小，再建立任何子網路。請考慮工作負載的未來成長，並保留足夠容量以滿足高可用性需求，例如需要設定待命運算執行處理。

規劃負載平衡器的高可用性

Oracle Cloud Infrastructure Load Balancing 提供自動流量分配，從一個進入點分配到可從 VCN 連線的多部伺服器。此服務會以您選擇的公用或專用 IP 位址和佈建的頻寬，提供負載平衡器。

負載平衡服務能夠改善資源使用量、促進擴展，以及協助確保高可用性。它支援根據虛擬主機名稱、路徑路由規則或兩者的組合，將內送要求遞送至各種後端集。

若要接受來自網際網路的流量，您必須建立公用負載平衡器。此服務會指定一個公用 IP 位址，作為內送流量的進入點。您可以透過任何 DNS 供應商，將公用 IP 位址與簡易的 DNS 名稱建立關聯。

公用負載平衡器位於範圍內。它在所有可用性網域原本就具有高可用性。在具有單一可用性網域的區域中，負載平衡器節點會分散到容錯域。為了讓系統達到高可用性，您可以將系統放在公用負載平衡器之後。例如，您可以將 Web 伺服器 VM 設為公用負載平衡器後端的後端伺服器集，如下圖所示：

public 圖解描述 -lb.png

注意：

此架構顯示多個可用性網域 (AD)。針對具有單一 AD 的區域，請調整架構以將資源分散到 AD 中的容錯域。

若要將負載平衡器與網際網路隔離並簡化安全狀態，您需要建立一個專用負載平衡器。負載平衡服務會指定一個專用 IP 位址，用來作為內送流量的進入點。

當您建立專用負載平衡器時，服務只需要一個子網路即可代管主要和待命負載平衡器。負載平衡器可以有區域性或 AD 特定，視其主機子網路的範圍而定

pvt-lb.png 圖解描述

注意：

此架構顯示多個可用性網域 (AD)。針對具有單一 AD 的區域，請調整架構以將資源分散到 AD 中的容錯域。

若要在各個可用性網域之間提供高可用性，您可以在 Oracle Cloud Infrastructure 上設定多個專用負載平衡器，並使用企業內部部署或專用 DNS 伺服器，為專用負載平衡器的 IP 位址設定循環 DNS 組態。下列是此程序的總覽：

1. 在每個可用性網域中部署兩個專用負載平衡器。
2. 在 VCN 中設定兩個自訂 DNS VM。
3. 修改 VCN 預設 DHCP 選項，以使用自訂 DNS 解析器，並將 DNS 伺服器設定為 DNS VM 的 IP 位址。
4. 為專用負載平衡器 FQDN 新增低 TTL 的循環 DNS 區域項目。
5. 新增兩筆包含兩個專用負載平衡器 IP 位址的記錄。
6. 存取專用負載平衡器時，請使用專用負載平衡器的 FQDN。

瞭解 FastConnect 和 VPN 高可用性設計

瞭解如何設計自己的網路以提供備援，以便滿足 Oracle Cloud Infrastructure IPSec VPN 和 FastConnect 服務層次協議的需求，確保具有高可用性、容錯網路連線，且這些連線對健全的系統相當重要。

組織的業務可用性和應用程式需求可協助判斷設計遠端連線時最適當的組態。不過，您應該考慮在所在位置與 Oracle 資料中心之間使用備援的硬體和網路服務提供者。最強大的選項是將多個 FastConnect 連線與來自不同網路服務提供者的迴路搭配使用。為了讓您的網路達到高可用性，建議您使用下列最佳做法：

• 排定由 Oracle、您的提供者或自己的組織定期維護。
• 即使您要規劃使用多個介面作為可用性，也請避免使用單一失敗點。高可用性連線需要備援的硬體，即使從相同的實體位置連線也一樣。
• 選取 FastConnect 提供者時，請考慮使用雙提供者方法來確保網路多樣性。
• 佈建足夠的網路容量，以確保某個網路連線失敗不會超過空閒和降低備援連線。

規劃 IPSec VPN 連線的高可用性

您可以選擇導入 IPSec VPN 連線，將資料中心連線至 Oracle Cloud Infrastructure。IPSec VPN 連線容易設定且符合成本效益。

若要啟用備援，每個 Oracle Cloud Infrastructure 動態路由閘道 (DRG) 各有多個 VPN 端點，因此每個 IPSec VPN 連線都是由多個使用靜態路由來遞送流量的備援 IPSec 通道所組成。為了確保高可用性，您必須在內部網路中設定 VPN 連線，以便在需要時使用任一路徑，如下圖所示：

vpn-redundancy.png 圖解描述

如果您的資料中心跨越多個地理位置，除了特定地理位置的 CIDR 之外，我們建議您使用廣泛的 CIDR (0.0.0.0/0) 作為靜態路由。這個廣大的 CIDR 可為您的網路設計提供高可用性和彈性。

例如，下圖以個別地理區域顯示兩個網路，每個網路均連線至 Oracle Cloud Infrastructure。每個區域都具有單一企業內部部署路由器，因此可以建立兩個 IPSec VPN 連線。請注意，每個 IPSec VPN 連線都有兩個靜態路由：一個用於特定地理區域的 CIDR，另一個則是廣義的 0.0.0.0/0 靜態路由。

redundancy-multiple-onprem-network.png 圖解描述

在一個案例中，前一個圖表中的 CPE 1 路由器會下降。如果子網路 1 和子網路 2 可以彼此通訊，則 VCN 仍然可以存取子網路 1 中的系統，因為會存取 CPE 2 的 0.0.0.0/0 靜態路由。下圖說明此方案：

vpn-redundancy-multiple-onprem-networks-failover.png 圖解描述

在另一個情況下，您可以使用子網路 3 新增地理區域，然後將其連線至子網路 2。您需要將路由規則新增至子網路 3 的 VCN 路由表，讓 VCN 能連線子網路 3 中的系統，而不需要建立新的 VPN 連線，因為 0.0.0.0/0 靜態路由會傳送至 CPE 2。下圖說明此方案：

vpn-redundancy-additional-onprem-network.png 圖解描述

規劃 FastConnect 迴路的高可用性

Oracle Cloud Infrastructure FastConnect 提供一個簡單的方式，在您的資料中心與 Oracle Cloud Infrastructure 之間建立專屬的專用連線。FastConnect 提供與網際網路型連線相比的頻寬選項，以及更可靠且一致的網路體驗。

使用 FastConnect 時，您可以選擇使用專用對等互連、公用對等互連或兩者。

• 使用專用對等互連將現有基礎架構延伸至 Oracle Cloud Infrastructure 中的虛擬雲端網路 (VCN) (例如，導入混合雲或直接移轉案例)。連線間的通訊會使用 IPv4 私密位址 (通常是 RFC 1918)。
• 使用公用對等互連即可存取 Oracle Cloud Infrastructure 中的公用服務，而無須使用網際網路 (例如，存取 Oracle Cloud Infrastructure 主控台和 API 或 VCN 中的公用負載平衡器)。連線間的通訊使用 IPv4 公用 IP 位址。如果沒有 FastConnect，公用 IP 位址的目的地流量就會透過網際網路遞送。有了 FastConnect，該流量會透過您的專用實體連線傳送。

您可以直接連線到提供者存在點 (POP) 中的 Oracle Cloud Infrastructure 路由器，或是使用 Oracle 的許多合作夥伴來連結世界各地的 POP 與您的 Oracle Cloud Infrastructure Networking 資源。Oracle 的功能可讓您建置容錯連線，包括每個區域的多個 POP 以及每個 POP 的多個 FastConnect 路由器。

為避免 FastConnect 出現單點失敗，請考慮下列冗餘選項：

• 每個元區內的多個 FastConnect 位置
• 每一個 FastConnect 位置中有多個路由器
• 每個 FastConnect 位置內有多個實體迴路

Oracle 會處理 FastConnect 位置中的路由器與實體迴路冗餘。在您的網路設計中搭配 FastConnect，建議您為高可用性需求考量下列備援組態：

• 可用性網域備援：連線至區域內任何可用性網域中的任何 FastConnect 位置和存取服務。此組態會透過每個區域的多個 POP，提供可用性網域復原能力。對等互連連線會在 POP 的路由器上終止。
• 資料中心位置備援：每個區域位於兩個不同的 FastConnect 位置。
• 路由器備援：每 FastConnect 位置連線至兩個不同的路由器。
• 迴路備援：在任何 FastConnect 位置都要有多個實體連線。每個迴路在聚總的介面 /LAG 中都可以有多個實體連結，這會增加另一個層次的備援。
• 夥伴 / 提供者備援：使用單一或多個夥伴連線至 FastConnect 位置。

根據企業內部部署資料中心的位置，您可以使用下列其中一種方式建立 FastConnect 連線：

• 共置 (連接埠速度為 10 Gbps)：與 Oracle 共置於 FastConnect 位置
• Oracle 提供者 (增量單位為 1 Gbps 和 10 Gbps 的連接埠速度)：連線至 Oracle 提供者時

在共置案例中，交叉連接是將您現有網路連線至 FastConnect 位置中 Oracle 的實體纜線。當您佈建 FastConnect 服務時，建議您至少設定兩個交叉連接。每個交叉連接都應該會連線至不同的路由器，因此一個路由器的失敗並不會影響您與 Oracle Cloud Infrastructure 資源的連線。完成第一個交叉連接之後，您可以要求在與第一個交叉連接不同的 Oracle FastConnect 路由器上啟動設定第二個交叉連接。您應該在備援連結上佈建新的虛擬迴路，以確保一個路由器故障時，能確保企業內部部署網路與 Oracle Cloud Infrastructure VCN 之間的連線。

針對 Oracle 提供者案例，建議您透過相同的提供者或其他提供者，設定具有兩個不同 FastConnect 位置的備援迴路。使用此組態時，您就可以在迴路和資料中心層次擁有備援。下圖說明與兩個虛擬迴路和兩個不同 FastConnect 位置的 FastConnect 連線：

fastconnect-multiple-fc-locations.png 圖解描述

Oracle 的 FastConnect 合作夥伴有 Oracle 網路的備援連結。身為夥伴的客戶，您應該有與夥伴網路的冗餘連結。這些連線應該在您網路及夥伴網路中的不同路由器上。當您佈建虛擬迴路時，請佈建多個提供者連結。

下圖說明這些備援連線：

fastconnect-dual-vc.png 圖解描述

您應考慮的其他組態策略如下：

• 在計畫性維護期間避免影響

  當您要對其中一個路由器執行維護時，可以在透過虛擬迴路得知的路由上設定邊界閘道協定 (BGP) 本機偏好設定，讓路由器上的本機偏好設定更高，以維持服務的狀態。BGP 本機偏好設定是用來修改內部部署網路中的輸出流量偏好設定。

  您可以使用 BGP AS 前置功能來修改 Oracle 到您網路的流量。在將執行維護的路由器上，預先附加您的本機 BGP AS 編號。這麼做會讓 Oracle Cloud 網路偏好使用 AS 路徑較短的 FastConnect 虛擬迴路。

  修改 BGP 本機偏好設定和 AS 前置作業之後，請監督路由器的虛擬迴路介面計數器，並確認內外封包計數器速率很低。連結上唯一剩餘的流量應該是 BGP 協定流量。

• 持續測試備援路徑

  在正常作業期間，建議您在企業內部部署網路與 Oracle Cloud 之間使用所有可用路徑。這麼做可確保如果發生失敗，冗餘路徑就已經運作。或者，使用作用中 / 備份設計代表您信任備份路徑在失敗期間將會運作。因此，您應該考慮使用相同的 BGP 本機偏好設定和 BGP AS 路徑長度。

同時使用 IPSec VPN 和 FastConnect

若要有額外的備援層級，您可以同時設定 IPSec VPN 和 FastConnect，將您的企業內部部署資料中心連線至 Oracle Cloud Infrastructure。

如果您將 IPSec VPN 連線和 FastConnect 虛擬迴路都設定為相同的 DRG，請記住 IPSec VPN 會使用靜態路由，但 FastConnect 會使用 BGP。Oracle Cloud Infrastructure 會透過 FastConnect 虛擬迴路 BGP 階段作業宣告每個 VCN 子網路的路由，如果靜態路由與企業內部部署網路宣告的路由重疊，就會覆寫預設路由選擇行為，以偏好使用透過靜態路由的 BGP 路由。下圖說明此配置：

說明 vpn_fastconnect.png