如何整合WAN和因特網(wǎng)云服務(wù)?
企業(yè)如何整合WAN和因特網(wǎng)云服務(wù),或者使用公共因特網(wǎng)的云計(jì)算服務(wù)?大多數(shù)企業(yè)通過(guò)在因特網(wǎng)上的SSL VPN來(lái)支持遠(yuǎn)程用戶。還有一些用因特網(wǎng)VPN把分支機(jī)構(gòu)連接到數(shù)據(jù)中心,有效地讓企業(yè)WAN成為因特網(wǎng)VPN。
對(duì)于那些已經(jīng)使用因特網(wǎng)作為WAN的企業(yè),通過(guò)因特網(wǎng)開啟云服務(wù)可能是最佳的選擇。如果要達(dá)到更嚴(yán)格的服務(wù)等級(jí)協(xié)議(SLA),另一個(gè)選擇是讓云服務(wù)商直接進(jìn)入你的私有WAN。選擇私有還是公有因特網(wǎng)云服務(wù)是一個(gè)經(jīng)典的成本/收益權(quán)衡問(wèn)題,需要考慮安全,可用性和一些特殊的整合問(wèn)題和選擇。
如果你的企業(yè)使用因特網(wǎng)VPN訪問(wèn)數(shù)據(jù)中心,那么添加因特網(wǎng)云服務(wù)其實(shí)就是讓云可以同樣訪問(wèn)數(shù)據(jù)中心。實(shí)際上只有所有電腦和設(shè)備上的VPN客戶端將用戶從因特網(wǎng)上斷開,云才能成為VPN的一部分。
大多數(shù)基礎(chǔ)設(shè)施即服務(wù)(IaaS)或平臺(tái)即服務(wù)(PaaS)的云都支持SSL VPN,因而主要的整合問(wèn)題是定位云應(yīng)用程序。如果云和數(shù)據(jù)中心都支持負(fù)載均衡或是備份檢測(cè)中的應(yīng)用程序,那么你要么使用directory/redirection功能(DNS,UDDI)來(lái)切換云和數(shù)據(jù)中心的用戶,要么讓因特網(wǎng)云服務(wù)作為在數(shù)據(jù)中心負(fù)載均衡交換機(jī)中的一個(gè)選擇服務(wù)。在自己的數(shù)據(jù)中心使用備份和負(fù)載均衡技術(shù)是最好的。
如果你的員工在公司的廣域網(wǎng)里,那么要訪問(wèn)因特網(wǎng)通常要經(jīng)過(guò)網(wǎng)關(guān)。這意味著通過(guò)因特網(wǎng)訪問(wèn)云服務(wù)可以使用網(wǎng)關(guān)來(lái)實(shí)現(xiàn),你可以相信自己的安全和防火墻措施能夠保護(hù)WAN端。然而,因特網(wǎng)云服務(wù)提供商那邊也同樣需要保護(hù)。再次重申,IaaS 或PaaS服務(wù)通常可以在機(jī)器鏡像上安裝安全服務(wù)/防火墻,而服務(wù)商也會(huì)提供一些安全措施。除了PaaS服務(wù)商可能會(huì)提供所有領(lǐng)域的安全服務(wù)甚至包括病毒掃描,因特網(wǎng)云服務(wù)提供商的防火墻或加密VPN服務(wù)也會(huì)處理安全問(wèn)題。如果你想要更多,那么最好由你自己添加。
運(yùn)行在云中的應(yīng)用程序可能很多或者越來(lái)越多的同樣需要訪問(wèn)存儲(chǔ)在企業(yè)數(shù)據(jù)中心的數(shù)據(jù)。利用工作流或服務(wù)總線技術(shù)的進(jìn)程間連接,它聯(lián)合任意形式的存儲(chǔ)網(wǎng)絡(luò)創(chuàng)建一個(gè)后臺(tái)連接請(qǐng)求,可以繞過(guò)正常應(yīng)用程序登陸時(shí)的安全機(jī)制。這樣一來(lái),就更有必要保護(hù)這些路徑。SSL VPN很難像站到站的IPsec VPN一樣做到這些。
也許你早已在分支機(jī)構(gòu)使用IPsec VPN,用類似的方法可以連上云服務(wù)商。好的IPsec VPN設(shè)備不但可以在站點(diǎn)間建立連接,還能提供防火墻保護(hù)。然而,他們要在各站點(diǎn)安裝設(shè)備,因特網(wǎng)云服務(wù)商要配合它們。你得查一下VPN設(shè)備提供商,看看他們是否有服務(wù)器端軟件,或者使用軟件解決方案。
下一個(gè)難題是可用性和性能,而且有必要知道這些不完全是因特網(wǎng)訪問(wèn)問(wèn)題;最近出現(xiàn)的公有云服務(wù)中斷說(shuō)明云設(shè)施本身會(huì)發(fā)生故障。但是,企業(yè)指出公有云應(yīng)用程序最大問(wèn)題來(lái)源是因特網(wǎng)訪問(wèn)。他們同樣指出平時(shí)更常見的是性能嚴(yán)重下降,而不是完全連接中斷,如果性能差到一定程度,它對(duì)生產(chǎn)效率的嚴(yán)重影響和完全中斷沒(méi)什么兩樣。請(qǐng)不要忘了因特網(wǎng)服務(wù)是標(biāo)準(zhǔn)的盡力服務(wù)模式,這會(huì)影響到一些應(yīng)用程序,特別是那些過(guò)去常常為WAN服務(wù)簽訂SLA的企業(yè)。達(dá)成因特網(wǎng)SLA很難,而且如果云應(yīng)用程序流量必須經(jīng)過(guò)服務(wù)商邊界,那幾乎就沒(méi)任何意義。
網(wǎng)關(guān)地址也同樣會(huì)影響性能。大多數(shù)企業(yè)希望連到數(shù)據(jù)中心的Internet VPN網(wǎng)關(guān),這樣的地址可能有多個(gè),你還需要考慮其他連到WAN的路徑。優(yōu)化的第一步是檢測(cè)是否有幾個(gè)站點(diǎn)的因特網(wǎng)云服務(wù)商使用相同的ISP。對(duì)于幾乎所有情況,這會(huì)給你最佳的因特網(wǎng)性能。如果不共享提供商,你可以用基本工具ping或traceroute在各個(gè)網(wǎng)關(guān)站點(diǎn)來(lái)測(cè)試ISP因特網(wǎng)路徑到云的質(zhì)量。尋找最低延遲和最少跳點(diǎn)的路徑,這樣性能會(huì)最佳并且最可靠。同樣要考慮在站點(diǎn)和企業(yè)WAN間提供額外帶寬需要的成本;因?yàn)樵平尤牒芸赡軙?huì)增加到網(wǎng)關(guān)的流量。
記住不論你做什么,因特網(wǎng)連到云提供商絕不會(huì)比廣域網(wǎng)更安全,更有效,性能更可靠。如果因特網(wǎng)級(jí)別的安全,性能,可用性無(wú)法滿足你的要求,一個(gè)單獨(dú)的WAN和云服務(wù)可以幫你延伸私有WAN到云上。注意別花太多精力管理最佳交付通信和云服務(wù)。大多數(shù)情況下,應(yīng)用程序的可用性和基本問(wèn)題隔離工具都可以解決問(wèn)題。
【編輯推薦】
