企業(yè)應(yīng)用部署到公有云之后，和之前部署在本地數(shù)據(jù)中心相比一個很大的區(qū)別就是網(wǎng)絡(luò)訪問方式的不同，下面對OCI的網(wǎng)絡(luò)訪問方式做一個說明和對比。

通過Internet連接到OCI

通過Internet連接到OCI是成本最低最簡單的方案，但它的網(wǎng)絡(luò)質(zhì)量（帶寬、時延、抖動、丟包率等）無法保證。首先是連接速度不穩(wěn)定和帶寬無法保證，數(shù)據(jù)的路由不是固定的，并且可能引入不同的延遲（抖動），這使得此連接選項不適用于某些應(yīng)用程序。第二個風(fēng)險是隱私和安全性。在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)并不安全，可以被惡意數(shù)據(jù)跟蹤，攔截，竊取甚至替換。

-

可以通過Internet Gateway連接到OCI，創(chuàng)建Internet Gateway后，必須在VCN的路由表中為Internet Gateway添加路由，架構(gòu)如下圖：

通過IPSec VPN連接到OCI

為克服通過Internet連接到OCI的安全問題，可以使用基于Internet的IPSec VPN來建立本地數(shù)據(jù)中心和OCI的連接。IPSec VPN是采用IPSec協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。IPSec VPN對數(shù)據(jù)進行加密，使連接更安全，并能抵抗竊聽和攻擊。但是，它無法解決互聯(lián)網(wǎng)上常見的性能問題（速度和延遲）。

VPN（Virtual Private Network）虛擬專用網(wǎng)，指在公共網(wǎng)絡(luò)（如Internet）上構(gòu)建臨時的、安全的邏輯網(wǎng)絡(luò)的技術(shù)。VPN利用了現(xiàn)有的公共網(wǎng)絡(luò)資源，從而節(jié)省了公司租用運營商跨省、跨海專線的費用。IPSec (IP Security)是為實現(xiàn)VPN功能而最普遍使用的協(xié)議。IPSec有兩種模式：隧道模式和傳輸模式。IPSec不是一個單獨的協(xié)議，它給出了應(yīng)用于IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。

OCI VPN服務(wù)使用基于標(biāo)準(zhǔn)的IPSec加密并提供多個冗余數(shù)據(jù)中心VPN隧道端點，可實現(xiàn)HA功能。OCI提供兩種類型的VPN：OCI管理的VPN服務(wù)（免費）和其他軟件VPN（運行在OCI計算上）。VPN服務(wù)創(chuàng)建流程如下：

7.  配置本地CPE路由器

通過FastConnect專線連接到OCI

通過FastConnect可以在客戶本地數(shù)據(jù)中心和OCI之間建立專用的，私有的安全網(wǎng)絡(luò)連接。以滿足性能及合規(guī)性/安全性要求。

FastConnect Locations

Oracle在全球各地都有許多部署OCI的位置，稱為區(qū)域Region。每個Region都有一個或兩個物理入口位置，稱為FastConnect DC(FastConnect 數(shù)據(jù)中心）。FastConnect DC是進入OCI Region的入口點?？蛻魧⒔⑴cFastConnect DC的連接。此外，每個FastConnect DC都有冗余硬件。

Virtual Circuits

FastConnect是指本地與OCI之間的物理連接。在FastConnect中，您將創(chuàng)建一個虛擬電路以連接到OCI中的服務(wù)。有兩種類型的虛擬電路（VC）：

專用對等（綠線）：當(dāng)您想將本地連接到OCI中的虛擬云網(wǎng)絡(luò)（VCN）時，創(chuàng)建專用對等虛擬電路。虛擬電路位于VCN內(nèi)部的本地CPE和動態(tài)路由網(wǎng)關(guān)（DRG）之間。私人對等網(wǎng)絡(luò)將客戶的網(wǎng)絡(luò)擴展到云。

公共對等（藍(lán)線）：當(dāng)您希望將本地連接到Oracle服務(wù)網(wǎng)絡(luò)（OSN）來訪問OCI的公共服務(wù)而不使用Internet時，創(chuàng)建一個公共對等虛擬電路。虛擬電路位于本地CPE和Oracle Edge設(shè)備之間。

OCI提供1G或10G端口兩種帶寬選項。FastConnect提供下面三種連接方式：

1.  通過FastConnect的合作伙伴連接到OCI

客戶本地數(shù)據(jù)中心通過OCI FastConnect的合作伙伴的網(wǎng)絡(luò)連接到OCI,這是最靈活和通常最便宜的方案，如下圖所示,使用此選項，F(xiàn)astConnect的合作伙伴網(wǎng)絡(luò)提供商或運營商已經(jīng)在FastConnect DC上與OCI建立了連接。提供商已在提供商的網(wǎng)絡(luò)和OCI之間建立了網(wǎng)絡(luò)到網(wǎng)絡(luò)的接口（NNI）。NNI是共享的連接，可由虛擬電路隔開的多個客戶使用。下圖以綠線表示該NNI。

如上圖所示，提供商已與OCI建立了物理連接。下一個問題是客戶本地數(shù)據(jù)中心是否已連接到上圖中藍(lán)線所代表的提供商網(wǎng)絡(luò)（WAN電路）。如果是，則可以通過提供商的門戶網(wǎng)站和Oracle控制臺非?？焖俚兀◣讉€小時）完成FastConnect的部署。交付時間取決于提供商，因為有些提供商已經(jīng)內(nèi)置了自動化功能，而有些提供商則是手動過程。

如果沒有客戶本地數(shù)據(jù)中心沒有與提供商網(wǎng)絡(luò)的連接，則客戶需要與提供商合作，以將電路從本地部署到提供商網(wǎng)絡(luò)。此過程可能需要30-90天。請注意，在此解決方案中，綠線是共享資源，而藍(lán)線是專用資源。

2.  客戶的數(shù)據(jù)中心與FastConnect數(shù)據(jù)中心剛好在一起

使用此選項時，客戶的數(shù)據(jù)中心與FastConnect數(shù)據(jù)中心位于同一物理數(shù)據(jù)中心。為了部署FastConnect，客戶要求從其機架到Oracle機架的交叉連接。Oracle在FastConnect DC上未提供或請求交叉連接。為了配置客戶的請求交叉連接，客戶需要來自O(shè)racle的授權(quán)書（LOA），客戶在OCI控制臺上配置FastConnect時，可以選擇Colocate方式，這樣可以獲得該授權(quán)書。

另一個場景是客戶的DC與Oracle FastConnect DC不在同一物理位置，但與同一城市的同一數(shù)據(jù)中心提供商位于不同的數(shù)據(jù)中心。在這種情況下，客戶仍然可以將FastConnect托管與Oracle配合使用，因為通常數(shù)據(jù)中心提供商在同一城市中的DC之間具有互連或暗光纖。

3.  通過第三方網(wǎng)絡(luò)運營商連接到OCI

客戶的數(shù)據(jù)中心和OCI之間通過網(wǎng)絡(luò)運營商提供的私有或者專用線路連接起來。如果客戶已經(jīng)和網(wǎng)絡(luò)運營商有聯(lián)系或者沒有OCI FastConnect的合作伙伴可以提供客戶數(shù)據(jù)中心到OCI之間的連接，可以采用這種方式。

此選項可能需要30-90天才能完成線路部署，這取決于本地數(shù)據(jù)中心的位置，使用了哪個網(wǎng)絡(luò)提供商，以及提供商的網(wǎng)絡(luò)部署情況。下圖以藍(lán)色表示電路，以綠色表示交叉連接。

通過SD-WAN連接到OCI

通過Internet方式，最簡單直接，但無法保證網(wǎng)絡(luò)質(zhì)量并有安全問題，通過在Internet上加VPN的IPSecVPN方式雖然安全，但還是無法保證網(wǎng)絡(luò)質(zhì)量，通過租用專線FastConnect方式，安全可靠，網(wǎng)絡(luò)質(zhì)量好，高帶寬低延遲，有SLA保證，但價格貴，開通時間也比較長。

那有沒有既穩(wěn)定可靠又價格便宜的解決方案呢，答案是SD-WAN。SD-WAN，即軟件定義廣域網(wǎng)（Software-Defined WAN）。它是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場景構(gòu)建而成的新一代廣域網(wǎng)，利用IPSec VPN等技術(shù)在普通上網(wǎng)鏈路上構(gòu)建一個Overlay專網(wǎng)，可以作為MPLS專線的替代或補充技術(shù)。

與傳統(tǒng)路由網(wǎng)絡(luò)“去中心化分布式工作模式”不同的是，SD-WAN有一個控制核心，其相當(dāng)于全網(wǎng)的大腦，掌握全網(wǎng)拓?fù)湫畔?，統(tǒng)一控制網(wǎng)絡(luò)節(jié)點數(shù)據(jù)轉(zhuǎn)發(fā)、QoS和安全策略。

相比較傳統(tǒng)組網(wǎng)而言，SD-WAN有以下優(yōu)點：

業(yè)務(wù)開通周期短，可以快速進行部署，還可以快速復(fù)制與擴展。