云接入:替代互联网连接的方法
大多数企业都会使用互联网来接入云,但是用互联网接入云只是“尽力而为”的方法,并不适用于所有应用程序。有一些公司发现,通过基本SSL或IPsec对互联网实现的云连接并不够安全,因为终端仍然能够通过互联网访问。
对于那些希望使用互联网实现公共云接入的企业而言,关键问题是云提供商是否会支持您选择的接入方式,这在一定程度上取决于您所选择的接入方式。非互联网的云接入方式一般有三种,但是没有一种是所有云提供商都支持的。这三种方法各有优点,您必须权衡每种连接对云服务的影响。
以下是三种非互联网的云接入方式:
租赁线路和虚拟专线服务(帧中继和ATM)。企业反映,有一些云提供商同意有偿为大客户支持这些技术。后面会讲到,这些服务会给云和网络之间的关系带来更多复杂性,但是它们的服务水平协议(SLA)最严格而且性能水平要求也最高。
基于MPLC和BGP的“预分配”虚拟私有网络(VPN),通常称为“3层协议VPN”。这些VPN与互联网独立;它们不会出现互联网的性能问题,而且能够达到特定要求的SLA。支持使用3层协议VPN来接入云服务的基础架构即服务(IaaS)云提供商有很多,这种方式的优点是云站点与客户VPN位置相邻。而支持这种连接方式的PaaS或SaaS则相对较少一些。
虚拟LAN(VLAN)服务。这些是2层协议或类太网服务(基于IEEE以太网标准或MPLS以太网),其中包括虚拟私有LAN(VPLS)服务和重叠传输虚拟化(OTV)。企业反映,支持这种WAN服务的云提供商很少见。
公共云服务很少使用一些特殊的网络连接,因为需要连接云服务的设备通常属于某个企业客户。这意味着,云提供商会收取云服务费用,以及云数据中心设备所分配的专用空间使用费用。通常,连接这些云服务的设施需要在每一个运行企业云应用程序的位置进行重复部署——这会进一步增加成本。当云提供商同意添加特殊网络连接时,一定要明确这些特殊连接对用户应用程序获取资源的影响,以及资源分配方式的变化对性能的影响。所有这些都会增加云提供商与云用户之间的复杂性。因为这会增加云资源分配 、支持和问题隔离的难度。有时候,云提供商在关机维护和重新配置时,就会造成一些问题,因为云提供商会忽视这些情况下用户的特殊需求。
另一个需要考虑的因素是服务所提供的云接入连接的特性,例如网络连接的“层次”和“级别”。互联网为用户和应用程序提供3层协议寻址,而3层协议VPN也支持相同的功能。其他特殊的服务连接方式运行在更低的网络层上(租赁线路和虚拟线路位于1层和2层VLAN),这意味着3层连接架构必须建立在更底层的服务之上,这通常是通过路由器实现的。云提供商增加私有路由网络对于企业和云提供商都具有非常重要的运营和安全意义。这可能会同时增加您和云提供商的成本;也可能会对问题隔离及其他情况带来持续的运营问题。
连接混合云环境的云接入问题
混合云应用程序还有其他一些问题需要考虑。有两种基本的方法可以创建混合云——连接应用程序的前端或后端。前端云会将公共云和数据中心或私有云连接到同一个网络——互联网或VPN,而企业用户可以在应用程序中选择一种或多种连接方式,包括直接连接或通过目录服务连接,如DNS或UDDI。在后端混合云中,企业数据中心连接云数据中心。这通常是由端到端租赁线路、光纤干线或VLAN服务实现的。除了“特别定购”,很少云提供商提供这种后端整合,它通常会增加高端数据中心备份或调度应用工作负载溢出。
如果计划在云连接中使用2层或VLAN服务,一定要保证云服务支持您运营环境的LAN标准,特别是后端数据中心云连接。有许多新的LAN标准能够解决云中以太网的可扩展性和性能问题,其中包括IEEE 802.1Qbg(边缘虚拟化桥接)、IEEE 801.QBR(其前身为IEEE 802.Qbh)和桥接端口扩展。对于MPLS 2层网络,有虚拟以太网端口聚合(VEPA)和多链路透明互联(TRILL)标准。
如果LAN或云提供商需要此类标准的任意一种,那么您需要同时在自己的网络和云中支持这些标准。有一些用户可能需要IEEE 801.Qbb优先级流量控制实现VLAN的服务质量(QoS)管理,而提供商也可能会支持。云不仅必须在云连接WAN中支持这些标准,而且将来出现问题时也要保证支持。