2019年,多云连接和企业如何通过一种策略管理多云(私有云和公共云)之间的网络连接再次引起讨论,但没有找到明确的答案,Avidthink预计事情可能会变得更加复杂。
云连接分为多种类型,包括私人快递渠道,如AWS Direct connect或Azure ExpressRoute、远程网站连接到公共云和跨容器工作负载的网络。
云连接有很多种。本文的变化我不会讨论,但它们包括私人快递渠道,如AWS Direct connect或Azure ExpressRoute,远程站点连接到公共云和跨容器工作负载网络。我现在将与SD-WAN市场重叠的远程站点连接到虚拟私有云(VPC)连接跨云VPC。
那么,为什么跨云或多云非常重要呢?首先,企业现在更精明地使用公共云和私有云。过去,他们认为有许多可用区域(AZ)足够强大的首席信息官现在要求关键应用程序必须能够在不同的云之间轻松移植,并在某些情况下可以同时在不同的云上运行。此外,开发团队现在正在建立一些跨云应用程序,它们使用不同云中最好的机器服务。
如果您的VPC位于提供商(如AWS)中,则有多个选项,您可以轻松地在VPC之间等待。例如,对等VPC在AWS上不具有传输性,这意味着如果VPC A与VPC B对等,VPC A还与VPC有关 C对等并不意味着VPC B和VPC C可以通信。当你必须在不同的位置连接不同的VPC时,事情变得更具挑战性,而当你需要引入私有云或远程办公室时,事情变得更加复杂。
一、路由器与VPN的基本连接(Plus防火墙)
为VPC提供外部连接有一些简单的方法。所有主要云都有软件 ** ,您可以将其连接到具有外部IP地址的VPC中 ** 网络地址转换通常可以实现(NAT),VPC中的私人地址空间可以隐藏在外部世界,甚至VPC子网络中的服务器可以选择性地使用相应的外部IP向外部世界开放,从外部网站到VPC提供服务连接。
带NAT的路由器可用于VPC到VPC的连接,但在大多数情况下,企业将转向其可靠的虚拟专用网络(VPN)为了在不同VPC的服务器与服务器连接之间提供更大的灵活性和控制。好的VPN和IPsec可以连接到同一云和跨云站点。在这种情况下,大多数企业转向第三方防火墙/ VPN ** 或开源VPN /防火墙/路由软件将这些云绑在一起,加载到A ** zon Web Services(AWS)、Microsoft Azure或Google Cloud Platform(GCP)你最喜欢的任何基于商业软件的防火墙都可以解决问题。或者,您总是可以使用开源Linux或BSD版本,选择防火墙/ VPN解决方案的优点是增加了安全规则。
二、SD-WAN想要一点机会
事实证明,带VPN的软件防火墙并非连接VPC的唯一选择。SD-WAN也在努力赢得从远程网站到总部、私有云和公共云的胜利,SD-WAN现在正在进入VPC到VPC连接的使用案例。
SD-WAN供应商声称他们的方法可能对企业更好,因为他们提供一致的网络策略,总部,到所有云:私有和公共云,他们的中央云控制确保单个玻璃窗格,可以管理和监控整个企业网络,更不用说压缩和WAN优化和QOS功能,这些功能可以提高VPC到VPC或远程站点到VPC连接的应用程序性能。
当然,这些SD-WAN解决方案已经提供加密,因此可以替代防火墙/ VPN。事实上,许多SD-WAN都有基于角色的复杂用户、设备和策略。这些策略规定了每个网站允许的应用流量类型。
三、过境VPC作为新战场的证据
作为从路由器到防火墙,以及SD-WAN边缘和云连接发展的证据,让我们快速了解中转VPC。传输VPC的概念也适用于Azure和GCP。本质上,在部署过程中,传输VPC使用特殊的VPC作为“传输VPC”,包括软件路由器(如Cisco) CSR1000v)或来自您最喜欢的供应商的防火墙/ VPN ,VPC成为中央辐射系统结构的中心,其它辐射VPC通过其连接,因为它控制访问内部VPC、外部VPC或其他云网站。
VPN不是一个完整的网格,而是一组N平方连接的复杂性,减少了更简单的N连接。缺点是所有流量都必须流经集线器,这可能是一个冗余的单点故障,需要根据需要扩展功能来匹配性能要求。
四、选择适合你的网络,集装箱网络怎么样?
我们只讨论了VPC到VPC和远程网站到VPC之间的连接,我们甚至没有对容器Pod进行深入的研究-to-pod或VM-to-VM连接。在这方面,除了商业选择外,还有一套完整的考虑因素,比如calico,C ** ,Cilium,Flannel,Kube-Router,Ro ** na和Weavenet等开源选项。
因此,就像传统网络一样,云网络是复杂的。难怪应用程序开发人员和Devops渴望拥有完整的三级公共搜索和可访问性,以及服务 ** 如果我是Devops工程师,我也会这样做,以控制连接、策略、安全性和负载分配。