企业如何整合WAN和因特网云服务,或者使用公共因特网的云计算服务?大多数企业通过在因特网上的SSL VPN来支持远程用户。还有一些用因特网VPN把分支机构连接到数据中心,有效地让企业WAN成为因特网VPN。
对于那些已经使用因特网作为WAN的企业,通过因特网开启云服务可能是最佳的选择。如果要达到更严格的服务等级协议(SLA),另一个选择是让云服务商直接进入你的私有WAN。选择私有还是公有因特网云服务是一个经典的成本/收益权衡问题,需要考虑安全,可用性和一些特殊的整合问题和选择。
如果你的企业使用因特网VPN访问数据中心,那么添加因特网云服务其实就是让云可以同样访问数据中心。实际上只有所有电脑和设备上的VPN客户端将用户从因特网上断开,云才能成为VPN的一部分。
大多数基础设施即服务(IaaS)或平台即服务(PaaS)的云都支持SSL VPN,因而主要的整合问题是定位云应用程序。如果云和数据中心都支持负载均衡或是备份检测中的应用程序,那么你要么使用directory/redirection功能(DNS,UDDI)来切换云和数据中心的用户,要么让因特网云服务作为在数据中心负载均衡交换机中的一个选择服务。在自己的数据中心使用备份和负载均衡技术是最好的。
如果你的员工在公司的广域网里,那么要访问因特网通常要经过网关。这意味着通过因特网访问云服务可以使用网关来实现,你可以相信自己的安全和防火墙措施能够保护WAN端。然而,因特网云服务提供商那边也同样需要保护。再次重申,IaaS 或PaaS服务通常可以在机器镜像上安装安全服务/防火墙,而服务商也会提供一些安全措施。除了PaaS服务商可能会提供所有领域的安全服务甚至包括病毒扫描,因特网云服务提供商的防火墙或加密VPN服务也会处理安全问题。如果你想要更多,那么最好由你自己添加。
运行在云中的应用程序可能很多或者越来越多的同样需要访问存储在企业数据中心的数据。利用工作流或服务总线技术的进程间连接,它联合任意形式的存储网络创建一个后台连接请求,可以绕过正常应用程序登陆时的安全机制。这样一来,就更有必要保护这些路径。SSL VPN很难像站到站的IPsec VPN一样做到这些。
也许你早已在分支机构使用IPsec VPN,用类似的方法可以连上云服务商。好的IPsec VPN设备不但可以在站点间建立连接,还能提供防火墙保护。然而,他们要在各站点安装设备,因特网云服务商要配合它们。你得查一下VPN设备提供商,看看他们是否有服务器端软件,或者使用软件解决方案。
下一个难题是可用性和性能,而且有必要知道这些不完全是因特网访问问题;最近出现的公有云服务中断说明云设施本身会发生故障。但是,企业指出公有云应用程序最大问题来源是因特网访问。他们同样指出平时更常见的是性能严重下降,而不是完全连接中断,如果性能差到一定程度,它对生产效率的严重影响和完全中断没什么两样。请不要忘了因特网服务是标准的尽力服务模式,这会影响到一些应用程序,特别是那些过去常常为WAN服务签订SLA的企业。达成因特网SLA很难,而且如果云应用程序流量必须经过服务商边界,那几乎就没任何意义。
网关地址也同样会影响性能。大多数企业希望连到数据中心的Internet VPN网关,这样的地址可能有多个,你还需要考虑其他连到WAN的路径。优化的第一步是检测是否有几个站点的因特网云服务商使用相同的ISP。对于几乎所有情况,这会给你最佳的因特网性能。如果不共享提供商,你可以用基本工具ping或traceroute在各个网关站点来测试ISP因特网路径到云的质量。寻找最低延迟和最少跳点的路径,这样性能会最佳并且最可靠。同样要考虑在站点和企业WAN间提供额外带宽需要的成本;因为云接入很可能会增加到网关的流量。
记住不论你做什么,因特网连到云提供商绝不会比广域网更安全,更有效,性能更可靠。如果因特网级别的安全,性能,可用性无法满足你的要求,一个单独的WAN和云服务可以帮你延伸私有WAN到云上。注意别花太多精力管理最佳交付通信和云服务。大多数情况下,应用程序的可用性和基本问题隔离工具都可以解决问题。