企業(yè)應用部署到公有云之后，和之前部署在本地數據中心相比一個很大的區(qū)別就是網絡訪問方式的不同，下面對OCI的網絡訪問方式做一個說明和對比。

通過Internet連接到OCI

通過Internet連接到OCI是成本最低最簡單的方案，但它的網絡質量（帶寬、時延、抖動、丟包率等）無法保證。首先是連接速度不穩(wěn)定和帶寬無法保證，數據的路由不是固定的，并且可能引入不同的延遲（抖動），這使得此連接選項不適用于某些應用程序。第二個風險是隱私和安全性。在互聯網上傳輸數據并不安全，可以被惡意數據跟蹤，攔截，竊取甚至替換。

-

可以通過Internet Gateway連接到OCI，創(chuàng)建Internet Gateway后，必須在VCN的路由表中為Internet Gateway添加路由，架構如下圖：

通過IPSec VPN連接到OCI

為克服通過Internet連接到OCI的安全問題，可以使用基于Internet的IPSec VPN來建立本地數據中心和OCI的連接。IPSec VPN是采用IPSec協議來實現遠程接入的一種VPN技術。IPSec VPN對數據進行加密，使連接更安全，并能抵抗竊聽和攻擊。但是，它無法解決互聯網上常見的性能問題（速度和延遲）。

VPN（Virtual Private Network）虛擬專用網，指在公共網絡（如Internet）上構建臨時的、安全的邏輯網絡的技術。VPN利用了現有的公共網絡資源，從而節(jié)省了公司租用運營商跨省、跨海專線的費用。IPSec (IP Security)是為實現VPN功能而最普遍使用的協議。IPSec有兩種模式：隧道模式和傳輸模式。IPSec不是一個單獨的協議，它給出了應用于IP 層上網絡數據安全的一整套體系結構。

OCI VPN服務使用基于標準的IPSec加密并提供多個冗余數據中心VPN隧道端點，可實現HA功能。OCI提供兩種類型的VPN：OCI管理的VPN服務（免費）和其他軟件VPN（運行在OCI計算上）。VPN服務創(chuàng)建流程如下：

7.  配置本地CPE路由器

通過FastConnect專線連接到OCI

通過FastConnect可以在客戶本地數據中心和OCI之間建立專用的，私有的安全網絡連接。以滿足性能及合規(guī)性/安全性要求。

FastConnect Locations

Oracle在全球各地都有許多部署OCI的位置，稱為區(qū)域Region。每個Region都有一個或兩個物理入口位置，稱為FastConnect DC(FastConnect 數據中心）。FastConnect DC是進入OCI Region的入口點。客戶將建立與FastConnect DC的連接。此外，每個FastConnect DC都有冗余硬件。

Virtual Circuits

FastConnect是指本地與OCI之間的物理連接。在FastConnect中，您將創(chuàng)建一個虛擬電路以連接到OCI中的服務。有兩種類型的虛擬電路（VC）：

專用對等（綠線）：當您想將本地連接到OCI中的虛擬云網絡（VCN）時，創(chuàng)建專用對等虛擬電路。虛擬電路位于VCN內部的本地CPE和動態(tài)路由網關（DRG）之間。私人對等網絡將客戶的網絡擴展到云。

公共對等（藍線）：當您希望將本地連接到Oracle服務網絡（OSN）來訪問OCI的公共服務而不使用Internet時，創(chuàng)建一個公共對等虛擬電路。虛擬電路位于本地CPE和Oracle Edge設備之間。

OCI提供1G或10G端口兩種帶寬選項。FastConnect提供下面三種連接方式：

1.  通過FastConnect的合作伙伴連接到OCI

客戶本地數據中心通過OCI FastConnect的合作伙伴的網絡連接到OCI,這是最靈活和通常最便宜的方案，如下圖所示,使用此選項，FastConnect的合作伙伴網絡提供商或運營商已經在FastConnect DC上與OCI建立了連接。提供商已在提供商的網絡和OCI之間建立了網絡到網絡的接口（NNI）。NNI是共享的連接，可由虛擬電路隔開的多個客戶使用。下圖以綠線表示該NNI。

如上圖所示，提供商已與OCI建立了物理連接。下一個問題是客戶本地數據中心是否已連接到上圖中藍線所代表的提供商網絡（WAN電路）。如果是，則可以通過提供商的門戶網站和Oracle控制臺非?？焖俚兀◣讉€小時）完成FastConnect的部署。交付時間取決于提供商，因為有些提供商已經內置了自動化功能，而有些提供商則是手動過程。

如果沒有客戶本地數據中心沒有與提供商網絡的連接，則客戶需要與提供商合作，以將電路從本地部署到提供商網絡。此過程可能需要30-90天。請注意，在此解決方案中，綠線是共享資源，而藍線是專用資源。

2.  客戶的數據中心與FastConnect數據中心剛好在一起

使用此選項時，客戶的數據中心與FastConnect數據中心位于同一物理數據中心。為了部署FastConnect，客戶要求從其機架到Oracle機架的交叉連接。Oracle在FastConnect DC上未提供或請求交叉連接。為了配置客戶的請求交叉連接，客戶需要來自Oracle的授權書（LOA），客戶在OCI控制臺上配置FastConnect時，可以選擇Colocate方式，這樣可以獲得該授權書。

另一個場景是客戶的DC與Oracle FastConnect DC不在同一物理位置，但與同一城市的同一數據中心提供商位于不同的數據中心。在這種情況下，客戶仍然可以將FastConnect托管與Oracle配合使用，因為通常數據中心提供商在同一城市中的DC之間具有互連或暗光纖。

3.  通過第三方網絡運營商連接到OCI

客戶的數據中心和OCI之間通過網絡運營商提供的私有或者專用線路連接起來。如果客戶已經和網絡運營商有聯系或者沒有OCI FastConnect的合作伙伴可以提供客戶數據中心到OCI之間的連接，可以采用這種方式。

此選項可能需要30-90天才能完成線路部署，這取決于本地數據中心的位置，使用了哪個網絡提供商，以及提供商的網絡部署情況。下圖以藍色表示電路，以綠色表示交叉連接。

通過SD-WAN連接到OCI

通過Internet方式，最簡單直接，但無法保證網絡質量并有安全問題，通過在Internet上加VPN的IPSecVPN方式雖然安全，但還是無法保證網絡質量，通過租用專線FastConnect方式，安全可靠，網絡質量好，高帶寬低延遲，有SLA保證，但價格貴，開通時間也比較長。

那有沒有既穩(wěn)定可靠又價格便宜的解決方案呢，答案是SD-WAN。SD-WAN，即軟件定義廣域網（Software-Defined WAN）。它是將SDN技術應用到廣域網場景構建而成的新一代廣域網，利用IPSec VPN等技術在普通上網鏈路上構建一個Overlay專網，可以作為MPLS專線的替代或補充技術。

與傳統(tǒng)路由網絡“去中心化分布式工作模式”不同的是，SD-WAN有一個控制核心，其相當于全網的大腦，掌握全網拓撲信息，統(tǒng)一控制網絡節(jié)點數據轉發(fā)、QoS和安全策略。

相比較傳統(tǒng)組網而言，SD-WAN有以下優(yōu)點：

業(yè)務開通周期短，可以快速進行部署，還可以快速復制與擴展。