在DataLine云中,我们的客户不仅接收单独的虚拟机,而且接收具有组织复杂网络连接能力的虚拟数据中心。 客户项目通常需要它。 例如,在一种情况下,需要使虚拟机可以从Internet公开访问;在另一种情况下,则要使单个员工可以通过VPN访问一组虚拟机;在第三种情况下,则需要将云与我们站点或另一个数据中心中的物理设备结合起来。 今天,我们将讨论连接到云的各种方式以及何时使用哪种方式。
互联网在您家里如何工作? 互联网被馈送到边缘设备,即路由器,它是位于您的家庭网络后面的防火墙。 在云中大致相同。 在90%的情况下,虚拟
NSX Edge路由器在VMware DataLine云中用作此类边缘设备。 以下是利用它在DataLine云中组织资源连接的方法:
NAT 如果您希望虚拟机在Internet上可见,
我们会创建 NAT规则来发布端口,并在防火墙上
限制对它们的访问:所有人均使用https,管理员IP地址池则使用ssh / rdp。
虚拟专用网 如果您需要通过安全通道将DataLine云中的虚拟机与办公室或其他数据中心连接,则可以使用
站点到站点VPN来完成 。 如果特定用户需要从世界任何地方访问加密通道,那么我们将配置
用户到站点VPN 。
对接网络。 碰巧,客户端需要组织DataLine云中的虚拟机与我们站点上私有云中的物理设备或虚拟机之间的网络连接。 在这种情况下,我们将跨网和VLAN从网络设备转发到客户端,在DataLine云侧的NSX Edge和客户端的网络设备(或其他虚拟设备)之间配置
路由 。
如果客户端设备位于DataLine数据中心之外,则可以执行所有相同的操作。 我们拥有自己
的光纤网络 ,因此我们从最接近客户位置的角度完成了渠道的建设。
除了NSX Edge,您可以使用第三方解决方案-思科,FortiGate,虚拟Check Point,MicroTik等提供的ASAv或CSR。 DataLine云中托管的应用程序将通过
直接互联网连接 。 Internet通道直接连接到云中的客户组织。
客户在没有设备的情况下使用此方案将虚拟机直接连接到Internet的情况极为罕见。 在这种情况下,虚拟机将收到白色IP地址。
直接局域网(L2到云)。 当内部网络在客户端(物理设备或虚拟设备)上终止时,使用此方法。 例如,客户在我们网站的机架上安装了物理防火墙,并将我们的Internet通道连接到该防火墙。 此外,该方案类似于对接网络,仅此处虚拟机直接连接到内部网络,而不通过应用程序连接。
直接局域网(来自云的L2)。 此选项适用于以下情况:例如,客户端将数据库保存在物理服务器上,而应用程序在云中。 他们需要保留在同一网络上。 为此,将来自云的内部网络转发到客户端的物理设备。
在实际项目中,通常将所有这些选项结合使用。 这里有几个例子。
例子1客户的基础架构分布在:
- 办公室
- DataLine站点上的私有云和物理服务器-此细分市场托管生产型;
- 测试和开发人员在其中工作的公共DataLine云中的资源。
从客户办公室到数据线,我们的光学设备都已铺设好。
在公共云中的NSX Edge,私有网段中的虚拟Check Point和客户端站点通道上的Cisco物理路由器之间,配置了
对接网络 。 因此,办公室的客户可以访问其产品,测试和开发平台。
在私有云中,虚拟检查点使用
直接Internet方案连接。 在Check Point
上配置
NAT规则 ,并通过它们在Internet上发布虚拟机。 为了将虚拟机与物理服务器连接,需要组织
L2级别的联合。
公共云使用NSX Edge,它也配置了NAT规则。 为了进行测试和开发,还为开发人员配置了
用户到站点的VPN 。
例子2所有客户端基础结构都位于公共云中。 外部防火墙通过
Direct-Internet连接 。 在防火墙本身上,
NAT规则是在Web应用程序防火墙的方向上
设置的。 从中,请求被发送到平衡器,平衡器将请求分散到Web服务器上。
站点到站点VPN配置为从办公室访问基础结构。
