我们系列的第2部分“这是云迁移后网络的需求” . 第1部分研究了如何重新设计LAN.

当公司的应用程序基础架构移至云时,必须建立可靠的Internet连接。当内部使用应用程序时,Internet服务上的困扰可能会带来不便,现在却使业务停顿了。

不幸的是,Internet链接恰好是IT基础架构中最不可靠的元素。因此,您需要执行以下操作来确保最大限度地减少云托管客户端的停机。

实施冗余链接以提高可靠性

我总是建议为具有关键云应用程序基础架构的组织实施双冗余Internet链接。

典型的企业Internet链接具有99.9%的承诺服务可用性。这意味着允许(并且预期)他们的时间减少0.1%。在将其相乘之前,这听起来并不多:0.1%每年超过8个小时,这可能是一整天,也可能是几天的大部分时间。

这就是预期和预期的结果。如果发生光纤切断或起火,或者(如果可能)某个地方的某个技术人员犯了错误怎么办?您的客户可能会停用更长的时间。

冗余Internet连接白管

照片: 杰科姆 在Flickr上

如果您的客户每年因丢失服务而损失一到两天的业务成本大于冗余链接的成本,那么实施备用链接显然具有良好的商业意义。而且,如果您与客户签订了包含罚款的服务级别协议,则ISP的每次中断都将看起来像您的中断。这通常会导致一些指责性的练习,但不利于您与客户的业务关系。

可以为边缘防火墙配置两个连接到两个不同ISP的外部接口。有两种方法可以做到这一点。

选项A:闲置的备用链接

第一种方法是简单地设置一个备用链路,该链路处于空闲状态,除非主链路不可用。在很多情况下,可以以较低的成本获得这样的链接,因为提供商知道大多数时间不会使用它。

然后,您将边缘防火墙配置为使用主要链接(如果可用),并在第一个链接出现故障时自动切换到另一个链接。许多商业防火墙可以很容易地做到这一点。

如果您实施了这样的设置,则定期测试备用链接很重要。如果您不定期使用它,则备份链接可能会在不通知您的情况下掉线,然后在您需要时不可用。

或者,可以将边缘防火墙配置为使用ISP提供的地址在两个接口上进行NAT。在这种情况下,应将其配置为在这两个接口之间拆分到Internet的路由。这样,虽然负载分担永远不会非常均匀,但两个链接都可以使用。

选项B:ISP和防火墙之间的路由器

处理备用Internet链接的另一种方法要复杂得多,但是它允许您托管服务,例如 远程VPN访问 以及基础架构中的Web服务器和电子邮件网关。请注意,如果客户端的云实施包括所有电子邮件和办公室自动化服务(包括文件存储)的外包,那么您的客户端可能永远不需要对其基础结构的远程访问,在这种情况下,此选项是不必要的。

这种方法涉及在ISP和客户端的边缘防火墙之间放置一个路由器(最好是一对路由器)。您应该至少有两个ISP才能正确执行此操作。

面向Internet的路由器 交换BGP ISP的路由器。 BGP允许您通过任一链接向Internet提供相同的IP地址。 (仅当您具有必须从Internet入站访问的IP地址服务时,提供相同的IP地址才重要。)BGP配置还允许您在两个链接之间动态地负载分担。

关于Internet可靠性的最后一点:我始终建议部署双冗余边缘防火墙。防火墙本身可能比Internet电路更不可能发生故障,但是防火墙可以并且确实会发生故障,并且它们是云基础架构中另一个绝对关键的部分。

我将主防火墙的“内部”和“外部”接口连接到与辅助防火墙不同的交换机。建立一个“阶梯”连接:1号BGP路由器连接到1号外部交换机,该路由器连接到1号防火墙的外部接口。 1号防火墙的内部接口连接到1号内部交换机。

然后,为BGP路由器2,外部交换机2和防火墙2分别建立一条完全独立的连接线,并且每个级别的交换机相互交叉连接。这样,如果任何一台设备发生故障,所有流量都可以透明地迁移到辅助路径,而不会中断。

仔细监控互联网容量

除了Internet链接的可靠性之外,您还需要担心和监视其容量。过度使用Internet链接的第一个症状是随机丢弃的数据包。在网络级别,这会导致工作站和服务器都退避并更慢地发送数据。用户体验立即受损。

砖墙上的管道互联网连接

照片: 鲍勃·杜兰 在Flickr上

不幸的是,仅查看5分钟平均数据吞吐率之类的指标并不能告诉您正在丢弃数据包。一个100Mbps的链路每秒可以以1500个字节的最大数据包大小传输8000个数据包。每毫秒八个数据包。

如果它尝试发送的数据包超过此数量,则某些数据包将被缓冲。通常,缓冲区足够大以容纳几个数据包。但重要的是要了解这一切都在毫秒内发生。因此,如果流量激增太短而无法在网络利用率图表上看到,则会导致实际的应用程序性能问题。

更糟糕的是,从典型的基于Web的应用程序传输到云的数据量远小于云向下发送的数据量。这意味着最有可能丢弃数据包的位置是客户端的ISP。因此,即使数据包大量丢弃,您也可能不会在边缘防火墙的数据包计数器中看到任何内容。

解决此问题的简单方法是确保Internet链接的入站侧具有相当大的剩余容量。但是,通过查看性能问题发生的时间并查看它们是否与入站流量负载高的时间相关联,可以推断出性能问题可能是由Internet链路拥塞引起的。但是请始终记住,即使平均数量远低于100%的链路利用率,也可能存在实际的拥塞问题。

在本系列的最后一篇文章中,我将介绍在迁移到云的客户端中管理用户访问和身份验证的最佳做法。