大多數企業通過在因特網上的SSL VPN來支持遠程用戶。還有一些用因特網VPN把分支機構連接到數據中心,有效地讓企業WAN成為因特網VPN。
對于那些已經使用因特網作為WAN的企業,通過因特網開啟云服務可能是最佳的選擇。如果要達到更嚴格的服務等級協議(SLA),另一個選擇是讓云服務商直接進入你的私有WAN。選擇私有還是公有因特網云服務是一個經典的成本/收益權衡問題,需要考慮安全,可用性和一些特殊的整合問題和選擇。
如果你的企業使用因特網VPN訪問數據中心,那么添加因特網云服務其實就是讓云可以同樣訪問數據中心。實際上只有所有電腦和設備上的VPN客戶端將用戶從因特網上斷開,云才能成為VPN的一部分。
大多數基礎設施即服務(IaaS)或平臺即服務(PaaS)的云都支持SSL VPN,因而主要的整合問題是定位云應用程序。如果云和數據中心都支持負載均衡或是備份檢測中的應用程序,那么你要么使用directory/redirection功能(DNS,UDDI)來切換云和數據中心的用戶,要么讓因特網云服務作為在數據中心負載均衡交換機中的一個選擇服務。在自己的數據中心使用備份和負載均衡技術是最好的。
如果你的員工在公司的廣域網里,那么要訪問因特網通常要經過網關。這意味著通過因特網訪問云服務可以使用網關來實現,你可以相信自己的安全和防火墻措施能夠保護WAN端。然而,因特網云服務提供商那邊也同樣需要保護。再次重申,IaaS 或PaaS服務通常可以在機器鏡像上安裝安全服務/防火墻,而服務商也會提供一些安全措施。除了PaaS服務商可能會提供所有領域的安全服務甚至包括病毒掃描,因特網云服務提供商的防火墻或加密VPN服務也會處理安全問題。如果你想要更多,那么最好由你自己添加。
運行在云中的應用程序可能很多或者越來越多的同樣需要訪問存儲在企業數據中心的數據。利用工作流或服務總線技術的進程間連接,它聯合任意形式的存儲網絡創建一個后臺連接請求,可以繞過正常應用程序登陸時的安全機制。這樣一來,就更有必要保護這些路徑。SSL VPN很難像站到站的IPsec VPN一樣做到這些。
也許你早已在分支機構使用IPsec VPN,用類似的方法可以連上云服務商。好的IPsec VPN設備不但可以在站點間建立連接,還能提供防火墻保護。然而,他們要在各站點安裝設備,因特網云服務商要配合它們。你得查一下VPN設備提供商,看看他們是否有服務器端軟件,或者使用軟件解決方案。
下一個難題是可用性和性能,而且有必要知道這些不完全是因特網訪問問題;最近出現的公有云服務中斷說明云設施本身會發生故障。但是,企業指出公有云應用程序最大問題來源是因特網訪問。他們同樣指出平時更常見的是性能嚴重下降,而不是完全連接中斷,如果性能差到一定程度,它對生產效率的嚴重影響和完全中斷沒什么兩樣。請不要忘了因特網服務是標準的盡力服務模式,這會影響到一些應用程序,特別是那些過去常常為WAN服務簽訂SLA的企業。達成因特網SLA很難,而且如果云應用程序流量必須經過服務商邊界,那幾乎就沒任何意義。
網關地址也同樣會影響性能。大多數企業希望連到數據中心的Internet VPN網關,這樣的地址可能有多個,你還需要考慮其他連到WAN的路徑。優化的第一步是檢測是否有幾個站點的因特網云服務商使用相同的ISP。對于幾乎所有情況,這會給你最佳的因特網性能。如果不共享提供商,你可以用基本工具ping或traceroute在各個網關站點來測試ISP因特網路徑到云的質量。尋找最低延遲和最少跳點的路徑,這樣性能會最佳并且最可靠。同樣要考慮在站點和企業WAN間提供額外帶寬需要的成本;因為云接入很可能會增加到網關的流量。
記住不論你做什么,因特網連到云提供商絕不會比廣域網更安全,更有效,性能更可靠。如果因特網級別的安全,性能,可用性無法滿足你的要求,一個單獨的WAN和云服務可以幫你延伸私有WAN到云上。注意別花太多精力管理最佳交付通信和云服務。大多數情況下,應用程序的可用性和基本問題隔離工具都可以解決問題。