如何整合WAN和網際網路雲服務

對於那些已經使用網際網路作為WAN的企業，通過網際網路開啟雲服務可能是最佳的選擇。 如果要達到更嚴格的服務等級協定(SLA)，另一個選擇是讓雲服務商直接進入你的私有WAN。 選擇私有還是公有網際網路雲服務是一個經典的成本/收益權衡問題，需要考慮安全，可用性和一些特殊的整合問題和選擇。

如果你的企業使用網際網路VPN訪問資料中心，那麼添加網際網路雲服務其實就是讓雲可以同樣訪問資料中心。 實際上只有所有電腦和設備上的VPN用戶端將使用者從網際網路上斷開，雲才能成為VPN的一部分。

大多數基礎設施即服務(IaaS)或平臺即服務(PaaS)的雲都支援SSL VPN，因而主要的整合問題是定位雲應用程式。 如果雲和資料中心都支援負載均衡或是備份檢測中的應用程式，那麼你要麼使用directory/redirection功能(DNS，UDDI)來切換雲和資料中心的使用者， 要麼讓網際網路雲服務作為在資料中心負載均衡交換器中的一個選擇服務。 在自己的資料中心使用備份和負載均衡技術是最好的。

如果你的員工在公司的廣域網路裡，那麼要訪問網際網路通常要經過閘道。 這意味著通過網際網路訪問雲服務可以使用閘道來實現，你可以相信自己的安全和防火牆措施能夠保護WAN端。 然而，網際網路雲服務提供者那邊也同樣需要保護。 再次重申，IaaS 或PaaS服務通常可以在機器鏡像上安裝安全服務/防火牆，而服務商也會提供一些安全措施。 除了PaaS服務商可能會提供所有領域的安全服務甚至包括病毒掃描，網際網路雲服務提供者的防火牆或加密VPN服務也會處理安全問題。 如果你想要更多，那麼最好由你自己添加。

運行在雲中的應用程式可能很多或者越來越多的同樣需要訪問存儲在企業資料中心的資料。 利用工作流或服務匯流排技術的進程間連接，它聯合任意形式的存儲網路創建一個後臺連接請求，可以繞過正常應用程式登陸時的安全機制。 這樣一來，就更有必要保護這些路徑。 SSL VPN很難像站到站的IPsec VPN一樣做到這些。

也許你早已在分支機搆使用IPsec VPN，用類似的方法可以連上雲服務商。 好的IPsec VPN設備不但可以在網站間建立連接，還能提供防火牆保護。 然而，他們要在各網站安裝設備，網際網路雲服務商要配合它們。 你得查一下VPN設備供應商，看看他們是否有伺服器端軟體，或者使用軟體解決方案。

下一個難題是可用性和性能，而且有必要知道這些不完全是網際網路訪問問題;最近出現的公有雲服務中斷說明雲設施本身會發生故障。 但是，企業指出公有雲應用程式最大問題來源是網際網路訪問。 他們同樣指出平時更常見的是性能嚴重下降，而不是完全連接中斷，如果性能差到一定程度，它對生產效率的嚴重影響和完全中斷沒什麼兩樣。 請不要忘了網際網路服務是標準的盡力服務模式，這會影響到一些應用程式，特別是那些過去常常為WAN服務簽訂SLA的企業。 達成網際網路SLA很難，而且如果雲應用程式流量必須經過服務商邊界，那幾乎就沒任何意義。

閘道位址也同樣會影響性能。 大多數企業希望連到資料中心的Internet VPN閘道，這樣的位址可能有多個，你還需要考慮其他連到WAN的路徑。 優化的第一步是檢測是否有幾個網站的網際網路雲服務商使用相同的ISP。 對於幾乎所有情況，這會給你最佳的網際網路性能。 如果不共用供應商，你可以用基本工具ping或traceroute在各個閘道網站來測試ISP網際網路路徑到雲的品質。 尋找最低延遲和最少跳點的路徑，這樣性能會最佳並且最可靠。 同樣要考慮在網站和企業WAN間提供額外頻寬需要的成本;因為雲接入很可能會增加到閘道的流量。

　　記住不論你做什麼，網際網路連到雲供應商絕不會比廣域網路更安全，更有效，性能更可靠。 如果網際網路級別的安全，性能，可用性無法滿足你的要求，一個單獨的WAN和雲服務可以幫你延伸私有WAN到雲上。 注意別花太多精力管理最佳交付通信和雲服務。 大多數情況下，應用程式的可用性和基本問題隔離工具都可以解決問題。