混合云防火墙

Network Edge与Equinix Fabric协同工作，提供可在几分钟内启动的虚拟云入口。这为各种应用程序提供了低延迟的混合多云访问。如果应用程序是多层的或对延迟敏感的，并且需要访问企业资源，则可以使用在Network Edge上部署的虚拟安全设备在单个控制点进行部署。

架构

本参考架构方案中的混合多云拓扑结构有一个部署在一个云提供商的网络层和一个部署在同一地区的另一个云提供商的数据库层。应用程序的唯一公开访问组件是网络层。所有其他组件都必须是安全的，包括企业基础设施，它也为应用程序提供服务，并且由于延迟要求，必须靠近其他组件。

这个解决方案减少了部署的设备数量，并在所有应用层之间建立了一个单一的安全控制点。对企业来说，网络的复杂性减少了，这就降低了云到云的连接成本，并增强了安全性。

应用层之间的网络通信由Equinix Fabric上的直接私有第2层互连提供，而Network Edge设备则提供第3层路由和安全服务。Network Edge设备是一个虚拟网络功能（VNF），由Network Edge网络功能虚拟化（NFV）平台托管。

Equinix 组件

• Equinix Fabric – Equinix Fabric是一个交换平台，可为参与 Fabric 的众多服务提供商提供专用连接。虚拟电路通过软件定义网络 (SDN) 在 Fabric 上配置，从而与连接到 Fabric 的服务提供商建立连接。虚拟连接可以通过Customer Portal或 API 创建。
• Equinix Network Edge – Network Edge是一个符合 ETSI 标准的 NFV 平台，可托管来自Cisco、 Juniper、 Palo Alto、 Fortinet、Versa、Aruba 和Check Point等多家供应商的 VNF（路由器、防火墙和 SD-WAN）。VNF 可以实时部署，部署完成后，即可开始在 Fabric 上与提供商建立虚拟连接。

应用组件

• 私有互连 – 来自云服务提供商 (CSP) 的私有互连是连接到Equinix Fabric 的二层合作伙伴或托管连接。合作伙伴或托管连接在设备与其对等互联的 CSP 路由器之间提供中间交换机。建立私有二层互连后，您可以设置与 CSP 网关的三层对等互联。私有互连绕过互联网。
• 公有云 Web 层 – 公有云 Web 层托管在公共互联网上公开的 Web 服务器，用于用户连接。此层还提供由公有云提供商或 Fabric 上的 Internet 服务提供商提供的 Internet 服务。
• 公有云数据库层 – 公有云数据库层托管与 Web 层互连的数据库 PaaS 服务。此层受虚拟安全设备保护，因为 Web 层和数据库层之间的流量必须经过安全控制点。
• 企业基础设施 – 企业基础设施托管应用程序的私有服务。该基础设施可以托管在Equinix数据中心（由Equinix Metal提供），也可以托管在其他位置。唯一的要求是Equinix Fabric必须能够访问该基础设施。

建议

这些建议仅供参考。客户的具体需求可能与此列表有所不同。

• 位置选择——此架构示例展示了同一区域之间的连接。根据部署区域的不同，延迟也会有所不同，这在设计对延迟要求严格的应用程序时是一个重要的考虑因素。但是，某些应用程序可能需要跨区域连接。在这种情况下，可以使用 Equinix Fabric 的全球覆盖范围来创建这些连接。
• 高可用性——此架构采用单线程部署，不具备容错能力。Equinix 建议客户根据自身业务需求部署相应的容错级别。网络边缘可以部署冗余设备，或者，在某些供应商的情况下，设备可以部署为高可用性对。
• 网络寻址——对于通过私有虚拟接口连接到私有服务的情况，客户可以使用私有 IP 地址。对于某些公共服务，网络边缘设备可能需要客户自己的公网 IP 地址和 NAT。由于每个 CSP 对公网寻址的要求各不相同，因此在尝试创建公网连接之前需要进行调研。对于 Web 层，客户既可以自带符合互联网通告要求的 IP 地址，也可以使用提供商分配的地址。

考虑因素

在实施这种架构时，要考虑以下因素。

表现

除了延迟之外，组件间的带宽和设备吞吐量也至关重要。虚拟电路的规模必须合理，设备也必须支持所需的吞吐量。

安全

在Fabric上与云提供商的私人互连是不加密的。需要加密的应用必须在应用层加密，或者在网络层加密，在Network Edge设备和云网关之间可以建立IPSEC隧道。IPSEC隧道涉及开销，这也影响到设备的选择。这个解决方案在一个单一的控制点上部署了一个虚拟安全设备，该控制点与应用层之间的所有流量相交。

Equinix费用

• 设备实例 – 虚拟设备的成本（不包括许可证成本）。
• 虚拟设备许可——部分供应商提供订阅许可，客户可购买订阅许可。所有供应商均支持自带许可 (BYOL)。
• 虚拟电路——每月循环费用根据电路规模而定。Equinix Fabric 网络中不同地铁线路之间的连接，需额外支付远程连接附加费。

CSP成本

• 出口费用——某些服务提供商会根据通过专用互连传输的数据量收取费用。这些费用因提供商而异。与互联网相比，使用专用互连可以降低出口费用。
• 固定端口费用——部分提供商会根据线路大小收取固定端口费用，此外还会收取出站费用。出站费用和固定端口费用都会影响您的应用设计。

通过在Network Edge部署虚拟安全设备，客户可以在单个安全控制点整合混合多云连接，同时最大限度地提高应用程序性能并增强安全性。

相关主题

• Network Edge Architecting for Resiliency
• Networking for Nerds: Deconstructive Interconnection to the Cloud (Blog)