Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Při pohledu na běžné automobilové, výrobní, logistické odvětví nebo jiné instituce, jako jsou velvyslanectví, často existuje otázka, jak zlepšit propojení s Čínou. Tato vylepšení jsou většinou relevantní pro používání cloudových služeb, jako je Microsoft 365, Azure Global Services nebo propojení větví uvnitř Číny s páteřní sítí zákazníka.
Ve většině případů se zákazníci potýkají s vysokou latencí, nízkou šířkou pásma, nestabilním připojením a vysokými náklady na připojení mimo Čínu (například Evropa nebo USA).
Důvodem těchto bojů je "Velká brána firewall Číny", která chrání čínskou část internetu a filtruje provoz do Číny. Téměř veškerý provoz z Čínské lidové republiky do mimo Čínu, s výjimkou zvláštních administrativních zón, jako je Hongkong SAR a Macao SAR, prochází velkou bránou firewall. Provoz běžící přes Hongkong SAR a Macao SAR nenarazí na Velkou bránu firewall v plné síle, je zpracována podmnožinou Velké brány firewall.
Pomocí služby Virtual WAN může zákazník vytvořit výkonnější a stabilní připojení ke cloudovým službám Microsoftu a připojení ke své podnikové síti, aniž by porušil čínský zákon o kybernetické bezpečnosti.
Požadavky a pracovní postup
Pokud chcete zůstat v souladu s čínským zákonem o kybernetické bezpečnosti, musíte splnit sadu určitých podmínek.
Nejprve musíte spolupracovat se sítí a poskytovatelem internetových služeb, kteří vlastní licenci ICP (Internet Content Provider) pro Čínu. Ve většině případů budete mít jeden z následujících poskytovatelů:
- China Telecom Global Ltd.
- China Mobile Ltd.
- Čína Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
V závislosti na poskytovateli a vašich potřebách si teď musíte koupit jednu z následujících služeb síťového připojení, abyste mohli propojit pobočky v Číně.
- Síť MPLS/IPVPN
- Softwarově definovaná síť WAN (SDWAN)
- Vyhrazený přístup k internetu
Dále musíte souhlasit s tímto poskytovatelem, aby dal přerušení microsoft Global Network a jeho Hraniční síť v Hongkongu, ne v Pekingu nebo Šanghaji. V tomto případě je Hongkong velmi důležitý kvůli fyzickému spojení a umístění do Číny.
I když většina zákazníků si myslí, že použití Singapuru pro propojení je nejlepší případ, protože při prohlížení na mapě vypadá blíž k Číně, to není pravda. Když sledujete síťové optické mapy, téměř všechny sítě se připojují přes Peking, Šanghaj a Hongkong. Díky tomu je Hongkong lepší volbou pro propojení s Čínou.
V závislosti na poskytovateli můžete získat různé nabídky služeb. Následující tabulka ukazuje příklad poskytovatelů a služeb, které nabízejí, na základě informací v době, kdy byl tento článek napsán.
| Služba | Příklady zprostředkovatelů |
|---|---|
| SÍŤ MPLS/IPVPN | PCCW, China Telecom Global |
| SDWAN | PCCW, China Telecom Global |
| Vyhrazený přístup k internetu | PCCW, Hong Kong Telecom, China Mobil |
S vaším poskytovatelem můžete souhlasit s tím, která z následujících dvou řešení se mají použít k dosažení globální páteřní sítě Microsoftu:
Ukončení Služby Microsoft Azure ExpressRoute v Hongkongu To by byl případ použití MPLS/IPVPN. V současné době je jediným poskytovatelem licencí ICP s ExpressRoute do Hongkongu Čína Telecom Global. Můžou ale také mluvit s ostatními poskytovateli, pokud využívají poskytovatele Cloud Exchange, jako je Megaport nebo InterCloud. Další informace najdete v tématu Poskytovatelé připojení ExpressRoute.
Použití vyhrazeného internetového přístupu přímo v některém z následujících internetových exchange bodů nebo pomocí propojení privátní sítě.
Následující seznam ukazuje internetové výměny možné v Hongkongu:
- AMS-IX Hongkong
- BBIX Hongkong
- Equinix Hong Kong
- HKIX
Při použití tohoto připojení musí být dalším segmentem směrování protokolu BGP pro služby Společnosti Microsoft číslo autonomního systému (AS#) 8075. Pokud použijete jedno umístění nebo řešení SDWAN, bude to volba připojení.
S aktuálními změnami týkajícími se propojení mezi Čínou a Hongkongem SAR většina těchto poskytovatelů sítí vytváří most MPLS mezi Čínou a Hongkongem SAR.
Vidíte, že připojení VPN typu site-to-site v Číně jsou povolená a většinou stabilní. Totéž platí pro připojení typu site-to-site mezi větvemi ve zbytku světa. Poskytovatelé teď vytvářejí agregaci VPN/SDWAN na obou stranách i přes mpLS mezi nimi.
V obou směrech stále doporučujeme, abyste měli druhý a pravidelný internetový breakout do Číny. Tím se rozdělí provoz mezi podnikový provoz do cloudových služeb, jako je Microsoft 365 a Azure, a podle zákona regulovaný internetový provoz.
Kompatibilní síťová architektura v Číně by mohla vypadat jako v následujícím příkladu:
V tomto příkladu můžete s propojením s Globální sítí Microsoftu v Hongkongu začít využívat architekturu globálního přenosu Azure Virtual WAN a další služby, jako je zabezpečené centrum Virtual WAN Azure, a využívat služby a propojit je s vašimi pobočkami a datovým centrem mimo Čínu.
Komunikace mezi centrem
V této části používáme ke vzájemnému propojení komunikaci typu hub-to-hub služby Virtual WAN. V tomto scénáři vytvoříte nový prostředek centra Virtual WAN pro připojení k centru Virtual WAN v Hongkongu, další oblasti, které preferujete, oblast, ve které už máte prostředky Azure nebo kde se chcete připojit.
Ukázková architektura by mohla vypadat jako v následujícím příkladu:
V tomto příkladu se pobočky v Číně připojují ke cloudu Azure a navzájem pomocí připojení VPN nebo MPLS. Větve, které je potřeba připojit ke globálním službám, používají službu MPLS nebo internetové služby, které jsou připojené přímo k Hongkongu. Pokud chcete používat ExpressRoute v Hongkongu a v jiné oblasti, musíte nakonfigurovat ExpressRoute Global Reach pro propojení obou okruhů ExpressRoute.
ExpressRoute Global Reach není v některých oblastech dostupný. Pokud potřebujete například propojit s Brazílií nebo Indií, musíte k poskytování směrovacích služeb využít poskytovatele Cloud Exchange Provider.
Následující obrázek ukazuje oba příklady pro tento scénář.
Zabezpečení přerušení internetu pro Microsoft 365
Dalším aspektem je zabezpečení sítě a protokolování vstupního bodu mezi Čínou a zavedenou páteřní komponentou virtual WAN a páteřní sítí zákazníka. Ve většiněpřípadůchm službám ve většině případů je potřeba přejít na internet v Hongkongu, aby se přímo dostal do sítě Microsoft Edge Network.
V obou scénářích se službou Virtual WAN byste využili zabezpečené centrum Azure Virtual WAN. Pomocí Azure Firewall Manageru můžete změnit běžné centrum Virtual WAN na zabezpečené centrum a pak nasadit a spravovat bránu Azure Firewall v rámci daného centra.
Následující obrázek znázorňuje příklad tohoto scénáře:
Architektura a toky provozu
V závislosti na vaší volbě týkající se propojení s Hongkongem se celková architektura může mírně změnit. Tato část ukazuje tři dostupné architektury v různých kombinacích se sítí VPN nebo SDWAN a/nebo ExpressRoute.
Všechny tyto možnosti využívají zabezpečené centrum Azure Virtual WAN pro přímé připojení Microsoftu 365 v Hongkongu. Tyto architektury také podporují požadavky na dodržování předpisů pro Microsoft 365 Multi-Geo a udržují tento provoz v blízkosti dalšího umístění služby Azure Front Door. Výsledkem je také zlepšení využití Microsoftu 365 z Číny.
Pokud používáte Azure Virtual WAN společně s internetovými připojeními, může každé připojení těžit z dalších služeb, jako je Microsoft Azure Peering Services (MAPS). SLUŽBA MAPS byla vytvořena tak, aby optimalizovala provoz přicházející do globální sítě Microsoft od poskytovatelů internetových služeb třetích stran.
Možnost 1: SDWAN nebo VPN
Tato část popisuje návrh, který používá SDWAN nebo VPN do Hongkongu a dalších větví. Tato možnost ukazuje využití a tok provozu při použití čistého připojení k internetu v obou lokalitách páteřní sítě Virtual WAN. V tomto případě se připojení přenese do Hongkongu pomocí vyhrazeného přístupu k internetu nebo řešení SDWAN poskytovatele ICP. Jiné větve používají také čistě internetová řešení nebo řešení SDWAN.
V této architektuře je každá lokalita připojená ke globální síti Microsoftu pomocí sítě VPN a azure Virtual WAN. Provoz mezi lokalitami a Hongkongem se přenáší přes síť Microsoft Network a používá pouze pravidelné připojení k internetu na poslední míli.
Možnost 2: ExpressRoute a SDWAN nebo VPN
Tato část popisuje návrh, který používá ExpressRoute v Hongkongu a dalších větvích s pobočkami VPN/SDWAN. Tato možnost ukazuje použití a ExpressRoute ukončené v Hongkongu a dalších větvích připojených přes SDWAN nebo VPN. ExpressRoute v Hongkongu je momentálně omezený na krátký seznam poskytovatelů, který najdete v seznamu partnerů ExpressRoute.
Existují také možnosti ukončení ExpressRoute z Číny, například v Jižní Koreji nebo Japonsku. Vzhledem k dodržování předpisů, regulaci a latenci je ale v současné době nejlepší volbou Hongkong.
Možnost 3: Pouze ExpressRoute
Tato část popisuje návrh, ve kterém se ExpressRoute používá pro Hongkong a další pobočky. Tato možnost zobrazuje propojení pomocí ExpressRoute na obou koncích. Tady máte jiný tok provozu než druhý. Provoz Microsoftu 365 bude proudit do centra zabezpečeného službou Azure Virtual WAN a odtud do sítě Microsoft Edge a internetu.
Provoz, který směřuje do vzájemně propojených větví nebo z nich do lokalit v Číně, se bude řídit jiným přístupem v rámci této architektury. V současné době virtual WAN nepodporuje průchod ExpressRoute do ExpressRoute. Provoz bude využívat službu ExpressRoute Global Reach nebo propojení třetí strany bez předání virtuálního centra WAN. Bude tok přímo z jednoho Microsoft Enterprise Edge (MSEE) do jiného.
V současné době není Služba ExpressRoute Global Reach dostupná v každé zemi nebo oblasti, ale řešení můžete nakonfigurovat pomocí služby Azure Virtual WAN.
Můžete například nakonfigurovat ExpressRoute s partnerským vztahem Microsoftu a propojit tunel VPN přes tento partnerský vztah ke službě Azure Virtual WAN. Teď jste povolili přenos mezi vpn a ExpressRoute bez globálního reachu a poskytovatele a služeb třetích stran, jako je Megaport Cloud.
Další kroky
Další informace najdete v následujících článcích: