Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Bij het bekijken van algemene automobiel-, productie-, logistieke industrieën of andere instituten zoals ambassades, is er vaak de vraag over hoe de onderlinge verbinding met China kan worden verbeterd. Deze verbeteringen zijn voornamelijk relevant voor het gebruik van Cloud Services, zoals Microsoft 365, Azure Global Services of onderling verbonden vertakkingen in China met een klant-backbone.
In de meeste gevallen hebben klanten moeite met hoge latenties, lage bandbreedte, instabiele verbinding en hoge kosten die verbinding maken met buiten China (bijvoorbeeld Europa of de Verenigde Staten).
Een reden voor deze worsteling is de "Grote firewall van China", die het Chinese deel van het internet beschermt en verkeer naar China filtert. Bijna al het verkeer dat loopt van de Volksrepubliek China naar buiten China, behalve de speciale beheerzones zoals Hongkong SAR en Macao SAR, passeert de Grote Firewall. Het verkeer dat loopt door Hongkong SAR en Macao SAR raakt de Grote Firewall niet in volle kracht, het wordt afgehandeld door een subset van de Grote Firewall.
Met Virtual WAN kan een klant een betere en stabiele verbinding tot stand brengen met Microsoft Cloud Services en een verbinding met hun bedrijfsnetwerk zonder de Chinese cyberbeveiligingswetgeving te verbreken.
Vereisten en werkstroom
Als u compatibel wilt blijven met de Chinese cyberbeveiligingswetgeving, moet u aan een reeks bepaalde voorwaarden voldoen.
Eerst moet u samenwerken met een netwerk en internetprovider die eigenaar is van een ICP-licentie (Internet Content Provider) voor China. In de meeste gevallen krijgt u een van de volgende providers:
- China Telecom Global Ltd.
- China Mobile Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
Afhankelijk van de provider en uw behoeften, moet u nu een van de volgende netwerkconnectiviteitsservices aanschaffen om uw filialen in China te verbinden.
- Een MPLS/IPVPN-netwerk
- Een Software Defined WAN (SDWAN)
- Toegewezen internettoegang
Vervolgens moet u akkoord gaan met die provider om een aparte onderbreking te geven aan het Microsoft Global Network en het Edge Network in Hongkong, niet in Beijing of Shanghai. In dit geval is Hongkong erg belangrijk vanwege zijn fysieke verbinding en locatie met China.
Hoewel de meeste klanten denken dat het gebruik van Singapore voor interconnect het beste geval is, omdat het er beter uitziet naar China wanneer ze op de kaart kijken, is dit niet waar. Wanneer u netwerkvezelkaarten volgt, gaat bijna al het netwerk via Beijing, Shanghai en Hong Kong. Dit maakt Hongkong een betere locatie om verbinding te maken met China.
Afhankelijk van de provider krijgt u mogelijk verschillende serviceaanbiedingen. In de onderstaande tabel ziet u een voorbeeld van providers en de service die ze aanbieden, op basis van informatie op het moment dat dit artikel is geschreven.
| Service | Voorbeelden van providers |
|---|---|
| MPLS/IPVPN-netwerk | PCCW, China Telecom Global |
| SDWAN | PCCW, China Telecom Global |
| Toegewezen internettoegang | PCCW, Hong Kong Telecom, China Mobil |
Met uw provider kunt u ermee akkoord gaan welke van de volgende twee oplossingen u kunt gebruiken om de wereldwijde Backbone van Microsoft te bereiken:
Het verkrijgen van een Microsoft Azure ExpressRoute beëindigd in Hongkong. Dat zou het geval zijn voor het gebruik van MPLS/IPVPN. Momenteel is alleen de enige ICP-licentieprovider met ExpressRoute naar Hongkong China Telecom Global. Ze kunnen echter ook met de andere providers praten als ze gebruikmaken van Cloud Exchange-providers zoals Megaport of InterCloud. Zie ExpressRoute-connectiviteitsproviders voor meer informatie.
Gebruik een toegewezen internettoegang rechtstreeks op een van de volgende Internet Exchange-punten of met behulp van een particuliere netwerkverbinding.
De volgende lijst toont internetuitwisselingen mogelijk in Hongkong:
- AMS-IX Hongkong
- BBIX Hongkong
- Equinix Hong Kong
- HKIX
Wanneer u deze verbinding gebruikt, moet uw volgende BGP-hop voor Microsoft Services Microsoft Autonomous System Number (AS#) 8075 zijn. Als u één locatie of SDWAN-oplossing gebruikt, is dat de keuze van de verbinding.
Met de huidige veranderingen met betrekking tot interconnects tussen China en Hongkong SAR bouwen de meeste van deze netwerkproviders een MPLS-brug tussen China en Hongkong SAR.
U kunt zien dat site-naar-site VPN-verbindingen in China zijn toegestaan en meestal stabiel zijn. Hetzelfde geldt voor de site-naar-site-verbindingen tussen vertakkingen in de rest van de wereld. Providers maken nu een VPN/SDWAN-aggregatie aan beide zijden en brug via MPLS ertussen.
Hoe dan ook, we raden u nog steeds aan om een tweede en reguliere internet breakout in China te hebben. Dit is om het verkeer te splitsen tussen bedrijfsverkeer naar cloudservices zoals Microsoft 365 en Azure, en door wet gereguleerd internetverkeer.
Een compatibele netwerkarchitectuur binnen China kan er als volgt uitzien:
In dit voorbeeld kunt u met een interconnectie met het Microsoft Global Network in Hong Kong de Azure Virtual WAN Global Transit Architecture en aanvullende services, zoals azure secure Virtual WAN Hub, gaan gebruiken om services te gebruiken en verbinding te maken met uw filialen en datacentrum buiten China.
Hub-naar-hub-communicatie
In deze sectie gebruiken we de communicatie tussen hubs van Virtual WAN om verbinding te maken. In dit scenario maakt u een nieuwe Virtual WAN-hubresource om verbinding te maken met een Virtual WAN-hub in Hongkong, andere regio's die u wilt gebruiken, een regio waar u al Azure-resources hebt of waar u verbinding wilt maken.
Een voorbeeldarchitectuur kan er als volgt uitzien:
In dit voorbeeld maken de China-filialen verbinding met Azure Cloud China en elkaar met behulp van VPN- of MPLS-verbindingen. Vertakkingen die moeten worden verbonden met Global Services, maken gebruik van MPLS- of internetservices die rechtstreeks zijn verbonden met Hongkong. Als u ExpressRoute in Hongkong en in de andere regio wilt gebruiken, moet u ExpressRoute Global Reach configureren om beide ExpressRoute-circuits te verbinden.
ExpressRoute Global Reach is niet beschikbaar in sommige regio's. Als u bijvoorbeeld verbinding wilt maken met Brazilië of India, moet u gebruikmaken van Cloud Exchange-providers om de routeringsservices te bieden.
In de onderstaande afbeelding ziet u beide voorbeelden voor dit scenario.
Onderbreking van internet beveiligen voor Microsoft 365
Een andere overweging is netwerkbeveiliging en logboekregistratie voor het toegangspunt tussen China en het tot stand gebrachte backbone-onderdeel van Virtual WAN en de backbone van de klant. In de meeste gevallen is het nodig om internet in Hong Kong rechtstreeks te bereiken via het Microsoft Edge Network en daarmee de Azure Front Door-servers die worden gebruikt voor Microsoft 365-services.
Voor beide scenario's met Virtual WAN maakt u gebruik van de beveiligde Azure Virtual WAN-hub. Met Azure Firewall Manager kunt u een gewone Virtual WAN-hub wijzigen in een beveiligde hub en vervolgens een Azure Firewall binnen die hub implementeren en beheren.
In de volgende afbeelding ziet u een voorbeeld van dit scenario:
Architectuur en verkeersstromen
Afhankelijk van uw keuze met betrekking tot de verbinding met Hongkong, kan de algehele architectuur enigszins veranderen. In deze sectie ziet u drie beschikbare architecturen in verschillende combinaties met VPN of SDWAN en/of ExpressRoute.
Al deze opties maken gebruik van beveiligde Azure Virtual WAN-hub voor directe Microsoft 365-connectiviteit in Hongkong. Deze architecturen ondersteunen ook de nalevingsvereisten voor Microsoft 365 Multi-Geo en houden dat verkeer in de buurt van de volgende Azure Front Door-locatie. Als gevolg hiervan is het ook een verbetering voor het gebruik van Microsoft 365 uit China.
Wanneer u Azure Virtual WAN samen met internetverbinding gebruikt, kan elke verbinding profiteren van aanvullende services zoals Microsoft Azure Peering Services (MAPS). MAPS is gebouwd om verkeer dat afkomstig is van het Microsoft Global Network te optimaliseren van externe internetproviders.
Optie 1: SDWAN of VPN
In deze sectie wordt een ontwerp besproken dat GEBRUIKMAAKT van SDWAN of VPN naar Hongkong en naar andere branches. Deze optie toont het gebruik en de verkeersstroom bij gebruik van pure internetverbinding op beide sites van de Virtual WAN-backbone. In dit geval wordt de verbinding naar Hongkong gebracht met behulp van speciale internettoegang of een SDWAN-oplossing van de ICP-provider. Andere vertakkingen maken ook gebruik van pure internet- of SDWAN-oplossingen.
In deze architectuur is elke site verbonden met het Microsoft Global Network met behulp van VPN en Azure Virtual WAN. Het verkeer tussen de sites en Hong Kong wordt verzonden via het Microsoft-netwerk en maakt alleen gebruik van een reguliere internetverbinding op de laatste mijl.
Optie 2: ExpressRoute en SDWAN of VPN
In deze sectie wordt een ontwerp besproken dat gebruikmaakt van ExpressRoute in Hongkong en andere branches met VPN/SDWAN-vertakkingen. Deze optie toont het gebruik van en ExpressRoute beëindigd in Hongkong en andere vertakkingen die zijn verbonden via SDWAN of VPN. ExpressRoute in Hongkong is momenteel beperkt tot een korte lijst met providers, die u kunt vinden in de lijst met Express Route-partners.
Er zijn ook opties om ExpressRoute te beëindigen vanuit China, bijvoorbeeld in Zuid-Korea of Japan. Maar gezien naleving, regelgeving en latentie is Hongkong momenteel de beste keuze.
Optie 3: alleen ExpressRoute
In deze sectie wordt een ontwerp besproken waarin ExpressRoute wordt gebruikt voor Hongkong en andere branches. Met deze optie wordt de interconnect weergegeven met behulp van ExpressRoute aan beide uiteinden. Hier hebt u een andere verkeersstroom dan de andere. Het Microsoft 365-verkeer stroomt naar de met Azure virtual WAN beveiligde hub en van daaruit naar het Microsoft Edge-netwerk en internet.
Het verkeer dat naar de onderling verbonden vertakkingen gaat of van hen naar de locaties in China, volgt een andere benadering binnen die architectuur. Virtual WAN biedt momenteel geen ondersteuning voor ExpressRoute naar ExpressRoute-transit. Het verkeer maakt gebruik van ExpressRoute Global Reach of de interconnect van derden zonder de virtuele WAN-hub door te geven. Het stroomt rechtstreeks van de ene Microsoft Enterprise Edge (MSEE) naar de andere.
Momenteel is ExpressRoute Global Reach niet beschikbaar in elk land/elke regio, maar u kunt een oplossing configureren met behulp van Azure Virtual WAN.
U kunt bijvoorbeeld een ExpressRoute configureren met Microsoft-peering en een VPN-tunnel verbinden via die peering met Azure Virtual WAN. Nu hebt u de overdracht tussen VPN en ExpressRoute zonder Global Reach en externe provider en service, zoals Megaport Cloud, ingeschakeld.
Volgende stappen
Raadpleeg voor meer informatie de volgende artikelen: