Udostępnij za pośrednictwem

Łączenie się z Chinami przy użyciu usług Azure Virtual WAN i Secure Hub

  • Artykuł

Patrząc na powszechną branżę motoryzacyjną, produkcyjną, logistyczną lub inne instytuty, takie jak ambasady, często pojawia się pytanie o to, jak poprawić wzajemne połączenia z Chinami. Te ulepszenia są w większości istotne w przypadku używania Cloud Services, takich jak platforma Microsoft 365, usługi globalne platformy Azure lub wzajemnie połączone gałęzie w Chinach z szkieletem klienta.

W większości przypadków klienci zmagają się z dużymi opóźnieniami, niską przepustowością, niestabilnym połączeniem i wysokimi kosztami łączenia się z poza Chinami (na przykład z Europą lub Stany Zjednoczone).

Powodem tych zmagań jest "Wielki Zapora Chin", która chroni chińską część Internetu i filtruje ruch do Chin. Prawie cały ruch z Chińska Republika Ludowa do poza Chinami, z wyjątkiem specjalnych stref administracyjnych, takich jak Hongkong i Macau, przechodzi Przez Wielką Zaporę. Ruch biegnąc przez Hongkong i Macau nie uderza w wielką zaporę w pełni, jest obsługiwany przez podzbiór Wielkiego Zapory.

Diagram przedstawia połączenie między dostawcami.

Korzystając z Virtual WAN, klient może nawiązać bardziej wydajne i stabilne połączenie z firmą Microsoft Cloud Services oraz połączenie z siecią przedsiębiorstwa bez łamania chińskiego prawa cyberbezpieczeństwa.

Wymagania i przepływ pracy

Jeśli chcesz zachować zgodność z chińskim prawem cyberbezpieczeństwa, musisz spełnić zestaw określonych warunków.

Najpierw musisz współpracować z siecią i usługodawcą internetowym, który jest właścicielem licencji ICP (Internet Content Provider) dla Chin. W większości przypadków będziesz mieć jednego z następujących dostawców:

  • China Telecom Global Ltd.
  • China Mobile Ltd.
  • China Unicom Ltd.
  • PCCW Global Ltd.
  • Hong Kong Telecom Ltd.

W zależności od dostawcy i potrzeb należy teraz kupić jedną z następujących usług łączności sieciowej, aby połączyć swoje oddziały w Chinach.

  • Sieć MPLS/IPVPN
  • Programowa sieć WAN (SDWAN)
  • Dedykowany dostęp do Internetu

Następnie musisz zgodzić się z tym dostawcą, aby dać przerwę w sieci globalnej firmy Microsoft i jej sieci brzegowej w Hongkongu, a nie w Pekinie lub Szanghaju. W tym przypadku Hongkong jest bardzo ważny ze względu na jego fizyczne połączenie i lokalizację z Chinami.

Podczas gdy większość klientów uważa, że korzystanie z Singapuru do połączenia jest najlepszym przypadkiem, ponieważ wygląda bliżej Chin, patrząc na mapę, nie jest to prawdą. Gdy śledzisz mapy światłowodów sieciowych, prawie wszystkie połączenia sieciowe przechodzą przez Pekin, Szanghaj i Hongkong. To sprawia, że Hongkong jest lepszym wyborem lokalizacji, aby połączyć się z Chinami.

W zależności od dostawcy możesz uzyskać różne oferty usług. W poniższej tabeli przedstawiono przykład dostawców i oferowanych przez nich usług na podstawie informacji w momencie pisania tego artykułu.

Usługa Przykłady dostawców
Sieć MPLS/IPVPN PCCW, China Telecom Global
SDWAN PCCW, China Telecom Global
Dedykowany dostęp do Internetu PCCW, Hong Kong Telecom, Chiny Mobil

U dostawcy możesz uzgodnić, które z następujących dwóch rozwiązań do użycia w celu osiągnięcia globalnej sieci szkieletowej firmy Microsoft:

  • Pobieranie usługi Microsoft Azure ExpressRoute zakończonej w Hongkongu. Tak byłoby w przypadku korzystania z protokołu MPLS/IPVPN. Obecnie jedynym dostawcą licencji ICP z usługą ExpressRoute do Hongkongu jest China Telecom Global. Mogą jednak również komunikować się z innymi dostawcami, jeśli korzystają z dostawców wymiany w chmurze, takich jak Megaport lub InterCloud. Aby uzyskać więcej informacji, zobacz Dostawcy łączności usługi ExpressRoute.

  • Korzystanie z dedykowanego dostępu do Internetu bezpośrednio w jednym z następujących punktów programu Internet Exchange lub nawiązywanie połączenia między sieciami prywatnymi.

Na poniższej liście przedstawiono możliwe wymiany internetowe w Hongkongu:

  • AMS-IX Hongkong
  • BBIX Hong Kong
  • Equinix Hong Kong
  • HKIX

W przypadku korzystania z tego połączenia następny przeskok BGP dla usług firmy Microsoft musi być numerem systemu autonomicznego firmy Microsoft (AS#) 8075. Jeśli używasz jednej lokalizacji lub rozwiązania SDWAN, będzie to wybór połączenia.

Wraz z obecnymi zmianami dotyczącymi połączeń między Chinami a Hongkongiem SAR większość z tych dostawców sieci buduje most MPLS między Chinami a Hongkongiem SAR.

Widać, że połączenia sieci VPN typu lokacja-lokacja w Chinach są dozwolone i są w większości stabilne. Dotyczy to połączeń typu lokacja-lokacja między gałęziami w pozostałej części świata. Dostawcy tworzą teraz agregację sieci VPN/SDWAN po obu stronach i mostek za pośrednictwem biblioteki MPLS między nimi.

Diagram przedstawia most MPLS w Chinach.

Tak czy inaczej, nadal zalecamy, aby mieć drugą i zwykłą przerwę w Internecie w Chinach. Ma to na celu podzielenie ruchu między przedsiębiorstwa a usługami w chmurze, takimi jak Platforma Microsoft 365 i Platforma Azure, oraz ruch internetowy regulowany przez prawo.

Zgodna architektura sieci w Chinach może wyglądać podobnie do następującego przykładu:

Diagram przedstawia wiele gałęzi.

W tym przykładzie po połączeniu z globalną siecią firmy Microsoft w Hongkongu możesz teraz zacząć korzystać z architektury globalnego tranzytowego platformy Azure Virtual WAN i dodatkowych usług, takich jak azure secure Virtual WAN hub, aby korzystać z usług i łączyć się ze swoimi oddziałami i centrum danych poza Chinami.

Komunikacja między koncentratorami

W tej sekcji używamy komunikacji Virtual WAN hub-to-hub w celu połączenia się między sobą. W tym scenariuszu utworzysz nowy zasób centrum Virtual WAN, aby połączyć się z centrum Virtual WAN w Hongkongu, innymi preferowanymi regionami, regionem, w którym masz już zasoby platformy Azure lub gdzie chcesz nawiązać połączenie.

Przykładowa architektura może wyglądać następująco:

Diagram przedstawia przykładową sieć WAN.

W tym przykładzie gałęzie w Chinach łączą się z usługą Azure Cloud —Chiny i siebie przy użyciu połączeń SIECI VPN lub MPLS. Gałęzie, które muszą być połączone z usługami globalnymi, korzystają z usług MPLS lub internetowych połączonych bezpośrednio z Hongkongiem. Jeśli chcesz użyć usługi ExpressRoute w Hongkongu i w innym regionie, musisz skonfigurować usługę ExpressRoute Global Reach w celu połączenia obu obwodów usługi ExpressRoute.

Usługa ExpressRoute Global Reach nie jest dostępna w niektórych regionach. Jeśli na przykład musisz nawiązać połączenie z Brazylią lub Indiami, musisz skorzystać z dostawców wymiany w chmurze , aby zapewnić usługi routingu.

Na poniższej ilustracji przedstawiono oba przykłady dla tego scenariusza.

Diagram przedstawia globalny zasięg.

Zabezpieczanie przerwy w Internecie dla platformy Microsoft 365

Innym zagadnieniem jest bezpieczeństwo sieci i rejestrowanie punktu wejścia między Chinami a Virtual WAN utworzonym składnikiem szkieletowym oraz siecią szkieletową klienta. W większości przypadków istnieje potrzeba przerwania połączenia z Internetem w Hongkongu, aby bezpośrednio dotrzeć do sieci Microsoft Edge Network i, z tym, serwery usługi Azure Front Door używane do usług Microsoft 365.

W obu scenariuszach z Virtual WAN należy skorzystać z centrum zabezpieczonego Virtual WAN azure. Za pomocą menedżera Azure Firewall można zmienić regularne centrum Virtual WAN na zabezpieczone centrum, a następnie wdrożyć Azure Firewall w tym centrum i zarządzać nim.

Na poniższej ilustracji przedstawiono przykład tego scenariusza:

Diagram przedstawia podział internetowy dla ruchu w sieci Web i usługach firmy Microsoft.

Architektura i przepływy ruchu

W zależności od wybranego połączenia z Hongkongiem ogólna architektura może ulec nieznacznej zmianie. W tej sekcji przedstawiono trzy dostępne architektury w innej kombinacji z siecią VPN lub sdWAN i/lub usługą ExpressRoute.

Wszystkie te opcje korzystają z usługi Azure Virtual WAN zabezpieczonego centrum na potrzeby bezpośredniej łączności platformy Microsoft 365 w Hongkongu. Te architektury obsługują również wymagania dotyczące zgodności usługi Microsoft 365 Multi-Geo i zapewniają ruch w pobliżu następnej lokalizacji usługi Azure Front Door. W rezultacie jest to również poprawa użycia platformy Microsoft 365 z Chin.

W przypadku korzystania z usługi Azure Virtual WAN razem z połączeniami internetowymi każde połączenie może korzystać z dodatkowych usług, takich jak Microsoft Azure Peering Services (MAPS). Usługa MAPS została utworzona w celu zoptymalizowania ruchu przychodzącego do sieci globalnej firmy Microsoft od dostawców usług internetowych innych firm.

Opcja 1: SDWAN lub VPN

W tej sekcji omówiono projekt korzystający z sieci SDWAN lub VPN do Hongkongu i innych gałęzi. Ta opcja pokazuje użycie i przepływ ruchu podczas korzystania z czystego połączenia internetowego w obu lokacjach sieci szkieletowej Virtual WAN. W takim przypadku połączenie jest przenoszone do Hongkongu przy użyciu dedykowanego dostępu do Internetu lub rozwiązania SDWAN dostawcy ICP. Inne gałęzie korzystają również z czystych rozwiązań Internetowych lub SDWAN.

Diagram przedstawia chiny do ruchu w Hongkongu.

W tej architekturze każda lokacja jest połączona z siecią globalną firmy Microsoft przy użyciu sieci VPN i platformy Azure Virtual WAN. Ruch między witrynami a Hongkongiem jest przesyłany przez usługę Microsoft Network i używa tylko zwykłego połączenia internetowego na ostatniej mili.

Opcja 2: ExpressRoute i SDWAN lub VPN

W tej sekcji omówiono projekt korzystający z usługi ExpressRoute w Hongkongu i innych gałęzi z gałęziami sieci VPN/SDWAN. Ta opcja pokazuje użycie usługi ExpressRoute zakończonej w Hongkongu i innych gałęzi połączonych za pośrednictwem sdWAN lub sieci VPN. Usługa ExpressRoute w Hongkongu jest obecnie ograniczona do krótkiej listy dostawców, które można znaleźć na liście partnerów usługi Express Route.

Diagram przedstawia ruch z Chin do Hongkongu — ExpressRoute.

Istnieją również opcje zakończenia usługi ExpressRoute z Chin, na przykład w Korei Południowej lub Japonii. Jednak biorąc pod uwagę zgodność, regulacje i opóźnienia, Hongkong jest obecnie najlepszym wyborem.

Opcja 3. Tylko usługa ExpressRoute

W tej sekcji omówiono projekt, w którym usługa ExpressRoute jest używana dla Hongkongu i innych gałęzi. Ta opcja pokazuje połączenie międzyoperacyjne przy użyciu usługi ExpressRoute na obu końcach. W tym miejscu masz inny przepływ ruchu niż inny. Ruch platformy Microsoft 365 będzie przepływać do koncentratora zabezpieczonego przez wirtualną sieć WAN platformy Azure i stamtąd do sieci Microsoft Edge i Internetu.

Ruch, który przechodzi do połączonych oddziałów lub z nich do lokalizacji w Chinach, będzie podążał za innym podejściem w ramach tej architektury. Obecnie wirtualna sieć WAN nie obsługuje przesyłania usługi ExpressRoute do usługi ExpressRoute. Ruch będzie korzystać z usługi ExpressRoute Global Reach lub połączenia między firmami bez przekazywania wirtualnej usługi WAN Hub. Będzie on przepływać bezpośrednio z jednej przeglądarki Microsoft Enterprise Edge (MSEE) do innej.

Diagram przedstawia usługę ExpressRoute Global Reach.

Obecnie usługa ExpressRoute Global Reach nie jest dostępna w każdym kraju/regionie, ale można skonfigurować rozwiązanie przy użyciu usługi Azure Virtual WAN.

Możesz na przykład skonfigurować usługę ExpressRoute za pomocą komunikacji równorzędnej firmy Microsoft i połączyć tunel VPN za pośrednictwem tej komunikacji równorzędnej z usługą Azure Virtual WAN. Teraz ponownie włączono tranzyt między siecią VPN i usługą ExpressRoute bez usługi Global Reach i dostawcy i usługi innej firmy, takiej jak Megaport Cloud.

Następne kroki

Aby uzyskać więcej informacji, zobacz następujące artykuły: