Interconecte-se com a China usando a WAN Virtual do Azure e o Secure Hub
Quando se olha para indústrias automotivas, de manufatura, de logística ou outros institutos comuns, como embaixadas, muitas vezes há a questão sobre como melhorar a interconexão com a China. Essas melhorias são principalmente relevantes para usar Serviços de Nuvem como o Microsoft 365, Azure Global Services ou interconectar filiais dentro da China com um backbone do cliente.
Na maioria dos casos, os clientes estão lutando com altas latências, baixa largura de banda, conexão instável e altos custos de conexão para fora da China (por exemplo, Europa ou Estados Unidos).
Uma razão para essas lutas é o "Grande Firewall da China", que protege a parte chinesa da Internet e filtra o tráfego para a China. Quase todo o tráfego que vai da República Popular da China para fora da China, exceto as zonas de administração especial como a RAE de Hong Kong e a RAE de Macau, passa pela Grande Firewall. O tráfego que atravessa a RAE de Hong Kong e a RAE de Macau não atinge a Grande Firewall com toda a força, é gerido por um subconjunto da Grande Firewall.
Usando a WAN Virtual, um cliente pode estabelecer uma conexão mais eficiente e estável com os Serviços de Nuvem da Microsoft e uma conexão com sua rede corporativa sem violar a lei de segurança cibernética chinesa.
Requisitos e fluxo de trabalho
Se quiser manter-se em conformidade com a lei chinesa de cibersegurança, tem de cumprir um conjunto de determinadas condições.
Primeiro, você precisa trabalhar em conjunto com uma rede e ISP que possui uma licença ICP (Internet Content Provider) para a China. Na maioria dos casos, você acabará com um dos seguintes provedores:
- China Telecom Global Ltd.
- China Móvel Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
Dependendo do provedor e de suas necessidades, agora você precisa comprar um dos seguintes serviços de conectividade de rede para interconectar suas filiais na China.
- UMA REDE MPLS/IPVPN
- Uma WAN definida por software (SDWAN)
- Acesso dedicado à Internet
Em seguida, você precisa concordar com esse provedor para dar uma escapada para a Microsoft Global Network e sua Edge Network em Hong Kong, não em Pequim ou Xangai. Neste caso, Hong Kong é muito importante devido à sua ligação física e localização com a China.
Embora a maioria dos clientes pense que usar Cingapura para interconexão é o melhor caso, porque parece mais perto da China quando olha no mapa, isso não é verdade. Quando você segue os mapas de fibra de rede, quase todas as conexões de rede passam por Pequim, Xangai e Hong Kong. Isso torna Hong Kong uma melhor escolha de localização para se interconectar à China.
Dependendo do fornecedor, você pode obter diferentes ofertas de serviços. A tabela abaixo mostra um exemplo de provedores e o serviço que eles oferecem, com base em informações no momento em que este artigo foi escrito.
| Serviço | Exemplos de fornecedores |
|---|---|
| Rede MPLS/IPVPN | PCCW, China Telecom Global |
| SDWAN | PCCW, China Telecom Global |
| Acesso dedicado à Internet | PCCW, Hong Kong Telecom, China Mobil |
Com seu provedor, você pode concordar sobre qual das duas soluções a seguir usar para alcançar o backbone global da Microsoft:
Obter uma Rota Expressa do Microsoft Azure encerrada em Hong Kong. Seria esse o caso da utilização de MPLS/IPVPN. Atualmente, apenas o único provedor de licença ICP com ExpressRoute para Hong Kong é a China Telecom Global. No entanto, eles também podem conversar com os outros provedores se eles aproveitarem os provedores de troca de nuvem como Megaport ou InterCloud. Para obter mais informações, consulte Provedores de conectividade de Rota Expressa.
Usando um acesso dedicado à Internet diretamente em um dos seguintes pontos de troca de tráfego ou usando uma interconexão de rede privada.
A lista a seguir mostra as trocas de Internet possíveis em Hong Kong:
- AMS-IX Hong Kong
- BBIX Hong Kong
- Equinix Hong Kong
- HKIX
Ao usar essa conexão, seu próximo salto BGP para Serviços Microsoft deve ser o Microsoft Autonomous System Number (AS#) 8075. Se você usar um único local ou solução SDWAN, essa seria a escolha da conexão.
Com as mudanças atuais em relação às interconexões entre a China e a RAE de Hong Kong, a maioria desses provedores de rede constrói uma ponte MPLS entre a China e a RAE de Hong Kong.
Você pode ver que as conexões VPN site a site dentro da China são permitidas e são, em sua maioria, estáveis. O mesmo se aplica às conexões site a site entre filiais no resto do mundo. Os provedores agora criam uma agregação VPN/SDWAN em ambos os lados e fazem a ponte via MPLS entre eles.
De qualquer forma, ainda recomendamos que você tenha uma segunda e regular fuga de internet na China. Isso é para dividir o tráfego entre o tráfego corporativo para serviços de nuvem, como o Microsoft 365 e o Azure, e o tráfego de Internet regulamentado por lei.
Uma arquitetura de rede compatível na China pode se parecer com o exemplo a seguir:
Neste exemplo, tendo uma interconexão com a Rede Global da Microsoft em Hong Kong, agora você pode começar a aproveitar a Arquitetura de Trânsito Global da WAN Virtual do Azure e serviços adicionais, como o hub WAN Virtual seguro do Azure, para consumir serviços e interconectar às suas filiais e datacenter fora da China.
Comunicação hub-to-hub
Nesta seção, usamos a comunicação hub-to-hub da WAN virtual para interconectar. Nesse cenário, você cria um novo recurso de hub WAN Virtual para se conectar a um hub WAN Virtual em Hong Kong, outras regiões de sua preferência, uma região onde você já tem recursos do Azure ou onde deseja se conectar.
Uma arquitetura de exemplo pode se parecer com o seguinte exemplo:
Neste exemplo, as filiais da China se conectam ao Azure Cloud China e umas às outras usando conexões VPN ou MPLS. As filiais que precisam estar conectadas aos Serviços Globais usam MPLS ou serviços baseados na Internet que estão conectados diretamente a Hong Kong. Se você quiser usar a Rota Expressa em Hong Kong e na outra região, precisará configurar o Alcance Global da Rota Expressa para interconectar ambos os Circuitos da Rota Expressa.
O Alcance Global da Rota Expressa não está disponível em algumas regiões. Se você precisa se interconectar com o Brasil ou a Índia, por exemplo, você precisa aproveitar os provedores do Cloud Exchange para fornecer os serviços de roteamento.
A figura abaixo mostra ambos os exemplos para este cenário.
Fuga segura da Internet para o Microsoft 365
Outra consideração é a segurança da rede e o registro em log para o ponto de entrada entre a China e o componente de backbone estabelecido pela WAN Virtual e o backbone do cliente. Na maioria dos casos, há uma necessidade de invadir a Internet em Hong Kong para chegar diretamente à Microsoft Edge Network e, com isso, aos Azure Front Door Servers usados para os Serviços do Microsoft 365.
Para ambos os cenários com a WAN Virtual, você aproveitaria o hub protegido da WAN Virtual do Azure. Usando o Gerenciador de Firewall do Azure, você pode alterar um hub WAN virtual regular para um hub seguro e, em seguida, implantar e gerenciar um Firewall do Azure dentro desse hub.
A figura a seguir mostra um exemplo desse cenário:
Arquitetura e fluxos de tráfego
Dependendo da sua escolha em relação à conexão com Hong Kong, a arquitetura geral pode mudar ligeiramente. Esta seção mostra três arquiteturas disponíveis em combinação diferente com VPN ou SDWAN e/ou ExpressRoute.
Todas essas opções usam o hub seguro da WAN Virtual do Azure para conectividade direta do Microsoft 365 em Hong Kong. Essas arquiteturas também dão suporte aos requisitos de conformidade para o Microsoft 365 Multi-Geo e mantêm esse tráfego perto do próximo local da Porta da Frente do Azure. Como resultado, também é uma melhoria para o uso do Microsoft 365 fora da China.
Ao usar a WAN Virtual do Azure junto com conexões com a Internet, cada conexão pode se beneficiar de serviços adicionais, como o Microsoft Azure Peering Services (MAPS). O MAPS foi construído para otimizar o tráfego que chega à Microsoft Global Network a partir de 3rd Party Internet Service Providers.
Opção 1: SDWAN ou VPN
Esta seção discute um design que usa SDWAN ou VPN para Hong Kong e outras filiais. Esta opção mostra o uso e o fluxo de tráfego ao usar a conexão pura com a Internet em ambos os sites do backbone da WAN Virtual. Neste caso, a conexão é trazida para Hong Kong usando acesso dedicado à Internet, ou uma solução SDWAN provedor ICP. Outras filiais também estão usando soluções de Internet pura ou SDWAN.
Nessa arquitetura, todos os sites são conectados à Rede Global da Microsoft usando VPN e WAN Virtual do Azure. O tráfego entre os sites e Hong Kong é transmitido através da Microsoft Network e só usa conexão regular com a Internet na última milha.
Opção 2: ExpressRoute e SDWAN ou VPN
Esta seção discute um design que usa a Rota Expressa em Hong Kong e outras Filiais com Filiais VPN/SDWAN. Esta opção mostra o uso de e ExpressRoute terminado em Hong Kong e outras filiais conectadas via SDWAN ou VPN. O ExpressRoute em Hong Kong está atualmente limitado a uma pequena lista de Fornecedores, que você pode encontrar na lista de Parceiros de Rota Expressa.
Há também opções para encerrar a Rota Expressa da China, por exemplo, na Coreia do Sul ou no Japão. Mas, dada a conformidade, regulamentação e latência, Hong Kong é atualmente a melhor escolha.
Opção 3: Apenas Rota Expressa
Esta seção discute um design em que a Rota Expressa é usada para Hong Kong e outras filiais. Esta opção mostra a interconexão usando a Rota Expressa em ambas as extremidades. Aqui você tem um fluxo de tráfego diferente do outro. O tráfego do Microsoft 365 fluirá para o hub seguro da WAN virtual do Azure e, de lá, para a Rede Microsoft Edge e a Internet.
O tráfego que vai para as filiais interconectadas ou delas para os locais na China seguirá uma abordagem diferente dentro dessa arquitetura. Atualmente, a WAN virtual não oferece suporte ao trânsito de Rota Expressa para Rota Expressa. O tráfego aproveitará o alcance global da Rota Expressa ou a interconexão da 3ª parte sem passar pelo hub WAN virtual. Ele fluirá diretamente de um Microsoft Enterprise Edge (MSEE) para outro.
Atualmente, o Alcance Global da Rota Expressa não está disponível em todos os países/regiões, mas você pode configurar uma solução usando a WAN Virtual do Azure.
Você pode, por exemplo, configurar uma Rota Expressa com o Emparelhamento da Microsoft e conectar um túnel VPN por meio desse emparelhamento à WAN Virtual do Azure. Agora você habilitou, novamente, o trânsito entre VPN e ExpressRoute sem alcance global e provedor e serviço de terceiros, como o Megaport Cloud.
Próximos passos
Veja os seguintes artigos para obter mais informações: