Koppla samman med Kina med Hjälp av Azure Virtual WAN och Secure Hub
När man tittar på vanliga fordons-, tillverknings-, logistikindustrier eller andra institut som ambassader, finns det ofta frågan om hur man kan förbättra sammankopplingen med Kina. Dessa förbättringar är främst relevanta för att använda Cloud Services som Microsoft 365, Azure Global Services eller sammankoppla grenar i Kina med en kunds stamnät.
I de flesta fall kämpar kunderna med höga svarstider, låg bandbredd, instabil anslutning och höga kostnader för att ansluta till utanför Kina (till exempel Europa eller USA).
En anledning till dessa kamper är "Great Firewall of China", som skyddar den kinesiska delen av Internet och filtrerar trafiken till Kina. Nästan all trafik som går från Folkrepubliken Kina till utanför Kina, förutom de särskilda administrationszonerna som Hong Kong och Macau, passerar den stora brandväggen. Trafiken som går genom Hong Kong och Macau träffar inte den stora brandväggen i full kraft, den hanteras av en delmängd av den stora brandväggen.
Med hjälp av Virtual WAN kan en kund upprätta en mer högpresterande och stabil anslutning till Microsoft Cloud Services och en anslutning till företagets nätverk utan att bryta mot den kinesiska cybersäkerhetslagen.
Krav och arbetsflöde
Om du vill följa den kinesiska cybersäkerhetslagen måste du uppfylla en uppsättning vissa villkor.
Först måste du arbeta tillsammans med ett nätverk och internetleverantören som äger en ICP-licens (Internet Content Provider) för Kina. I de flesta fall får du en av följande leverantörer:
- China Telecom Global Ltd.
- China Mobile Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
Beroende på leverantören och dina behov måste du nu köpa någon av följande nätverksanslutningstjänster för att ansluta dina filialer inom Kina.
- Ett MPLS/IPVPN-nätverk
- Ett programvarudefinierat WAN (SDWAN)
- Dedikerad Internetåtkomst
Därefter måste du komma överens med den leverantören för att ge en breakout till Microsoft Global Network och dess Edge Network i Hong Kong, inte i Peking eller Shanghai. I detta fall är Hongkong mycket viktigt på grund av dess fysiska anslutning och plats till Kina.
Även om de flesta kunder tror att användning av Singapore för sammankoppling är det bästa fallet eftersom det ser närmare ut till Kina när de tittar på kartan, är detta inte sant. När du följer nätverksfiberkartor går nästan alla nätverksanslutningar genom Peking, Shanghai och Hong Kong. Detta gör Hongkong till ett bättre platsval för att ansluta till Kina.
Beroende på leverantören kan du få olika tjänsterbjudanden. Tabellen nedan visar ett exempel på leverantörer och den tjänst de erbjuder, baserat på information när den här artikeln skrevs.
Tjänst | Providerexempel |
---|---|
MPLS/IPVPN-nätverk | PCCW, China Telecom Global |
SDWAN | PCCW, China Telecom Global |
Dedikerad Internetåtkomst | PCCW, Hong Kong Telecom, China Mobil |
Med din leverantör kan du komma överens om vilka av följande två lösningar som ska användas för att nå Microsofts globala stamnät:
Få en Microsoft Azure ExpressRoute avslutad i Hong Kong. Det skulle vara fallet för användning av MPLS/IPVPN. För närvarande är endast den enda ICP-licensleverantören med ExpressRoute till Hong Kong China Telecom Global. De kan dock också prata med de andra leverantörerna om de utnyttjar Cloud Exchange-leverantörer som Megaport eller InterCloud. Mer information finns i ExpressRoute-anslutningsleverantörer.
Använda en dedikerad Internetåtkomst direkt på någon av följande Internet Exchange-platser eller använda en privat nätverksanslutning.
I följande lista visas internetbörser som är möjliga i Hongkong:
- AMS-IX Hongkong
- BBIX Hongkong
- Equinix Hongkong
- HKIX
När du använder den här anslutningen måste nästa BGP-hopp för Microsoft Services vara Microsoft Autonomous System Number (AS#) 8075. Om du använder en enda plats eller SDWAN-lösning är det valet av anslutning.
Med de nuvarande förändringarna när det gäller sammankopplingar mellan Kina och Hongkong SAR bygger de flesta av dessa nätverksleverantörer en MPLS-bro mellan Kina och Hong Kong SAR.
Du kan se att plats-till-plats-VPN-anslutningar i Kina är tillåtna och mestadels stabila. Samma sak gäller för plats-till-plats-anslutningar mellan grenar i resten av världen. Leverantörer skapar nu en VPN/SDWAN-aggregering på båda sidor och överbryggar via MPLS mellan dem.
Hur som helst, vi rekommenderar fortfarande att du har en andra och regelbunden internet breakout i Kina. Det här är för att dela upp trafiken mellan företagstrafik till molntjänster som Microsoft 365 och Azure och enligt lag reglerad Internettrafik.
En kompatibel nätverksarkitektur i Kina kan se ut som i följande exempel:
I det här exemplet kan du nu börja använda Azure Virtual WAN Global Transit Architecture och ytterligare tjänster, till exempel Azure Secure Virtual WAN Hub, för att använda tjänster och ansluta till dina grenar och datacenter utanför Kina.
Kommunikation från hubb till hubb
I det här avsnittet använder vi Virtual WAN hubb-till-hubb-kommunikation för att sammankoppla. I det här scenariot skapar du en ny Virtual WAN hubbresurs för att ansluta till en Virtual WAN hubb i Hong Kong, andra regioner som du föredrar, en region där du redan har Azure-resurser eller där du vill ansluta.
En exempelarkitektur kan se ut som i följande exempel:
I det här exemplet ansluter Kina-grenarna till Azure Cloud China och varandra med hjälp av VPN- eller MPLS-anslutningar. Grenar som måste vara anslutna till Globala tjänster använder MPLS eller Internetbaserade tjänster som är anslutna direkt till Hong Kong. Om du vill använda ExpressRoute i Hong Kong och i den andra regionen måste du konfigurera ExpressRoute Global Reach för att sammankoppla båda ExpressRoute-kretsarna.
ExpressRoute Global Reach är inte tillgängligt i vissa regioner. Om du till exempel behöver ansluta till Brasilien eller Indien måste du använda Cloud Exchange-leverantörer för att tillhandahålla routningstjänsterna.
Bilden nedan visar båda exemplen för det här scenariot.
Säker internetsession för Microsoft 365
Ett annat övervägande är nätverkssäkerhet och loggning för startpunkten mellan Kina och Virtual WAN etablerade stamnätskomponenten och kundens stamnät. I de flesta fall finns det ett behov av att ansluta till Internet i Hong Kong för att direkt nå Microsoft Edge-nätverket och därmed de Azure Front Door-servrar som används för Microsoft 365-tjänster.
I båda scenarierna med Virtual WAN använder du Azure Virtual WAN skyddad hubb. Med hjälp av Azure Firewall Manager kan du ändra en vanlig Virtual WAN hubb till en skyddad hubb och sedan distribuera och hantera en Azure Firewall i hubben.
Följande bild visar ett exempel på det här scenariot:
Arkitektur och trafikflöden
Beroende på ditt val när det gäller anslutningen till Hongkong kan den övergripande arkitekturen ändras något. Det här avsnittet visar tre tillgängliga arkitekturer i olika kombinationer med VPN eller SDWAN och/eller ExpressRoute.
Alla dessa alternativ använder Azure Virtual WAN säkra hubb för direkt Microsoft 365-anslutning i Hong Kong. Dessa arkitekturer stöder också efterlevnadskraven för Microsoft 365 Multi-Geo och håller trafiken nära nästa Azure Front Door-plats. Därför är det också en förbättring av användningen av Microsoft 365 från Kina.
När du använder Azure Virtual WAN tillsammans med Internetanslutningar kan alla anslutningar dra nytta av ytterligare tjänster som Microsoft Azure Peering Services (MAPS). MAPS har skapats för att optimera trafik som kommer till Microsofts globala nätverk från tredjepartsleverantörer av Internettjänster.
Alternativ 1: SDWAN eller VPN
I det här avsnittet beskrivs en design som använder SDWAN eller VPN till Hong Kong och andra grenar. Det här alternativet visar användnings- och trafikflödet när du använder en ren Internetanslutning på båda platserna i Virtual WAN stamnät. I det här fallet kommer anslutningen till Hong Kong med dedikerad Internetåtkomst eller en ICP-provider SDWAN-lösning. Andra grenar använder endast Internet eller SDWAN-lösningar.
I den här arkitekturen är varje plats ansluten till Microsofts globala nätverk med hjälp av VPN och Azure Virtual WAN. Trafiken mellan platserna och Hong Kong överförs genom Microsoft Network och använder endast vanlig Internetanslutning på den sista milen.
Alternativ 2: ExpressRoute och SDWAN eller VPN
I det här avsnittet beskrivs en design som använder ExpressRoute i Hong Kong och andra grenar med VPN/SDWAN-grenar. Det här alternativet visar användningen av och ExpressRoute som avslutats i Hong Kong och andra grenar som är anslutna via SDWAN eller VPN. ExpressRoute i Hong Kong är för närvarande begränsat till en kort lista över leverantörer, som du hittar i listan över Express Route-partner.
Det finns också alternativ för att avsluta ExpressRoute från Kina, till exempel i Sydkorea eller Japan. Men med tanke på efterlevnad, reglering och svarstid är Hong Kong för närvarande det bästa valet.
Alternativ 3: Endast ExpressRoute
I det här avsnittet beskrivs en design där ExpressRoute används för Hong Kong och andra grenar. Det här alternativet visar anslutningen med ExpressRoute i båda ändar. Här har du ett annat trafikflöde än det andra. Microsoft 365-trafiken flödar till den Azure Virtual WAN-skyddade hubben och därifrån till Microsoft Edge-nätverket och Internet.
Trafiken som går till de sammankopplade grenarna eller från dem till platserna i Kina följer en annan metod i den arkitekturen. Virtual WAN stöder för närvarande inte ExpressRoute till ExpressRoute-överföring. Trafiken utnyttjar ExpressRoute Global Reach eller den tredje partens sammanlänkning utan att skicka den virtuella WAN-hubben. Det flödar direkt från en Microsoft Enterprise Edge (MSEE) till en annan.
ExpressRoute Global Reach är för närvarande inte tillgängligt i alla länder/regioner, men du kan konfigurera en lösning med hjälp av Azure Virtual WAN.
Du kan till exempel konfigurera en ExpressRoute med Microsoft-peering och ansluta en VPN-tunnel via den peeringen till Azure Virtual WAN. Nu har du aktiverat överföringen mellan VPN och ExpressRoute utan Global Reach och tredjepartsleverantör och tjänst, till exempel Megaport Cloud.
Nästa steg
Mer information finns i följande artiklar: