Megosztás a következőn keresztül:

Csatlakozás Kínával az Azure Virtual WAN és a Secure Hub használatával

  • Cikk

Amikor a közös autóipari, gyártási, logisztikai iparágakat vagy más intézeteket, például a nagykövetségeket vizsgáljuk, gyakran felmerül a kérdés, hogyan javítható a Kínával való összekapcsolás. Ezek a fejlesztések leginkább az olyan Cloud Services használata szempontjából fontosak, mint a Microsoft 365, az Azure Global Services, vagy a Kínán belüli ágak összekapcsolása az ügyfél gerincével.

A legtöbb esetben az ügyfelek nagy késéssel, alacsony sávszélességgel, instabil kapcsolattal és a Kínán kívüli (például Európához vagy a Egyesült Államok) kapcsolódó magas költségekkel küszködnek.

A harcok egyik oka a "Kínai nagy tűzfal", amely megvédi az internet kínai részét, és kiszűri a Kínába irányuló forgalmat. Szinte az összes forgalom Kínai Népköztársaság kínán kívülre halad, kivéve a különleges adminisztrációs zónákat, mint Hongkong és Makaó, áthalad a Nagy tűzfalon. A Hongkongon és Makaón áthaladó forgalom nem éri el teljes erővel a Nagy tűzfalat, hanem a Nagy tűzfal egy részhalmaza kezeli.

Az ábrán a szolgáltatói kapcsolat látható.

A Virtual WAN használatával az ügyfél a kínai kiberbiztonsági törvény megszegése nélkül is képes nagyobb teljesítményű és stabilabb kapcsolatot létesíteni a Microsoft Cloud Services és a vállalati hálózattal.

Követelmények és munkafolyamat

Ha meg szeretne felelni a kínai kiberbiztonsági törvénynek, meg kell felelnie bizonyos feltételeknek.

Először is együtt kell működnie egy hálózattal és egy internetszolgáltatóval, amely ICP-licenccel (internettartalom-szolgáltató) rendelkezik Kínához. A legtöbb esetben a következő szolgáltatók egyikével fog végződni:

  • China Telecom Global Ltd.
  • China Mobile Ltd.
  • China Unicom Ltd.
  • PCCW Global Ltd.
  • Hong Kong Telecom Ltd.

A szolgáltatótól és az igényeitől függően most az alábbi hálózati kapcsolati szolgáltatások egyikét kell megvásárolnia az ágak Kínán belüli összekapcsolásához.

  • MPLS-/IPVPN-hálózat
  • Szoftveralapú WAN (SDWAN)
  • Dedikált internet-hozzáférés

Ezután meg kell egyeznie ezzel a szolgáltatóval, hogy a Microsoft Global Network és annak Edge Network szolgáltatását ne Pekingben vagy Sanghajban, hanem Hongkongban adja meg. Ebben az esetben Hongkong nagyon fontos a Kínához való fizikai kapcsolata és elhelyezkedése miatt.

Bár a legtöbb ügyfél úgy gondolja, hogy a szingapúri kapcsolat a legjobb eset, mert úgy néz ki, közelebb Kínához, amikor a térképen, ez nem igaz. A hálózati száltérképek követésekor szinte minden hálózati kapcsolat Pekingen, Sanghajon és Hongkongon keresztül halad át. Így Hongkong jobb helyválasztást tesz lehetővé a Kínához való csatlakozáshoz.

A szolgáltatótól függően különböző szolgáltatásajánlatokat kaphat. Az alábbi táblázat egy példát mutat be a szolgáltatókra és az általuk kínált szolgáltatásokra a cikk írásának időpontjában található információk alapján.

Szolgáltatás Szolgáltatói példák
MPLS/IPVPN-hálózat PCCW, China Telecom Global
SDWAN PCCW, China Telecom Global
Dedikált internet-hozzáférés PCCW, Hong Kong Telecom, China Mobil

A szolgáltatójával megállapodhat abban, hogy az alábbi két megoldás közül melyiket használja a Microsoft globális gerinchálózatának eléréséhez:

  • A Microsoft Azure ExpressRoute leállása Hongkongban. Ez az MPLS/IPVPN használata esetén lenne így. Jelenleg csak a China Telecom Global az egyetlen ExpressRoute-tal rendelkező ICP-licencszolgáltató Hongkongba. A többi szolgáltatóval azonban akkor is beszélhetnek, ha olyan felhőszolgáltatót használnak, mint a Megaport vagy az InterCloud. További információ: ExpressRoute-kapcsolatszolgáltatók.

  • Dedikált internet-hozzáférés használata közvetlenül az alábbi internetes Exchange-pontok egyikén, vagy privát hálózat összekapcsolása.

Az alábbi lista a Hongkongban lehetséges internetes cseréket mutatja be:

  • AMS-IX Hongkong
  • BBIX Hongkong
  • Equinix Hong Kong
  • HKIX

A csatlakozás használatakor a Microsoft Services következő BGP-ugrásának a Microsoft Autonomous System Number (AS#) 8075-ös számának kell lennie. Ha egyetlen helyet vagy SDWAN-megoldást használ, az a kapcsolat kiválasztása.

A Kína és Hongkong KKT közötti kapcsolatokra vonatkozó jelenlegi változások miatt a legtöbb hálózati szolgáltató egy MPLS-hidat épít Kína és Hongkong KKT között.

Láthatja, hogy a helyek közötti VPN-kapcsolatok Kínán belül engedélyezettek, és többnyire stabilak. Ugyanez vonatkozik a világ többi részén található ágak közötti helyek közötti kapcsolatokra is. A szolgáltatók mostantól létrehoznak egy VPN/SDWAN Aggregációt mindkét oldalon, és hidat létesítenek közöttük AZ MPLS-en keresztül.

Az ábrán a Kínai MPLS-híd látható.

Akárhogy is, továbbra is azt javasoljuk, hogy van egy második és rendszeres internetes kitörés Kínába. Ez a felhőszolgáltatások, például a Microsoft 365 és az Azure nagyvállalati forgalmának, valamint a törvény által szabályozott internetes forgalomnak a felosztása.

A kínán belüli megfelelő hálózati architektúra a következő példához hasonlóan nézhet ki:

Az ábrán több ág látható.

Ebben a példában a Hongkongban található Microsoft Globális Hálózattal való kapcsolat létesítésével megkezdheti az Azure Virtual WAN globális átvitel architektúrájának és további szolgáltatásainak (például az Azure biztonságos Virtual WAN központnak) a használatát, valamint a Kínán kívüli ágakhoz és adatközpontokhoz való csatlakozást.

Központ–központ közötti kommunikáció

Ebben a szakaszban Virtual WAN hub-központ közötti kommunikációt használjuk az összekapcsoláshoz. Ebben a forgatókönyvben egy új Virtual WAN huberőforrást hoz létre, amely egy hongkongi Virtual WAN központhoz csatlakozik, más olyan régiókhoz, ahol már rendelkezik Azure-erőforrásokkal, vagy amelyekhez csatlakozni szeretne.

A mintaarchitektúra a következő példához hasonlóan nézhet ki:

Az ábrán a WAN minta látható.

Ebben a példában a kínai ágak VPN- vagy MPLS-kapcsolatokkal csatlakoznak az Azure Cloud China-hoz és egymáshoz. A globális szolgáltatásokhoz csatlakoztatni kívánt ágak MPLS- vagy internetalapú szolgáltatásokat használnak, amelyek közvetlenül Hongkonghoz csatlakoznak. Ha Az ExpressRoute-ot Hongkongban és a másik régióban szeretné használni, konfigurálnia kell az ExpressRoute Global Reachet , hogy mindkét ExpressRoute-kapcsolatcsoportot összekapcsolja.

Az ExpressRoute Global Reach egyes régiókban nem érhető el. Ha például Brazíliával vagy Indiával kell kapcsolatot létesítenie, az útválasztási szolgáltatások biztosításához a Cloud Exchange-szolgáltatókat kell használnia.

Az alábbi ábrán mindkét példa látható erre a forgatókönyvre.

Az ábrán a Global Reach látható.

Biztonságos internetkitörés a Microsoft 365-höz

Egy másik szempont a hálózatbiztonság és a naplózás a Kína és a Virtual WAN létrehozott gerincösszetevő és az ügyfél gerince közötti belépési pont esetében. A legtöbb esetben szükség van a hongkongi internetre, hogy közvetlenül elérhesse a Microsoft Edge-hálózatot, és ezzel együtt a Microsoft 365-szolgáltatásokhoz használt Azure Front Door-kiszolgálókat.

A Virtual WAN mindkét esetben az Azure Virtual WAN biztonságos központot használhatja. A Azure Firewall Managerrel a normál Virtual WAN központot biztonságos központtá módosíthatja, majd üzembe helyezhet és kezelhet egy Azure Firewall a központban.

Az alábbi ábrán egy példa látható erre a forgatókönyvre:

Az ábrán a webes és a Microsoft-szolgáltatások forgalmának internetes kitörése látható.

Architektúra és forgalmi folyamatok

Attól függően, hogy milyen kapcsolatot választott a Hongkonggal, a teljes architektúra kissé megváltozhat. Ez a szakasz három elérhető architektúrát mutat be a VPN, az SDWAN és/vagy az ExpressRoute különböző kombinációiban.

Mindezek a lehetőségek az Azure Virtual WAN biztonságos központot használják a Közvetlen Microsoft 365-kapcsolatokhoz Hongkongban. Ezek az architektúrák a Microsoft 365 Multi-Geo megfelelőségi követelményeit is támogatják, és a forgalmat a következő Azure Front Door-hely közelében tartják. Ennek eredményeképpen a Kínából származó Microsoft 365 használata is javul.

Ha az Azure Virtual WAN internetkapcsolattal együtt használja, minden kapcsolat további szolgáltatások, például a Microsoft Azure Társviszony-létesítési szolgáltatások (MAPS) előnyeit élvezheti. A MAPS úgy lett létrehozva, hogy optimalizálja a Microsoft globális hálózatára érkező forgalmat külső internetszolgáltatóktól.

1. lehetőség: SDWAN vagy VPN

Ez a szakasz az SDWAN-t vagy VPN-t Hongkongra és más ágakra használó kialakítást ismerteti. Ez a beállítás a tiszta internetkapcsolat használatakor a Virtual WAN gerinc mindkét oldalán megjeleníti a használatot és a forgalom áramlását. Ebben az esetben a kapcsolat Hong Kongba kerül dedikált internet-hozzáféréssel vagy ICP-szolgáltató SDWAN-megoldással. Más ágak tiszta internetet vagy SDWAN-megoldásokat is használnak.

Az ábrán Kína és Hongkong között a forgalom látható.

Ebben az architektúrában minden webhely VPN és Azure Virtual WAN használatával csatlakozik a Microsoft globális hálózatához. A helyek és Hongkong közötti forgalom a Microsoft hálózatán keresztül továbbítja, és csak az utolsó mérföldben használ rendszeres internetkapcsolatot.

2. lehetőség: ExpressRoute és SDWAN vagy VPN

Ez a szakasz az ExpressRoute-ot Hongkongban és más, VPN/SDWAN-ágakkal rendelkező ágakat használó kialakítást ismerteti. Ez a beállítás a Hongkongban leállított ExpressRoute és más, SDWAN-on vagy VPN-en keresztül csatlakoztatott ágak használatát mutatja. A hongkongi ExpressRoute jelenleg a szolgáltatók rövid listájára korlátozódik, amelyet az Express Route-partnerek listájában talál.

Az ábrán Kína és Hongkong között az ExpressRoute forgalom látható.

Az ExpressRoute kínából történő leállítására is van lehetőség, például Dél-Koreában vagy Japánban. A megfelelőség, a szabályozás és a késés miatt azonban jelenleg Hongkong a legjobb választás.

3. lehetőség: Csak ExpressRoute

Ez a szakasz azt a kialakítást ismerteti, amelyben az ExpressRoute hongkongi és más ágakhoz használatos. Ez a beállítás mindkét végén megjeleníti az ExpressRoute-ot használó összekapcsolásokat. Itt más forgalom folyik, mint a másik. A Microsoft 365-forgalom az Azure virtual WAN által védett központba, onnan pedig a Microsoft Edge-hálózatra és az internetre áramlik.

Az összekapcsolt ágakra vagy ezekről a kínai helyekre érkező forgalom az architektúra egy másik megközelítését fogja követni. A virtuális WAN jelenleg nem támogatja az ExpressRoute–ExpressRoute-átvitelt. A forgalom az ExpressRoute Global Reachet vagy a külső féltől származó összekapcsolást fogja használni a virtuális WAN-központ átadása nélkül. Közvetlenül az egyik Microsoft Enterprise Edge-ből (MSEE) egy másikba áramlik.

Az ábrán az ExpressRoute Global Reach látható.

Az ExpressRoute Global Reach jelenleg nem érhető el minden országban/régióban, de az Azure Virtual WAN használatával konfigurálhat megoldást.

Konfigurálhat például egy ExpressRoute-ot a Microsoft Társviszony-létesítéssel, és csatlakoztathat egy VPN-alagutat ezen a társviszony-létesítésen keresztül az Azure Virtual WAN. Most ismét engedélyezte a VPN és az ExpressRoute közötti átvitelt a Global Reach és külső szolgáltató és szolgáltatás, például a Megaport Cloud nélkül.

Következő lépések

További információért tekintse meg az alábbi cikkeket: