Interkoneksi dengan Tiongkok menggunakan Azure Virtual WAN dan Hub yang Aman

  • Artikel

Saat melihat industri otomotif, manufaktur, logistik, atau lembaga lain yang umum seperti kedutaan, sering kali ada pertanyaan tentang bagaimana meningkatkan interkoneksi dengan Tiongkok. Peningkatan tersebut sebagian besar relevan untuk menggunakan Cloud Services seperti Microsoft 365, Azure Global Services, atau cabang interkoneksi di dalam Tiongkok dengan backbone pelanggan.

Dalam sebagian besar kasus, pelanggan berjuang dengan latensi tinggi, bandwidth rendah, koneksi tidak stabil, dan biaya tinggi yang terhubung ke luar Tiongkok (misalnya, Eropa atau Amerika Serikat).

Alasan untuk perjuangan ini adalah "Great Firewall of China", yang melindungi bagian Tiongkok dari Internet dan menyaring lalu lintas ke Tiongkok. Hampir semua lalu lintas yang berjalan dari Republik Rakyat Tiongkok ke luar Tiongkok, kecuali zona administrasi khusus seperti Hong Kong dan Makau, melewati Great Firewall. Lalu lintas yang berjalan melalui Hong Kong dan Makau tidak mengenai Great Firewall dengan kekuatan penuh, itu ditangani oleh subset Great Firewall.

Diagram menunjukkan interkoneksi penyedia.

Dengan menggunakan Virtual WAN, pelanggan dapat membuat koneksi dengan performa yang lebih baik dan stabil ke Microsoft Cloud Services dan koneksi ke jaringan perusahaan tanpa melanggar undang-undang keamanan cyber Tiongkok.

Persyaratan dan alur kerja

Jika Anda ingin tetap mematuhi undang-undang keamanan cyber Tiongkok, Anda perlu memenuhi serangkaian kondisi tertentu.

Pertama, Anda perlu bekerja sama dengan jaringan dan ISP yang memiliki lisensi ICP (Internet Content Provider) untuk Tiongkok. Dalam kebanyakan kasus, Anda akan berakhir dengan salah satu penyedia berikut:

  • China Telecom Global Ltd.
  • China Mobile Ltd.
  • China Unicom Ltd.
  • PCCW Global Ltd.
  • Hong Kong Telecom Ltd.

Tergantung pada penyedia dan kebutuhan Anda, Anda sekarang perlu membeli salah satu layanan konektivitas jaringan berikut untuk menghubungkan cabang Anda di Tiongkok.

  • Jaringan MPLS/IPVPN
  • WAN yang Ditentukan Perangkat Lunak (SDWAN)
  • Akses Internet Khusus

Selanjutnya, Anda perlu setuju dengan penyedia tersebut untuk memberikan terobosan ke Microsoft Global Network dan Edge Network di Hong Kong, bukan di Beijing atau Shanghai. Dalam hal ini, Hong Kong sangat penting karena koneksi fisik dan lokasinya ke Tiongkok.

Meskipun sebagian besar pelanggan berpikir menggunakan Singapura untuk interkoneksi adalah kasus terbaik karena terlihat lebih dekat ke Tiongkok ketika melihat di peta, ini tidak benar. Saat Anda mengikuti peta serat jaringan, hampir semua koneksi jaringan melalui Beijing, Shanghai, dan Hong Kong. Hal ini membuat Hong Kong menjadi pilihan lokasi yang lebih baik untuk saling terhubung ke Tiongkok.

Tergantung pada penyedia, Anda mungkin mendapatkan penawaran layanan yang berbeda. Tabel di bawah menunjukkan contoh penyedia dan layanan yang ditawarkan, berdasarkan informasi pada saat artikel ini ditulis.

Layanan Contoh penyedia
Jaringan MPLS/IPVPN PCCW, China Telecom Global
SDWAN PCCW, China Telecom Global
Akses Internet Khusus PCCW, Hong Kong Telecom, China Mobil

Dengan penyedia, Anda dapat menyetujui salah satu dari dua solusi berikut untuk digunakan guna mencapai backbone global Microsoft:

  • Microsoft Azure ExpressRoute dihentikan di Hong Kong. Ini akan terjadi untuk penggunaan MPLS/IPVPN. Saat ini, satu-satunya penyedia lisensi ICP dengan ExpressRoute ke Hong Kong adalah China Telecom Global. Namun, mereka juga dapat berbicara dengan penyedia lain jika mereka memanfaatkan Penyedia Cloud Exchange seperti Megaport atau InterCloud. Untuk mengetahui informasi selengkapnya, lihat Penyedia konektivitas ExpressRoute.

  • Menggunakan Akses Internet Khusus langsung di salah satu Internet Exchange Point berikut, atau menggunakan interkoneksi jaringan privat.

Daftar berikut menunjukkan bahwa Internet Exchange dimungkinkan di Hong Kong:

  • AMS-IX Hong Kong
  • BBIX Hong Kong
  • Equinix Hong Kong
  • HKIX

Saat menggunakan konektor ini, hop BGP Anda berikutnya untuk Microsoft Services harus berupa Microsoft Autonomous System Number (AS#) 8075. Jika Anda menggunakan satu lokasi atau solusi SDWAN, itu akan menjadi pilihan koneksi.

Dengan perubahan saat ini mengenai interkoneksi antara SAR Tiongkok dan Hong Kong, sebagian besar penyedia jaringan ini membuat jembatan MPLS antara SAR Tiongkok dan Hong Kong.

Anda dapat melihat bahwa koneksi VPN situs ke situs di dalam Tiongkok diizinkan dan sebagian besar stabil. Hal yang sama berlaku untuk koneksi situs ke situs antara cabang di seluruh dunia. Penyedia sekarang membuat Agregasi VPN/SDWAN di kedua sisi dan jembatan melalui MPLS di antaranya.

Diagram menunjukkan jembatan MPLS Tiongkok.

Bagaimanapun, kami masih menyarankan Anda memiliki internet terobosan kedua dan reguler ke Tiongkok. Ini untuk membagi lalu lintas antara lalu lintas perusahaan ke layanan cloud seperti Microsoft 365 dan Azure, dan lalu lintas internet yang diatur oleh undang-undang.

Arsitektur jaringan yang sesuai di Tiongkok dapat terlihat seperti contoh berikut:

Diagram menunjukkan beberapa cabang.

Dalam contoh ini, dengan memiliki interkoneksi dengan Microsoft Global Network di Hong Kong, Anda sekarang dapat mulai memanfaatkan Azure Virtual WAN Global Transit Architecture dan layanan tambahan, seperti hub Virtual WAN aman Azure, untuk menggunakan layanan dan terhubung ke cabang dan pusat data Anda di luar Tiongkok.

Komunikasi hub ke hub

Di bagian ini, kami menggunakan komunikasi hub ke hub Virtual WAN untuk saling terhubung. Dalam skenario ini, Anda membuat sumber daya hub Virtual WAN baru untuk terhubung ke hub Virtual WAN di Hong Kong, wilayah lain yang Anda sukai, wilayah tempat Anda sudah memiliki sumber daya Azure, atau tempat Anda ingin terhubung.

Sampel arsitektur dapat terlihat seperti contoh berikut:

Diagram menunjukkan sampel WAN.

Dalam contoh ini, cabang Tiongkok terhubung ke Azure Cloud Tiongkok dan satu sama lain dengan menggunakan koneksi VPN atau MPLS. Cabang yang perlu terhubung ke Layanan Global menggunakan MPLS atau layanan berbasis Internet yang terhubung langsung ke Hong Kong. Jika Anda ingin menggunakan ExpressRoute di Hong Kong dan di wilayah lain, Anda perlu mengonfigurasi Jangkauan Global ExpressRoute untuk menghubungkan kedua Sirkuit ExpressRoute.

Jangkauan Global ExpressRoute tidak tersedia di beberapa wilayah. Jika Anda perlu terhubung dengan Brasil atau India, misalnya, Anda perlu memanfaatkan Penyedia Cloud Exchange untuk menyediakan layanan perutean.

Gambar di bawah menunjukkan kedua contoh untuk skenario ini.

Diagram menunjukkan Jangkauan Global.

Terobosan internet aman untuk Microsoft 365

Pertimbangan lain adalah keamanan jaringan dan pengelogan untuk titik masuk antara Tiongkok dan komponen backbone yang ditetapkan Virtual WAN, dan tulang punggung pelanggan. Dalam kebanyakan kasus, ada kebutuhan untuk terborosan ke Internet di Hong Kong untuk langsung mencapai Microsoft Edge Network dan, dengan itu, Server Azure Front Door yang digunakan untuk Layanan Microsoft 365.

Untuk kedua skenario dengan Virtual WAN, Anda akan memanfaatkan hub aman Azure Virtual WAN. Dengan menggunakan Azure Firewall Manager, Anda dapat mengubah hub Virtual WAN biasa menjadi hub aman, lalu menyebarkan dan mengelola Azure Firewall di dalam hub tersebut.

Gambar berikut menunjukkan contoh skenario ini:

Diagram menunjukkan terobosan Internet untuk lalu lintas layanan Web dan Microsoft.

Arsitektur dan arus lalu lintas

Tergantung pada pilihan Anda mengenai koneksi ke Hong Kong, arsitektur keseluruhan mungkin sedikit berubah. Bagian ini menunjukkan tiga arsitektur yang tersedia dalam kombinasi yang berbeda dengan VPN atau SDWAN dan/atau ExpressRoute.

Semua opsi ini menggunakan hub aman Azure Virtual WAN untuk konektivitas langsung Microsoft 365 di Hong Kong. Arsitektur ini juga mendukung persyaratan kepatuhan untuk Microsoft 365 Multi-Geo dan membuat lalu lintas tersebut tetap dekat dengan lokasi Azure Front Door berikutnya. Akibatnya, ini juga merupakan peningkatan untuk penggunaan Microsoft 365 dari Tiongkok.

Saat menggunakan Azure Virtual WAN bersama dengan koneksi Internet, setiap koneksi dapat memperoleh keuntungan dari layanan tambahan seperti Microsoft Azure Peering Services (MAPS). MAPS dibuat untuk mengoptimalkan lalu lintas yang datang ke Microsoft Global Network dari Penyedia Layanan Internet Pihak ke-3.

Opsi 1: SDWAN atau VPN

Bagian ini membahas desain yang menggunakan SDWAN atau VPN ke Hong Kong dan ke cabang lain. Opsi ini menunjukkan penggunaan dan arus lalu lintas saat menggunakan koneksi Internet murni di kedua situs backbone Virtual WAN. Dalam hal ini, koneksi dibawa ke Hong Kong menggunakan akses Internet khusus, atau solusi SDWAN penyedia ICP. Cabang lain juga menggunakan Internet murni atau Solusi SDWAN.

Diagram menunjukkan lalu lintas Tiongkok ke Hong Kong.

Dalam arsitektur ini, setiap situs tersambung ke Microsoft Global Network dengan menggunakan VPN dan Azure Virtual WAN. Lalu lintas antara situs dan Hong Kong ditransmisikan melalui Microsoft Network dan hanya menggunakan koneksi Internet reguler pada mil terakhir.

Opsi 2: ExpressRoute dan SDWAN atau VPN

Bagian ini membahas desain yang menggunakan ExpressRoute di Hong Kong dan Cabang lain dengan Cabang VPN/SDWAN. Opsi ini menunjukkan penggunaan dan ExpressRoute yang dihentikan di Hong Kong dan cabang lain yang terhubung melalui SDWAN atau VPN. ExpressRoute di Hong Kong saat ini terbatas pada daftar pendek Penyedia, yang dapat Anda temukan dalam daftar Express Route Partner.

Diagram menunjukkan lalu lintas Tiongkok ke Hong Kong - ExpressRoute.

Ada juga opsi untuk mengakhiri ExpressRoute dari Tiongkok, misalnya, di Korea Selatan atau Jepang. Tapi, mengingat kepatuhan, peraturan, dan latensi, Hong Kong saat ini adalah pilihan terbaik.

Opsi 3: Hanya ExpressRoute

Bagian ini membahas desain yang mana ExpressRoute digunakan untuk Hong Kong dan Cabang lainnya. Opsi ini menunjukkan interkoneksi menggunakan ExpressRoute di kedua ujungnya. Di sini, Anda memiliki arus lalu lintas yang berbeda dari yang lain. Lalu lintas Microsoft 365 akan mengalir ke hub aman Azure virtual WAN dan dari sana ke Microsoft Edge Network dan Internet.

Lalu lintas yang masuk ke cabang yang saling terhubung atau dari sana ke lokasi di Tiongkok akan mengikuti pendekatan yang berbeda dalam arsitektur itu. Saat ini virtual WAN tidak mendukung transit ExpressRoute ke ExpressRoute. Lalu lintas akan memanfaatkan ExpressRoute Global Reach atau interkoneksi Pihak ke-3 tanpa melewati WAN Hub virtual. Ini akan langsung mengalir dari satu Microsoft Enterprise Edge (MSEE) ke yang lain.

Diagram menunjukkan Jangkauan Global ExpressRoute.

Saat ini ExpressRoute Global Reach tidak tersedia di setiap negara/wilayah, tetapi Anda dapat mengonfigurasi solusi menggunakan Azure Virtual WAN.

Anda dapat, misalnya, mengonfigurasi ExpressRoute dengan Microsoft Peering dan menghubungkan terowongan VPN melalui peering ke Azure Virtual WAN. Sekarang Anda telah mengaktifkan, sekali lagi, transit antara VPN dan ExpressRoute tanpa Global Reach dan penyedia serta layanan pihak ke-3, seperti Megaport Cloud.

Langkah berikutnya

Lihat artikel berikut untuk mengetahui informasi selengkapnya: