Interkoneksi dengan Tiongkok menggunakan Azure Virtual WAN dan Hub yang Aman
Saat melihat industri otomotif, manufaktur, logistik, atau lembaga lain yang umum seperti kedutaan, sering kali ada pertanyaan tentang bagaimana meningkatkan interkoneksi dengan Tiongkok. Peningkatan tersebut sebagian besar relevan untuk menggunakan Cloud Services seperti Microsoft 365, Azure Global Services, atau cabang interkoneksi di dalam Tiongkok dengan backbone pelanggan.
Dalam sebagian besar kasus, pelanggan berjuang dengan latensi tinggi, bandwidth rendah, koneksi tidak stabil, dan biaya tinggi yang terhubung ke luar Tiongkok (misalnya, Eropa atau Amerika Serikat).
Alasan untuk perjuangan ini adalah "Great Firewall of China", yang melindungi bagian Tiongkok dari Internet dan menyaring lalu lintas ke Tiongkok. Hampir semua lalu lintas yang berjalan dari Republik Rakyat Tiongkok ke luar Tiongkok, kecuali zona administrasi khusus seperti Hong Kong dan Makau, melewati Great Firewall. Lalu lintas yang berjalan melalui Hong Kong dan Makau tidak mengenai Great Firewall dengan kekuatan penuh, itu ditangani oleh subset Great Firewall.
Dengan menggunakan Virtual WAN, pelanggan dapat membuat koneksi dengan performa yang lebih baik dan stabil ke Microsoft Cloud Services dan koneksi ke jaringan perusahaan tanpa melanggar undang-undang keamanan cyber Tiongkok.
Persyaratan dan alur kerja
Jika Anda ingin tetap mematuhi undang-undang keamanan cyber Tiongkok, Anda perlu memenuhi serangkaian kondisi tertentu.
Pertama, Anda perlu bekerja sama dengan jaringan dan ISP yang memiliki lisensi ICP (Internet Content Provider) untuk Tiongkok. Dalam kebanyakan kasus, Anda akan berakhir dengan salah satu penyedia berikut:
- China Telecom Global Ltd.
- China Mobile Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
Tergantung pada penyedia dan kebutuhan Anda, Anda sekarang perlu membeli salah satu layanan konektivitas jaringan berikut untuk menghubungkan cabang Anda di Tiongkok.
- Jaringan MPLS/IPVPN
- WAN yang Ditentukan Perangkat Lunak (SDWAN)
- Akses Internet Khusus
Selanjutnya, Anda perlu setuju dengan penyedia tersebut untuk memberikan terobosan ke Microsoft Global Network dan Edge Network di Hong Kong, bukan di Beijing atau Shanghai. Dalam hal ini, Hong Kong sangat penting karena koneksi fisik dan lokasinya ke Tiongkok.
Meskipun sebagian besar pelanggan berpikir menggunakan Singapura untuk interkoneksi adalah kasus terbaik karena terlihat lebih dekat ke Tiongkok ketika melihat di peta, ini tidak benar. Saat Anda mengikuti peta serat jaringan, hampir semua koneksi jaringan melalui Beijing, Shanghai, dan Hong Kong. Hal ini membuat Hong Kong menjadi pilihan lokasi yang lebih baik untuk saling terhubung ke Tiongkok.
Tergantung pada penyedia, Anda mungkin mendapatkan penawaran layanan yang berbeda. Tabel di bawah menunjukkan contoh penyedia dan layanan yang ditawarkan, berdasarkan informasi pada saat artikel ini ditulis.
Layanan | Contoh penyedia |
---|---|
Jaringan MPLS/IPVPN | PCCW, China Telecom Global |
SDWAN | PCCW, China Telecom Global |
Akses Internet Khusus | PCCW, Hong Kong Telecom, China Mobil |
Dengan penyedia, Anda dapat menyetujui salah satu dari dua solusi berikut untuk digunakan guna mencapai backbone global Microsoft:
Microsoft Azure ExpressRoute dihentikan di Hong Kong. Ini akan terjadi untuk penggunaan MPLS/IPVPN. Saat ini, satu-satunya penyedia lisensi ICP dengan ExpressRoute ke Hong Kong adalah China Telecom Global. Namun, mereka juga dapat berbicara dengan penyedia lain jika mereka memanfaatkan Penyedia Cloud Exchange seperti Megaport atau InterCloud. Untuk mengetahui informasi selengkapnya, lihat Penyedia konektivitas ExpressRoute.
Menggunakan Akses Internet Khusus langsung di salah satu Internet Exchange Point berikut, atau menggunakan interkoneksi jaringan privat.
Daftar berikut menunjukkan bahwa Internet Exchange dimungkinkan di Hong Kong:
- AMS-IX Hong Kong
- BBIX Hong Kong
- Equinix Hong Kong
- HKIX
Saat menggunakan konektor ini, hop BGP Anda berikutnya untuk Microsoft Services harus berupa Microsoft Autonomous System Number (AS#) 8075. Jika Anda menggunakan satu lokasi atau solusi SDWAN, itu akan menjadi pilihan koneksi.
Dengan perubahan saat ini mengenai interkoneksi antara SAR Tiongkok dan Hong Kong, sebagian besar penyedia jaringan ini membuat jembatan MPLS antara SAR Tiongkok dan Hong Kong.
Anda dapat melihat bahwa koneksi VPN situs ke situs di dalam Tiongkok diizinkan dan sebagian besar stabil. Hal yang sama berlaku untuk koneksi situs ke situs antara cabang di seluruh dunia. Penyedia sekarang membuat Agregasi VPN/SDWAN di kedua sisi dan jembatan melalui MPLS di antaranya.
Bagaimanapun, kami masih menyarankan Anda memiliki internet terobosan kedua dan reguler ke Tiongkok. Ini untuk membagi lalu lintas antara lalu lintas perusahaan ke layanan cloud seperti Microsoft 365 dan Azure, dan lalu lintas internet yang diatur oleh undang-undang.
Arsitektur jaringan yang sesuai di Tiongkok dapat terlihat seperti contoh berikut:
Dalam contoh ini, dengan memiliki interkoneksi dengan Microsoft Global Network di Hong Kong, Anda sekarang dapat mulai memanfaatkan Azure Virtual WAN Global Transit Architecture dan layanan tambahan, seperti hub Virtual WAN aman Azure, untuk menggunakan layanan dan terhubung ke cabang dan pusat data Anda di luar Tiongkok.
Komunikasi hub ke hub
Di bagian ini, kami menggunakan komunikasi hub ke hub Virtual WAN untuk saling terhubung. Dalam skenario ini, Anda membuat sumber daya hub Virtual WAN baru untuk terhubung ke hub Virtual WAN di Hong Kong, wilayah lain yang Anda sukai, wilayah tempat Anda sudah memiliki sumber daya Azure, atau tempat Anda ingin terhubung.
Sampel arsitektur dapat terlihat seperti contoh berikut:
Dalam contoh ini, cabang Tiongkok terhubung ke Azure Cloud Tiongkok dan satu sama lain dengan menggunakan koneksi VPN atau MPLS. Cabang yang perlu terhubung ke Layanan Global menggunakan MPLS atau layanan berbasis Internet yang terhubung langsung ke Hong Kong. Jika Anda ingin menggunakan ExpressRoute di Hong Kong dan di wilayah lain, Anda perlu mengonfigurasi Jangkauan Global ExpressRoute untuk menghubungkan kedua Sirkuit ExpressRoute.
Jangkauan Global ExpressRoute tidak tersedia di beberapa wilayah. Jika Anda perlu terhubung dengan Brasil atau India, misalnya, Anda perlu memanfaatkan Penyedia Cloud Exchange untuk menyediakan layanan perutean.
Gambar di bawah menunjukkan kedua contoh untuk skenario ini.
Terobosan internet aman untuk Microsoft 365
Pertimbangan lain adalah keamanan jaringan dan pengelogan untuk titik masuk antara Tiongkok dan komponen backbone yang ditetapkan Virtual WAN, dan tulang punggung pelanggan. Dalam kebanyakan kasus, ada kebutuhan untuk terborosan ke Internet di Hong Kong untuk langsung mencapai Microsoft Edge Network dan, dengan itu, Server Azure Front Door yang digunakan untuk Layanan Microsoft 365.
Untuk kedua skenario dengan Virtual WAN, Anda akan memanfaatkan hub aman Azure Virtual WAN. Dengan menggunakan Azure Firewall Manager, Anda dapat mengubah hub Virtual WAN biasa menjadi hub aman, lalu menyebarkan dan mengelola Azure Firewall di dalam hub tersebut.
Gambar berikut menunjukkan contoh skenario ini:
Arsitektur dan arus lalu lintas
Tergantung pada pilihan Anda mengenai koneksi ke Hong Kong, arsitektur keseluruhan mungkin sedikit berubah. Bagian ini menunjukkan tiga arsitektur yang tersedia dalam kombinasi yang berbeda dengan VPN atau SDWAN dan/atau ExpressRoute.
Semua opsi ini menggunakan hub aman Azure Virtual WAN untuk konektivitas langsung Microsoft 365 di Hong Kong. Arsitektur ini juga mendukung persyaratan kepatuhan untuk Microsoft 365 Multi-Geo dan membuat lalu lintas tersebut tetap dekat dengan lokasi Azure Front Door berikutnya. Akibatnya, ini juga merupakan peningkatan untuk penggunaan Microsoft 365 dari Tiongkok.
Saat menggunakan Azure Virtual WAN bersama dengan koneksi Internet, setiap koneksi dapat memperoleh keuntungan dari layanan tambahan seperti Microsoft Azure Peering Services (MAPS). MAPS dibuat untuk mengoptimalkan lalu lintas yang datang ke Microsoft Global Network dari Penyedia Layanan Internet Pihak ke-3.
Opsi 1: SDWAN atau VPN
Bagian ini membahas desain yang menggunakan SDWAN atau VPN ke Hong Kong dan ke cabang lain. Opsi ini menunjukkan penggunaan dan arus lalu lintas saat menggunakan koneksi Internet murni di kedua situs backbone Virtual WAN. Dalam hal ini, koneksi dibawa ke Hong Kong menggunakan akses Internet khusus, atau solusi SDWAN penyedia ICP. Cabang lain juga menggunakan Internet murni atau Solusi SDWAN.
Dalam arsitektur ini, setiap situs tersambung ke Microsoft Global Network dengan menggunakan VPN dan Azure Virtual WAN. Lalu lintas antara situs dan Hong Kong ditransmisikan melalui Microsoft Network dan hanya menggunakan koneksi Internet reguler pada mil terakhir.
Opsi 2: ExpressRoute dan SDWAN atau VPN
Bagian ini membahas desain yang menggunakan ExpressRoute di Hong Kong dan Cabang lain dengan Cabang VPN/SDWAN. Opsi ini menunjukkan penggunaan dan ExpressRoute yang dihentikan di Hong Kong dan cabang lain yang terhubung melalui SDWAN atau VPN. ExpressRoute di Hong Kong saat ini terbatas pada daftar pendek Penyedia, yang dapat Anda temukan dalam daftar Express Route Partner.
Ada juga opsi untuk mengakhiri ExpressRoute dari Tiongkok, misalnya, di Korea Selatan atau Jepang. Tapi, mengingat kepatuhan, peraturan, dan latensi, Hong Kong saat ini adalah pilihan terbaik.
Opsi 3: Hanya ExpressRoute
Bagian ini membahas desain yang mana ExpressRoute digunakan untuk Hong Kong dan Cabang lainnya. Opsi ini menunjukkan interkoneksi menggunakan ExpressRoute di kedua ujungnya. Di sini, Anda memiliki arus lalu lintas yang berbeda dari yang lain. Lalu lintas Microsoft 365 akan mengalir ke hub aman Azure virtual WAN dan dari sana ke Microsoft Edge Network dan Internet.
Lalu lintas yang masuk ke cabang yang saling terhubung atau dari sana ke lokasi di Tiongkok akan mengikuti pendekatan yang berbeda dalam arsitektur itu. Saat ini virtual WAN tidak mendukung transit ExpressRoute ke ExpressRoute. Lalu lintas akan memanfaatkan ExpressRoute Global Reach atau interkoneksi Pihak ke-3 tanpa melewati WAN Hub virtual. Ini akan langsung mengalir dari satu Microsoft Enterprise Edge (MSEE) ke yang lain.
Saat ini ExpressRoute Global Reach tidak tersedia di setiap negara/wilayah, tetapi Anda dapat mengonfigurasi solusi menggunakan Azure Virtual WAN.
Anda dapat, misalnya, mengonfigurasi ExpressRoute dengan Microsoft Peering dan menghubungkan terowongan VPN melalui peering ke Azure Virtual WAN. Sekarang Anda telah mengaktifkan, sekali lagi, transit antara VPN dan ExpressRoute tanpa Global Reach dan penyedia serta layanan pihak ke-3, seperti Megaport Cloud.
Langkah berikutnya
Lihat artikel berikut untuk mengetahui informasi selengkapnya: