Verbinding maken met China met behulp van Azure Virtual WAN en Secure Hub
Wanneer we kijken naar de algemene automobielindustrie, productie, logistiek of andere instituten zoals ambassades, is er vaak de vraag over hoe de verbinding met China kan worden verbeterd. Deze verbeteringen zijn vooral relevant voor het gebruik van Cloud Services zoals Microsoft 365, Azure Global Services of onderling verbonden vertakkingen binnen China met een klanten backbone.
In de meeste gevallen worstelen klanten met hoge latentie, lage bandbreedte, instabiele verbinding en hoge kosten voor verbinding met buiten China (bijvoorbeeld Europa of de Verenigde Staten).
Een reden voor deze strijd is de "Grote Firewall van China", die het Chinese deel van internet beschermt en verkeer naar China filtert. Bijna al het verkeer van Volksrepubliek China naar buiten China, met uitzondering van de speciale beheerzones zoals Hongkong en Macau, passeert de Grote Firewall. Het verkeer dat door Hongkong en Macau loopt, raakt de Grote Firewall niet in volle kracht, het wordt afgehandeld door een subset van de Grote Firewall.
Met behulp van Virtual WAN kan een klant een krachtigere en stabielere verbinding met Microsoft Cloud Services en een verbinding met het bedrijfsnetwerk tot stand brengen zonder de Chinese cyberbeveiligingswetgeving te schenden.
Vereisten en werkstroom
Als u wilt voldoen aan de Chinese cyberbeveiligingswetgeving, moet u aan een aantal voorwaarden voldoen.
Eerst moet u samenwerken met een netwerk en een internetprovider die eigenaar is van een ICP-licentie (Internet Content Provider) voor China. In de meeste gevallen krijgt u een van de volgende providers:
- China Telecom Global Ltd.
- China Mobile Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
Afhankelijk van de provider en uw behoeften, moet u nu een van de volgende netwerkconnectiviteitsservices aanschaffen om uw filialen binnen China met elkaar te verbinden.
- Een MPLS/IPVPN-netwerk
- Een softwaregedefinieerde WAN (SDWAN)
- Toegewezen internettoegang
Vervolgens moet u het eens zijn met die provider om een break-out te geven aan het Microsoft Global Network en het bijbehorende edge-netwerk in Hongkong, niet in Beijing of Shanghai. In dit geval is Hongkong erg belangrijk vanwege de fysieke verbinding en locatie met China.
Hoewel de meeste klanten denken dat het gebruik van Singapore voor interconnectie het beste geval is, omdat het dichter bij China lijkt wanneer het op de kaart kijkt, is dit niet waar. Wanneer u netwerkvezelkaarten volgt, gaan bijna alle netwerkverbindingen via Beijing, Shanghai en Hong Kong. Dit maakt Hongkong een betere locatiekeuze om verbinding te maken met China.
Afhankelijk van de provider kunt u verschillende serviceaanbiedingen krijgen. In de onderstaande tabel ziet u een voorbeeld van providers en de service die ze bieden, op basis van informatie op het moment dat dit artikel werd geschreven.
| Service | Voorbeelden van providers |
|---|---|
| MPLS/IPVPN-netwerk | PCCW, China Telecom Global |
| SDWAN | PCCW, China Telecom Global |
| Toegewezen internettoegang | PCCW, Hong Kong Telecom, China Mobil |
Met uw provider kunt u afspreken welke van de volgende twee oplossingen u moet gebruiken om de wereldwijde backbone van Microsoft te bereiken:
Een Microsoft Azure ExpressRoute wordt beëindigd in Hongkong. Dat is het geval bij het gebruik van MPLS/IPVPN. Momenteel is alleen China Telecom Global de enige ICP-licentieprovider met ExpressRoute naar Hongkong. Ze kunnen echter ook met de andere providers praten als ze gebruikmaken van Cloud Exchange-providers zoals Megaport of InterCloud. Zie ExpressRoute-connectiviteitsproviders voor meer informatie.
Een toegewezen internettoegang rechtstreeks gebruiken op een van de volgende Internet Exchange-punten of via een particuliere netwerkverbinding.
In de volgende lijst ziet u internetuitwisselingen mogelijk in Hongkong:
- AMS-IX Hongkong
- BBIX Hongkong
- Equinix Hongkong
- HKIX
Wanneer u deze verbinding gebruikt, moet uw volgende BGP-hop voor Microsoft-services Microsoft Autonomous System Number (AS#) 8075 zijn. Als u één locatie of SDWAN-oplossing gebruikt, is dat de keuze van de verbinding.
Met de huidige wijzigingen met betrekking tot interconnects tussen China en Hongkong SAR, bouwen de meeste van deze netwerkproviders een MPLS-brug tussen China en Hongkong SAR.
U kunt zien dat site-naar-site-VPN-verbindingen binnen China zijn toegestaan en meestal stabiel zijn. Hetzelfde geldt voor de site-naar-site-verbindingen tussen vertakkingen in de rest van de wereld. Providers maken nu een VPN/SDWAN-aggregatie aan beide zijden en overbrugging via MPLS ertussen.
Hoe dan ook, we raden u nog steeds aan om een tweede en regelmatige internetuitval in China te hebben. Dit is om het verkeer te splitsen tussen bedrijfsverkeer naar cloudservices zoals Microsoft 365 en Azure, en wettelijk geregeld internetverkeer.
Een compatibele netwerkarchitectuur in China kan eruitzien als in het volgende voorbeeld:
In dit voorbeeld, met een interconnectie met het Microsoft Global Network in Hongkong, kunt u nu gebruikmaken van de Azure Virtual WAN Global Transit Architecture en aanvullende services, zoals Azure Secure Virtual WAN Hub, om services te gebruiken en verbinding te maken met uw filialen en datacenter buiten China.
Hub-naar-hub-communicatie
In deze sectie gebruiken we Virtual WAN hub-naar-hub-communicatie om verbinding te maken. In dit scenario maakt u een nieuwe Virtual WAN hubresource om verbinding te maken met een Virtual WAN hub in Hongkong, andere regio's van uw voorkeur, een regio waar u al Azure-resources hebt of waar u verbinding wilt maken.
Een voorbeeldarchitectuur kan eruitzien als in het volgende voorbeeld:
In dit voorbeeld maken de China-filialen verbinding met Azure Cloud China en elkaar met behulp van VPN- of MPLS-verbindingen. Filialen die moeten worden verbonden met Global Services maken gebruik van MPLS of internetservices die rechtstreeks zijn verbonden met Hongkong. Als u ExpressRoute in Hongkong en in de andere regio wilt gebruiken, moet u ExpressRoute Global Reach configureren om beide ExpressRoute-circuits met elkaar te verbinden.
ExpressRoute Global Reach is in sommige regio's niet beschikbaar. Als u bijvoorbeeld verbinding wilt maken met Brazilië of India, moet u gebruikmaken van Cloud Exchange-providers om de routeringsservices te bieden.
In de onderstaande afbeelding ziet u beide voorbeelden voor dit scenario.
Beveiligd internet voor Microsoft 365
Een andere overweging is netwerkbeveiliging en logboekregistratie voor het toegangspunt tussen China en het Virtual WAN tot stand gebrachte backbone-onderdeel en de backbone van de klant. In de meeste gevallen is het nodig om uit te breken naar internet in Hongkong om rechtstreeks het Microsoft Edge Network te bereiken en daarmee de Azure Front Door-servers die worden gebruikt voor Microsoft 365-services.
Voor beide scenario's met Virtual WAN maakt u gebruik van de azure Virtual WAN beveiligde hub. Met Azure Firewall Manager kunt u een gewone Virtual WAN-hub wijzigen in een beveiligde hub en vervolgens een Azure Firewall binnen die hub implementeren en beheren.
In de volgende afbeelding ziet u een voorbeeld van dit scenario:
Architectuur en verkeersstromen
Afhankelijk van uw keuze met betrekking tot de verbinding met Hongkong, kan de algehele architectuur enigszins veranderen. In deze sectie ziet u drie beschikbare architecturen in verschillende combinaties met VPN of SDWAN en/of ExpressRoute.
Al deze opties maken gebruik van Azure Virtual WAN beveiligde hub voor directe Microsoft 365-connectiviteit in Hongkong. Deze architecturen ondersteunen ook de nalevingsvereisten voor Microsoft 365 Multi-Geo en houden dat verkeer in de buurt van de volgende Azure Front Door-locatie. Als gevolg hiervan is het ook een verbetering voor het gebruik van Microsoft 365 buiten China.
Wanneer u Azure Virtual WAN samen met internetverbindingen gebruikt, kan elke verbinding profiteren van aanvullende services, zoals Microsoft Azure Peering Services (MAPS). MAPS is gebouwd om verkeer te optimaliseren dat afkomstig is van externe internetserviceproviders naar het Microsoft Global Network.
Optie 1: SDWAN of VPN
In deze sectie wordt een ontwerp besproken dat gebruikmaakt van SDWAN of VPN naar Hongkong en naar andere vertakkingen. Deze optie toont het gebruik en de verkeersstroom bij het gebruik van een pure internetverbinding op beide sites van de Virtual WAN backbone. In dit geval wordt de verbinding naar Hongkong gebracht met behulp van een speciale internettoegang of een SDWAN-oplossing van de ICP-provider. Andere branches gebruiken ook pure internet- of SDWAN-oplossingen.
In deze architectuur is elke site verbonden met het Microsoft Global Network met behulp van VPN en Azure Virtual WAN. Het verkeer tussen de sites en Hongkong wordt verzonden via het Microsoft-netwerk en maakt alleen gebruik van een normale internetverbinding op de laatste mijl.
Optie 2: ExpressRoute en SDWAN of VPN
In deze sectie wordt een ontwerp besproken dat gebruikmaakt van ExpressRoute in Hongkong en andere branches met VPN/SDWAN-vertakkingen. Deze optie toont het gebruik van en ExpressRoute beëindigd in Hongkong en andere filialen die zijn verbonden via SDWAN of VPN. ExpressRoute in Hongkong is momenteel beperkt tot een korte lijst met providers, die u kunt vinden in de lijst met Express Route-partners.
Er zijn ook opties om ExpressRoute vanuit China te beëindigen, bijvoorbeeld in Zuid-Korea of Japan. Maar gezien naleving, regelgeving en latentie is Hongkong momenteel de beste keuze.
Optie 3: alleen ExpressRoute
In deze sectie wordt een ontwerp besproken waarin ExpressRoute wordt gebruikt voor Hongkong en andere branches. Met deze optie wordt aan beide uiteinden de interconnect weergegeven die Gebruikmaakt van ExpressRoute. Hier heb je een andere verkeersstroom dan de andere. Het Microsoft 365-verkeer stroomt naar de met Azure Virtual WAN beveiligde hub en van daaruit naar het Microsoft Edge Network en internet.
Het verkeer dat naar de onderling verbonden filialen gaat of van daaruit naar de locaties in China, volgt een andere benadering binnen die architectuur. Op dit moment biedt virtual WAN geen ondersteuning voor ExpressRoute-naar-ExpressRoute-overdracht. Het verkeer maakt gebruik van ExpressRoute Global Reach of de interconnect van derden zonder de virtuele WAN-hub te passeren. Het wordt rechtstreeks van de ene Microsoft Enterprise Edge (MSEE) naar de andere stromen.
ExpressRoute Global Reach is momenteel niet beschikbaar in elk land/regio, maar u kunt een oplossing configureren met behulp van Azure Virtual WAN.
U kunt bijvoorbeeld een ExpressRoute met Microsoft-peering configureren en een VPN-tunnel via die peering verbinden met Azure Virtual WAN. Nu hebt u opnieuw de doorvoer tussen VPN en ExpressRoute ingeschakeld zonder Global Reach en externe provider en service, zoals Megaport Cloud.
Volgende stappen
Zie de volgende artikelen voor meer informatie: