Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W przypadku wspólnego przemysłu motoryzacyjnego, produkcyjnego, logistycznego lub innych instytutów, takich jak ambasady, często pojawia się pytanie o to, jak poprawić wzajemne połączenia z Chinami. Te ulepszenia są głównie istotne w przypadku korzystania z usług w chmurze, takich jak Platforma Microsoft 365, usługi globalne platformy Azure lub wzajemnie połączone gałęzie wewnątrz Chin z siecią szkieletową klienta.
W większości przypadków klienci zmagają się z dużymi opóźnieniami, niską przepustowością, niestabilnym połączeniem i wysokimi kosztami połączenia z zewnątrz Chin (na przykład z Europą lub Stany Zjednoczone).
Powodem tych zmagań jest "Wielka Zapora Chin", która chroni chińską część Internetu i filtruje ruch do Chin. Prawie cały ruch biegnący z Chińskiej Republiki Ludowej do spoza Chin, z wyjątkiem specjalnych stref administracyjnych, takich jak Hong Kong SAR i Makao SAR, przechodzi Przez Wielką Zaporę. Ruch biegnąc przez Hong Kong SAR i Makau SAR nie uderza w wielką zaporę w pełnej mocy, jest obsługiwany przez podzbiór Wielkiego Zapory.
Korzystając z usługi Virtual WAN, klient może nawiązać bardziej wydajne i stabilne połączenie z usługami Microsoft Cloud Services oraz połączenie z siecią przedsiębiorstwa bez naruszania chińskiego prawa cyberbezpieczeństwa.
Wymagania i przepływ pracy
Jeśli chcesz zachować zgodność z chińskim prawem cyberbezpieczeństwa, musisz spełnić zestaw określonych warunków.
Najpierw musisz współpracować z siecią i usługodawcą internetowym, który jest właścicielem licencji ICP (Internet Content Provider) dla Chin. W większości przypadków będziesz mieć jednego z następujących dostawców:
- China Telecom Global Ltd.
- China Mobile Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
W zależności od dostawcy i potrzeb należy teraz kupić jedną z następujących usług łączności sieciowej, aby połączyć swoje oddziały w Chinach.
- Sieć MPLS/IPVPN
- Programowa sieć WAN (SDWAN)
- Dedykowany dostęp do Internetu
Następnie należy zgodzić się z tym dostawcą, aby dać podział na globalną sieć firmy Microsoft i jej sieć brzegową w Hongkongu, a nie w Pekinie lub Szanghaju. W tym przypadku Hongkong jest bardzo ważny ze względu na jego fizyczne połączenie i lokalizację z Chinami.
Podczas gdy większość klientów uważa, że korzystanie z Singapuru do wzajemnego połączenia jest najlepszym przypadkiem, ponieważ wygląda bliżej Chin, patrząc na mapę, to nieprawda. Gdy śledzisz mapy światłowodów sieciowych, prawie wszystkie połączenia sieciowe przechodzą przez Pekin, Szanghaj i Hongkong. To sprawia, że Hongkong jest lepszym wyborem lokalizacji, aby połączyć się z Chinami.
W zależności od dostawcy możesz uzyskać różne oferty usług. W poniższej tabeli przedstawiono przykład dostawców i oferowanych przez nich usług na podstawie informacji podanych w tym artykule.
| Usługa | Przykłady dostawców |
|---|---|
| Sieć MPLS/IPVPN | PCCW, China Telecom Global |
| SDWAN | PCCW, China Telecom Global |
| Dedykowany dostęp do Internetu | PCCW, Hong Kong Telecom, Chiny Mobil |
U dostawcy możesz uzgodnić, które z następujących dwóch rozwiązań można użyć do osiągnięcia globalnej sieci szkieletowej firmy Microsoft:
Pobieranie usługi Microsoft Azure ExpressRoute zakończonej w Hongkongu. W takim przypadku należy użyć protokołu MPLS/IPVPN. Obecnie jedynym dostawcą licencji ICP z usługą ExpressRoute do Hongkongu jest China Telecom Global. Mogą jednak również komunikować się z innymi dostawcami, jeśli korzystają z dostawców wymiany w chmurze, takich jak Megaport lub InterCloud. Aby uzyskać więcej informacji, zobacz ExpressRoute connectivity providers (Dostawcy połączeń usługi ExpressRoute).
Korzystanie z dedykowanego dostępu do Internetu bezpośrednio w jednym z następujących punktów Programu Internet Exchange lub połączenia między sieciami prywatnymi.
Na poniższej liście przedstawiono możliwe wymiany internetowe w Hongkongu:
- AMS-IX Hongkong
- BBIX Hong Kong
- Equinix Hong Kong
- HKIX
W przypadku korzystania z tego połączenia następny przeskok BGP dla usług firmy Microsoft musi mieć numer autonomicznego systemu firmy Microsoft (AS#) 8075. Jeśli używasz jednej lokalizacji lub rozwiązania SDWAN, będzie to wybór połączenia.
Wraz z obecnymi zmianami dotyczącymi wzajemnych połączeń między Chinami a Hongkongiem SAR większość z tych dostawców sieci buduje most MPLS między Chinami a Hong Kong SAR.
Widać, że połączenia sieci VPN typu lokacja-lokacja w Chinach są dozwolone i są w większości stabilne. Dotyczy to również połączeń typu lokacja-lokacja między gałęziami w pozostałej części świata. Dostawcy tworzą teraz agregację VPN/SDWAN po obu stronach i łączą je za pomocą MPLS.
Tak czy inaczej, nadal zalecamy, aby mieć drugie i regularne połączenie internetowe do Chin. Ma to na celu podzielenie ruchu między ruchem korporacyjnym a usługami w chmurze, takimi jak platforma Microsoft 365 i platforma Azure, oraz ruch internetowy regulowany przez prawo.
Zgodna architektura sieci w Chinach może wyglądać następująco:
W tym przykładzie, mając połączenie z globalną siecią firmy Microsoft w Hongkongu, możesz teraz zacząć korzystać z globalnej architektury tranzytowej usługi Azure Virtual WAN i dodatkowych usług, takich jak azure secure Virtual WAN Hub, aby korzystać z usług i połączyć się ze swoimi oddziałami i centrum danych poza Chinami.
Komunikacja pomiędzy hubami
W tej sekcji używamy komunikacji między koncentratorami usługi Virtual WAN, aby połączyć się ze sobą. W tym scenariuszu utworzysz nowy zasób koncentratora usługi Virtual WAN w celu nawiązania połączenia z koncentratorem usługi Virtual WAN w Hongkongu, innymi preferowanymi regionami, regionem, w którym masz już zasoby platformy Azure lub gdzie chcesz nawiązać połączenie.
Przykładowa architektura może wyglądać następująco:
W tym przykładzie chińskie gałęzie łączą się z usługą Azure Cloud (Chiny) i ze sobą przy użyciu połączeń SIECI VPN lub MPLS. Gałęzie, które muszą być połączone z usługami globalnymi, korzystają z usług MPLS lub internetowych połączonych bezpośrednio z Hongkongiem. Jeśli chcesz użyć usługi ExpressRoute w Hongkongu i w innym regionie, musisz skonfigurować usługę ExpressRoute Global Reach w celu połączenia obu obwodów usługi ExpressRoute.
Usługa ExpressRoute Global Reach nie jest dostępna w niektórych regionach. Jeśli na przykład musisz połączyć się z Brazylią lub Indiami, musisz skorzystać z dostawców programu Cloud Exchange w celu zapewnienia usług routingu.
Na poniższej ilustracji przedstawiono oba przykłady dla tego scenariusza.
Bezpieczne połączenie internetowe dla Microsoft 365
Innym zagadnieniem jest bezpieczeństwo sieci i rejestrowanie punktu wejścia między Chinami a utworzonym składnikiem sieci szkieletowej usługi Virtual WAN oraz siecią szkieletową klienta. W większości przypadków konieczne jest połączenie z Internetem w Hongkongu w celu bezpośredniego dostępu do sieci Microsoft Edge, a jednocześnie do serwerów Azure Front Door używanych przez usługi Microsoft 365.
W obu scenariuszach z wirtualną siecią WAN należy użyć zabezpieczonego koncentratora Azure Virtual WAN. Za pomocą usługi Azure Firewall Manager można zmienić zwykłe centrum usługi Virtual WAN na zabezpieczone centrum, a następnie wdrożyć usługę Azure Firewall i zarządzać nią w tym centrum.
Na poniższej ilustracji przedstawiono przykład tego scenariusza:
Architektura i przepływy ruchu
W zależności od wybranego połączenia z Hongkongiem ogólna architektura może ulec nieznacznej zmianie. W tej sekcji przedstawiono trzy dostępne architektury w innej kombinacji z siecią VPN lub sdWAN i/lub usługą ExpressRoute.
Wszystkie te opcje korzystają z bezpiecznego centrum azure Virtual WAN na potrzeby bezpośredniej łączności platformy Microsoft 365 w Hongkongu. Te architektury obsługują również wymagania dotyczące zgodności dla usługi Microsoft 365 Multi-Geo i zapewniają ruch w pobliżu następnej lokalizacji usługi Azure Front Door. W rezultacie jest to również poprawa użycia platformy Microsoft 365 z Chin.
W przypadku korzystania z usługi Azure Virtual WAN razem z połączeniami internetowymi każde połączenie może korzystać z dodatkowych usług, takich jak Microsoft Azure Peering Services (MAPS). USŁUGA MAPS została utworzona w celu zoptymalizowania ruchu przychodzącego do sieci globalnej firmy Microsoft od innych dostawców usług internetowych.
Opcja 1: SDWAN lub VPN
W tej sekcji omówiono projekt, który korzysta z sieci SDWAN lub VPN do Hongkongu i innych oddziałów. Ta opcja pokazuje użycie i przepływ ruchu podczas korzystania z czystego połączenia internetowego w obu lokacjach sieci szkieletowej usługi Virtual WAN. W takim przypadku połączenie jest przesyłane do Hongkongu przy użyciu dedykowanego dostępu do Internetu lub rozwiązania SDWAN dostawcy ICP. Inne gałęzie korzystają również z czystych rozwiązań Internetowych lub SDWAN.
W tej architekturze każda lokacja jest połączona z siecią globalną firmy Microsoft przy użyciu sieci VPN i usługi Azure Virtual WAN. Ruch między witrynami a Hongkongiem jest przesyłany przez usługę Microsoft Network i używa tylko zwykłego połączenia internetowego na ostatniej mili.
Opcja 2: ExpressRoute i SDWAN lub VPN
W tej sekcji omówiono projekt korzystający z usługi ExpressRoute w Hongkongu i innych oddziałach, z oddziałami używającymi VPN/SDWAN. Ta opcja pokazuje użycie usługi ExpressRoute zakończone w Hongkongu i innych gałęzi połączonych za pośrednictwem sdWAN lub sieci VPN. Usługa ExpressRoute w Hongkongu jest obecnie ograniczona do krótkiej listy dostawców, które można znaleźć na liście partnerów usługi Express Route.
Istnieją również opcje zakończenia usługi ExpressRoute z Chin, na przykład w Korei Południowej lub Japonii. Jednak biorąc pod uwagę zgodność, regulacje i opóźnienia, Hongkong jest obecnie najlepszym wyborem.
Opcja 3. Tylko usługa ExpressRoute
W tej sekcji omówiono projekt, w którym usługa ExpressRoute jest używana dla Hongkongu i innych oddziałów. Ta opcja pokazuje połączenie między połączeniami przy użyciu usługi ExpressRoute na obu końcach. W tym miejscu masz inny przepływ ruchu niż drugi. Ruch platformy Microsoft 365 będzie przepływać do koncentratora zabezpieczonego przez wirtualną sieć WAN platformy Azure i stamtąd do sieci Microsoft Edge i Internetu.
Ruch, który przechodzi do połączonych oddziałów lub z nich do lokalizacji w Chinach, będzie podążał za innym podejściem w ramach tej architektury. Obecnie wirtualna sieć WAN nie obsługuje przesyłania usługi ExpressRoute do usługi ExpressRoute. Ruch będzie korzystać z usługi ExpressRoute Global Reach lub połączenia między firmami innej firmy bez przekazywania wirtualnego centrum sieci WAN. Będzie on bezpośrednio przepływać z jednej przeglądarki Microsoft Enterprise Edge (MSEE) do innej.
Obecnie usługa ExpressRoute Global Reach nie jest dostępna w każdym kraju/regionie, ale można skonfigurować rozwiązanie przy użyciu usługi Azure Virtual WAN.
Możesz na przykład skonfigurować ExpressRoute z Microsoft Peering i połączyć tunel VPN poprzez to peering z Azure Virtual WAN. Teraz ponownie włączono tranzyt między siecią VPN a ExpressRoute bez użycia Global Reach ani zewnętrznych dostawców i usług, takich jak Megaport Cloud.
Następne kroki
Aby uzyskać więcej informacji, zobacz następujące artykuły: