Interligar com a China com o Azure WAN Virtual e o Secure Hub
Quando se olha para indústrias automóveis, manufaturas, logísticas ou outros institutos como embaixadas, muitas vezes há a questão de como melhorar a interligação com a China. Estas melhorias são principalmente relevantes para a utilização de Serviços Cloud como o Microsoft 365, os Serviços Globais do Azure ou as ramificações interligadas dentro da China com uma estrutura principal do cliente.
Na maioria dos casos, os clientes estão a ter dificuldades com latências elevadas, largura de banda baixa, ligação instável e custos elevados que ligam a fora da China (por exemplo, Europa ou Estados Unidos).
Uma razão para estas lutas é a "Grande Firewall da China", que protege a parte chinesa da Internet e filtra o tráfego para a China. Quase todo o tráfego que vai de República Popular da China para fora da China, exceto as zonas de administração especial como Hong Kong e Macau, passa pela Grande Firewall. O tráfego que atravessa Hong Kong e Macau não atinge a Grande Firewall em força total, é processado por um subconjunto da Grande Firewall.
Ao utilizar WAN Virtual, um cliente pode estabelecer uma ligação mais eficaz e estável à Microsoft Serviços Cloud e uma ligação à sua rede empresarial sem violar a lei chinesa de cibersegurança.
Requisitos e fluxo de trabalho
Se quiser manter-se em conformidade com a lei chinesa de cibersegurança, tem de cumprir um conjunto de determinadas condições.
Primeiro, tem de trabalhar em conjunto com uma rede e um ISP que possua uma licença ICP (Fornecedor de Conteúdos Internet) para a China. Na maioria dos casos, irá ficar com um dos seguintes fornecedores:
- China Telecom Global Ltd.
- China Mobile Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
Dependendo do fornecedor e das suas necessidades, tem agora de comprar um dos seguintes serviços de conectividade de rede para interligar as suas filiais na China.
- Uma Rede MPLS/IPVPN
- UMA WAN Definida pelo Software (SDWAN)
- Acesso à Internet dedicado
Em seguida, tem de concordar com esse fornecedor para dar uma fuga à Microsoft Global Network e à sua Rede Edge em Hong Kong, não em Pequim ou Xangai. Neste caso, Hong Kong é muito importante devido à sua ligação física e localização à China.
Embora a maioria dos clientes pense que utilizar Singapura para interligação é o melhor caso porque parece mais próximo da China ao olhar para o mapa, isso não é verdade. Quando segue mapas de fibra de rede, quase todas as ligações de rede passam por Pequim, Xangai e Hong Kong. Isto faz de Hong Kong uma melhor escolha de localização para se ligar à China.
Consoante o fornecedor, poderá obter ofertas de serviços diferentes. A tabela abaixo mostra um exemplo de fornecedores e do serviço que oferecem, com base nas informações no momento em que este artigo foi escrito.
Serviço | Exemplos do fornecedor |
---|---|
Rede MPLS/IPVPN | PCCW, China Telecom Global |
SDWAN | PCCW, China Telecom Global |
Acesso à Internet dedicado | PCCW, Hong Kong Telecom, China Mobil |
Com o seu fornecedor, pode chegar a um acordo sobre qual das duas soluções seguintes a utilizar para alcançar o backbone global da Microsoft:
Terminar um Microsoft Azure ExpressRoute em Hong Kong. Este seria o caso da utilização de MPLS/IPVPN. Atualmente, apenas o único fornecedor de licenças ICP com o ExpressRoute para Hong Kong é a China Telecom Global. No entanto, também podem falar com os outros fornecedores se tirarem partido dos Fornecedores do Cloud Exchange, como o Megaport ou o InterCloud. Para obter mais informações, veja Fornecedores de conectividade do ExpressRoute.
Utilizar um Acesso à Internet Dedicado diretamente num dos seguintes Pontos de Exchange da Internet ou utilizar uma rede privada interligada.
A lista seguinte mostra as Trocas de Internet possíveis em Hong Kong:
- AMS-IX Hong Kong
- BBIX Hong Kong
- Equinix Hong Kong
- HKIX
Ao utilizar esta ligação, o próximo salto BGP para Os Serviços Microsoft tem de ser o Número de Sistema Autónomo da Microsoft (AS#) 8075. Se utilizar uma única localização ou solução SDWAN, essa será a escolha da ligação.
Com as mudanças atuais em relação às interligações entre a China e a RAE de Hong Kong, a maioria destes fornecedores de rede constrói uma ponte MPLS entre a China e a RAE de Hong Kong.
Pode ver que as ligações VPN site a site dentro da China são permitidas e são na sua maioria estáveis. O mesmo se aplica às ligações site a site entre ramos no resto do mundo. Os fornecedores criam agora uma Agregação VPN/SDWAN em ambos os lados e ponte através de MPLS entre eles.
De qualquer forma, recomendamos que tenha uma segunda e regular fuga de internet para a China. Isto consiste em dividir o tráfego entre o tráfego empresarial para serviços cloud, como o Microsoft 365 e o Azure, e o tráfego de Internet regulamentado por lei.
Uma arquitetura de rede compatível na China pode ter o seguinte exemplo:
Neste exemplo, tendo uma interligação com a Microsoft Global Network em Hong Kong, agora pode começar a tirar partido da Arquitetura de Trânsito Global do Azure WAN Virtual e de serviços adicionais, como o hub de WAN Virtual seguro do Azure, para consumir serviços e interligar-se aos seus ramos e datacenter fora da China.
Comunicação hub a hub
Nesta secção, utilizamos WAN Virtual comunicação hub a hub para interligar. Neste cenário, vai criar um novo recurso WAN Virtual hub para ligar a um hub WAN Virtual em Hong Kong, outras regiões que preferir, uma região onde já tenha recursos do Azure ou onde pretende ligar.
Uma arquitetura de exemplo pode ter o seguinte exemplo:
Neste exemplo, os ramos da China ligam-se ao Azure Cloud China e uns aos outros através de ligações VPN ou MPLS. As agências que precisam de estar ligadas aos Serviços Globais utilizam mpLS ou serviços baseados na Internet que estão ligados diretamente a Hong Kong. Se quiser utilizar o ExpressRoute em Hong Kong e noutra região, tem de configurar o Alcance Global do ExpressRoute para interligar ambos os Circuitos do ExpressRoute.
O Alcance Global do ExpressRoute não está disponível em algumas regiões. Se precisar de se ligar ao Brasil ou à Índia, por exemplo, tem de tirar partido dos Fornecedores do Cloud Exchange para fornecer os serviços de encaminhamento.
A figura abaixo mostra ambos os exemplos para este cenário.
Secure Internet breakout for Microsoft 365 (Secure Internet breakout for Microsoft 365)
Outra consideração é a segurança de rede e o registo do ponto de entrada entre a China e a WAN Virtual componente principal estabelecido e o backbone do cliente. Na maioria dos casos, é necessário aceder diretamente à Internet em Hong Kong para aceder diretamente à Microsoft Edge Network e, com isso, os Servidores do Azure Front Door utilizados para os Serviços do Microsoft 365.
Para ambos os cenários com WAN Virtual, tiraria partido do hub protegido do Azure WAN Virtual. Com o Azure Firewall Manager, pode alterar um hub de WAN Virtual regular para um hub seguro e, em seguida, implementar e gerir um Azure Firewall nesse hub.
A seguinte figura mostra um exemplo deste cenário:
Arquitetura e fluxos de tráfego
Consoante a sua escolha relativamente à ligação a Hong Kong, a arquitetura geral pode mudar ligeiramente. Esta secção mostra três arquiteturas disponíveis em combinação diferente com VPN ou SDWAN e/ou ExpressRoute.
Todas estas opções utilizam o Azure WAN Virtual hub seguro para conectividade direta do Microsoft 365 em Hong Kong. Estas arquiteturas também suportam os requisitos de conformidade do Microsoft 365 Multi-Geo e mantêm esse tráfego perto da próxima localização do Azure Front Door. Como resultado, é também uma melhoria para a utilização do Microsoft 365 fora da China.
Ao utilizar o Azure WAN Virtual em conjunto com ligações à Internet, todas as ligações podem beneficiar de serviços adicionais, como o Peering Services (MAPS) do Microsoft Azure. A MAPS foi criada para otimizar o tráfego proveniente da Rede Global da Microsoft a partir de Fornecedores de Serviços Internet de terceiros.
Opção 1: SDWAN ou VPN
Esta secção aborda um design que utiliza SDWAN ou VPN para Hong Kong e para outros ramos. Esta opção mostra a utilização e o fluxo de tráfego ao utilizar uma ligação à Internet pura em ambos os sites do WAN Virtual backbone. Neste caso, a ligação é trazida para Hong Kong através do acesso dedicado à Internet ou de uma solução SDWAN do fornecedor de ICP. Outros ramos também estão a utilizar Soluções SDWAN ou Internet puras.
Nesta arquitetura, todos os sites estão ligados à Rede Global da Microsoft através da VPN e do Azure WAN Virtual. O tráfego entre os sites e Hong Kong é transmitido através da Microsoft Network e utiliza apenas uma ligação regular à Internet na última milha.
Opção 2: ExpressRoute e SDWAN ou VPN
Esta secção aborda um design que utiliza o ExpressRoute em Hong Kong e outros Ramos com Ramos VPN/SDWAN. Esta opção mostra a utilização de e o ExpressRoute terminado em Hong Kong e outros ramos ligados através de SDWAN ou VPN. Atualmente, o ExpressRoute em Hong Kong está limitado a uma pequena lista de Fornecedores, que pode encontrar na lista de Parceiros do Express Route.
Também existem opções para terminar o ExpressRoute da China, por exemplo, na Coreia do Sul ou no Japão. Mas, dada a conformidade, regulação e latência, Hong Kong é actualmente a melhor opção.
Opção 3: apenas ExpressRoute
Esta secção aborda um design em que o ExpressRoute é utilizado para Hong Kong e outros Ramos. Esta opção mostra a interligação com o ExpressRoute em ambas as extremidades. Aqui, tem um fluxo de tráfego diferente do outro. O tráfego do Microsoft 365 irá fluir para o hub seguro da WAN virtual do Azure e a partir daí para a Rede microsoft Edge e a Internet.
O tráfego que vai para os ramos interligados ou dos mesmos para as localizações na China seguirá uma abordagem diferente dentro dessa arquitetura. Atualmente, a WAN virtual não suporta o trânsito do ExpressRoute para o ExpressRoute. O tráfego tirará partido do Alcance Global do ExpressRoute ou da interligação de terceiros sem passar no Hub da WAN virtual. Irá fluir diretamente de um Microsoft Enterprise Edge (MSEE) para outro.
Atualmente, o Alcance Global do ExpressRoute não está disponível em todos os países/regiões, mas pode configurar uma solução com o Azure WAN Virtual.
Pode, por exemplo, configurar um ExpressRoute com o Peering da Microsoft e ligar um túnel VPN através desse peering ao Azure WAN Virtual. Agora, ativou novamente o trânsito entre a VPN e o ExpressRoute sem Alcance Global e o fornecedor e serviço de terceiros, como o Megaport Cloud.
Passos seguintes
Consulte os seguintes artigos para obter mais informações: