Поделиться через

Взаимодействие с Китаем при помощи Виртуальной глобальной сети Azure и защищенного концентратора

  • Статья

При взгляде на отрасли автопрома, обрабатывающей промышленности, транспорта или другие учреждения, таких как посольства, часто встает вопрос о том, как улучшить взаимодействие с Китаем. Эти улучшения в основном относятся к использованию облачных служб, таких как Microsoft 365, Глобальные службы Azure или ветви взаимных соединений внутри Китая с магистралью клиента.

В большинстве случаев клиенты испытывают трудности, включая высокую задержку, низкую пропускную способность, нестабильное подключение и высокие затраты при установлении соединений, идущих за пределы Китая (например, в Европу или США).

Причиной этих проблем является "Великий китайский брандмауэр", защищающий китайскую часть Интернета и фильтрующий трафик, идущий в Китай. Практически весь трафик между Китайской Народной Республикой и остальным миром за исключением специальных административных зон, таких как Гонконг и Макао, проходит через "Великий брандмауэр". Трафик, проходящий через Гонконг и Макао, не попадает в Большой брандмауэр в полную силу, он обрабатывается подмножеством Большого брандмауэра.

На схеме показано соединение с поставщиком.

Используя виртуальную глобальную сеть, клиент может установить более быстрое и стабильное подключение к Облачным службам Майкрософт и подключение к своей корпоративной сети без нарушения китайских законов о кибербезопасности.

Требования и рабочий процесс

Для соответствие требованиям китайских законов о кибербезопасности необходимо выполнить ряд определенных условий.

Во-первых, необходимо работать совместно с сетью и поставщиком услуг Интернета, которому принадлежит лицензия поставщика содержимого Интернета (ICP) для Китая. В большинстве случаев это будет один из следующих поставщиков:

  • China Telecom Global Ltd.
  • China Mobile Ltd.
  • China Unicom Ltd.
  • PCCW Global Ltd.
  • Hong Kong Telecom Ltd.

В зависимости от поставщика и ваших потребностей необходимо приобрести одну из следующих услуг сетевого подключения для соединения с ветвями в Китае.

  • Сеть MPLS/IPVPN
  • Программно-определяемая глобальная сеть (SDWAN)
  • Выделенный доступ к Интернету

Затем необходимо заключить с этим поставщиком соглашение о выходе в глобальную сеть Майкрософт и ее промежуточную подсеть в Гонконге, а не в Пекине или Шанхае. В этом случае Гонконг очень важен из-за физического подключения и расположения в Китае.

Хотя большинство клиентов думают, что использование Сингапура для interconnect является лучшим вариантом, потому что он выглядит ближе к Китаю при взгляде на карте, это не так. Если взглянуть на карты физических волоконных сетей, почти все сетевые подключения проходят через Пекин, Шанхай и Гонконг. Это делает Гонконг лучшим выбором места для соединения с Китаем.

В зависимости от поставщика, вы можете получить различные предложения услуг. В таблице ниже приведен пример поставщиков и предоставляемых им услуг. Информация в нем актуальна на момент написания этой статьи.

Служба Примеры поставщиков
MPLS/IPVPN Network PCCW, China Telecom Global
SDWAN PCCW, China Telecom Global
Выделенный доступ к Интернету PCCW, Hong Kong Telecom, China Mobil

С помощью поставщика вы можете принять решение о том, какое из следующих двух решений будет использоваться для связи с глобальной магистралью Майкрософт:

  • Получение Microsoft Azure ExpressRoute, который заканчивается в Гонконге. Это будет так в случае использования MPLS/IPVPN. В настоящее время единственный поставщик лицензий ICP с ExpressRoute до Гонконга — это China Telecom Global. Однако они также могут взаимодействовать с другими поставщиками, если используют поставщиков облачного обмена, таких как Megaport или InterCloud. См. дополнительные сведения о Поставщиках услуг подключения ExpressRoute.

  • Использование выделенного доступа к Интернету непосредственно в одной из следующих точек обмена Интернет-трафиком или с помощью частного сетевого соединения.

В следующем списке показаны поставщики услуг обмена Интернет-трафиком в Гонконге.

  • AMS-IX Hong Kong
  • BBIX Hong Kong
  • Equinix Hong Kong
  • HKIX

При использовании этого подключения следующий прыжок BGP для служб Майкрософт должен быть номером автономной системы Майкрософт (AS#) 8075. Если вы используете одно местоположение или решение SDWAN, стоит выбрать это соединение.

С учетом текущих изменений, касающихся взаимодействия между Китаем и САР Гонконг, большинство из этих поставщиков услуг сети создают мост MPLS между Китаем и САР Гонконг.

Вы видите, что VPN-подключения "сеть — сеть" внутри Китая разрешены и в основном стабильны. То же самое относится к подключениям "сеть — сеть" между ветвями в оставшейся части мира. Теперь поставщики создают агрегирование VPN/SDWAN по обеим сторонам и мост через MPLS между ними.

На схеме показан мост MPLS для Китая.

В любом случае мы рекомендуем обзавестись вторым и постоянным выходом из Интернета в Китай. Это позволяет разделить трафик на корпоративный трафик к облачным службы, таким как Microsoft 365 и Azure, и регламентированный законом интернет-трафик.

Соответствующая требованиям сетевая архитектура в Китае может выглядеть, как в следующем примере:

На схеме показано несколько ветвей.

В этом примере имеется соединение с глобальной сетью Майкрософт в Гонконге, позволяющее приступить к работе с Глобальной архитектурой передачи Виртуальной глобальной сети Azure и дополнительными службами, такими как безопасный концентратор Виртуальной глобальной сети Azure. Это даст возможность использовать служб и соединений с ветвями и центрами обработки данных вне Китая.

Обмен данными от концентратора к концентратору

В этом разделе мы используем Виртуальную глобальную сеть для взаимодействия между концентраторами. В этом сценарии вы создадите новый ресурс концентратора Виртуальной глобальной сети для подключения к концентратору Виртуальной глобальной сети в Гонконге или другом желаемом регионе, где у вас уже есть ресурсы Azure или где нужно выполнить подключение.

Пример архитектуры может выглядеть следующим образом.

На схеме показан пример глобальной сети.

В этом примере ветви из Китая подключаются к Azure Cloud China и друг другу с помощью подключений VPN или MPLS. Ветви, которые должны быть подключены к Глобальным службам, используют MPLS или интернет-службы, которые напрямую подключены к Гонконгу. Если вы хотите использовать ExpressRoute в Гонконге и в другом регионе, необходимо настроить ExpressRoute Global Reach для подключения обоих каналов ExpressRoute.

ExpressRoute Global Reach недоступен в некоторых регионах. Например, если вам нужно подсоединиться к Бразилии или Индии, вам нужно использовать поставщиков услуг облачного обмена для предоставления служб маршрутизации.

На рисунке ниже показаны оба примера для этого сценария.

На схеме показана служба Global Reach.

Безопасный выход в Интернет для Microsoft 365

Еще одним соображением является сетевая безопасность и ведение журнала для точки входа между Китаем и установленным компонентом магистральной Виртуальная глобальная сеть и магистральной сетью клиента. В большинстве случаев необходим выход в сеть Интернет в Гонконге для непосредственного доступа к промежуточной подсети Майкрософт и, вместе с этим, серверы Azure Front Door, используемые для служб Microsoft 365.

Для обоих сценариев с виртуальной глобальной сетью можно использовать защищенный концентратор Виртуальной глобальной сети Azure. С помощью диспетчера брандмауэра Azure можно превратить обычный концентратор Виртуальной глобальной сети в защищенный концентратор, а затем развернуть брандмауэр Azure в этом концентраторе и управлять им.

На рисунке ниже показан пример такого сценария.

На схеме показан выход в Интернет для сетевого трафика и трафика служб Майкрософт.

Архитектура и потоки трафика

В зависимости от вашего выбора относительно подключения к Гонконгу, общая архитектура может немного различаться. В этом разделе показаны три доступные архитектуры с разными сочетаниями с VPN или SDWAN и (или) ExpressRoute.

Все эти параметры используют защищенный концентратор Виртуальной глобальной сети Azure для прямого подключения Microsoft 365 в Гонконге. Эти архитектуры также поддерживают требования к соответствию для Microsoft 365 в различных регионах и хранят этот трафик рядом с ближайшим расположением Azure Front Door. В результате это также позволяет улучшить использование Microsoft 365 за пределами Китая.

При использовании Виртуальной глобальной сети Azure совместно с подключениями к Интернету каждое подключение может пользоваться дополнительными службами, таких как Служба пиринга Microsoft Azure (MAPS). MAPS были создана для оптимизации трафика, поступающего в глобальную сеть Майкрософт от сторонних поставщиков услуг Интернета.

Вариант 1. SDWAN или VPN

В этом разделе обсуждается структура, использующая SDWAN или VPN до Гонконга и других ветвей. Этот вариант показывает использование и поток трафика при использовании чистого подключения к Интернету на обоих сайтах магистрали Виртуальной глобальной сети. В этом случае подключение передается в Гонконг с помощью выделенного доступа к Интернету или поставщика ICP SDWAN. Другие ветви также используют чистый Интернет или решения SDWAN.

На схеме показан трафик между Китаем и Гонконгом.

В этой архитектуре каждый сайт подключен к глобальной сети Майкрософт с помощью VPN и Виртуальной глобальной сети Azure. Трафик между сайтами и Гонконгом передается через сеть Майкрософт и использует только стандартное подключение к Интернету на последнем отрезке.

Вариант 2. ExpressRoute и SDWAN или VPN

В этом разделе обсуждается структура, использующая ExpressRoute в Гонконге и другие ветви, с ветвями VVPN/SDWAN. Этот вариант показывает использование и ExpressRoute, заканчивающегося в Гонконге, и других ветвей, подключенных через SDWAN или VPN. В настоящее время ExpressRoute в Гонконг ограничен кратким списком поставщиков, который можно найти в списке Партнеров Express Route.

На схеме показан трафик ExpressRoute между Китаем и Гонконгом.

Существуют также варианты завершения ExpressRoute вне Китая, например в Южной Корее или Японии. Но в настоящее время, учитывая соответствие нормативным требованиям, законы и задержку, Гонконг является лучшим выбором.

Вариант 3. Только ExpressRoute

В этом разделе обсуждается структура, использующая ExpressRoute для Гонконга и других ветвей. Этот вариант показывает соединение с ExpressRoute на обоих концах. В этом случае поток трафика будет отличаться. Трафик Microsoft 365 будет передаваться на безопасный концентратор Виртуальной глобальной сети Azure, а из него в промежуточную подсеть Майкрософт и в Интернет.

Трафик, который направляется взаимоподключенным ветвям или из них в разные места в Китае, будет следовать другому подходу в этой архитектуре. В настоящее время виртуальная глобальная сеть не поддерживает передачу ExpressRoute в ExpressRoute. Трафик будет использовать Global Reach ExpressRoute или стороннее соединение, не проходя через концентратор Виртуальной глобальной сети. Он будет напрямую передаваться из одного Microsoft Enterprise Edge (MSEE) в другой.

На схеме показана служба ExpressRoute Global Reach.

В настоящее время ExpressRoute Global Reach доступен не во всех странах или регионах, но вы можете настроить решение с помощью Azure Виртуальная глобальная сеть.

Например, можно настроить ExpressRoute со службой пиринга Майкрософт и через этот пиринг подключить VPN-туннель к виртуальной глобальной сети Azure. Теперь вы снова включили обмен данными между VPN и ExpressRoute без Global Reach с одной стороны и сторонним поставщиком либо службой, например Megaport Cloud, с другой.

Дальнейшие действия

Дополнительные сведения см. в этих статьях: