Azure Sanal WAN ve Secure Hub kullanarak Çin ile bağlantı kurma
Ortak otomotiv, üretim, lojistik sektörleri veya elçilik gibi diğer enstitülere bakarken, Çin ile bağlantıyı nasıl geliştirecekleri sorusu sık sık sorulmaya başlanır. Bu iyileştirmeler çoğunlukla Microsoft 365, Azure Global Services veya Çin'in içindeki ara bağlantı dalları gibi Cloud Services müşteri omurgasıyla kullanmaya yöneliktir.
Çoğu durumda müşteriler çin dışına (örneğin, Avrupa veya Birleşik Devletler) bağlanan yüksek gecikme süreleri, düşük bant genişliği, kararsız bağlantı ve yüksek maliyetlerle mücadele ediyor.
Bu mücadelelerin bir nedeni, İnternet'in Çin bölümünü koruyan ve Çin'e gelen trafiği filtreleyen "Çin'in Büyük Güvenlik Duvarı"dır. Hong Kong ve Makao gibi özel yönetim bölgeleri dışında Çin Halk Cumhuriyeti'dan Çin'in dışına giden neredeyse tüm trafik Büyük Güvenlik Duvarı'ndan geçer. Hong Kong ve Macau üzerinden geçen trafik Büyük Güvenlik Duvarı'na tam olarak isabet etmez, Büyük Güvenlik Duvarı'nın bir alt kümesi tarafından işlenir.
Müşteri, Sanal WAN kullanarak, Çin siber güvenlik yasasına aykırı bir şekilde Microsoft Cloud Services ile daha performanslı ve kararlı bir bağlantı ve kurumsal ağıyla bağlantı kurabilir.
Gereksinimler ve iş akışı
Çin siber güvenlik yasasıyla uyumlu kalmak istiyorsanız, belirli koşulları karşılamanız gerekir.
İlk olarak, Çin için ICP (İnternet İçerik Sağlayıcısı) lisansına sahip bir ağ ve ISS ile birlikte çalışmanız gerekir. Çoğu durumda aşağıdaki sağlayıcılardan birine sahip olursunuz:
- China Telecom Global Ltd.
- China Mobile Ltd.
- Çin Unicom Ltd
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
Sağlayıcıya ve ihtiyaçlarınıza bağlı olarak, şimdi Çin'de dallarınızı birbirine bağlamak için aşağıdaki ağ bağlantı hizmetlerinden birini satın almanız gerekir.
- MPLS/IPVPN Ağı
- Yazılım Tanımlı WAN (SDWAN)
- Ayrılmış İnternet Erişimi
Ardından, Pekin veya Şangay'da değil, Hong Kong'daki Microsoft Global Network ve Edge Network'e bir tartışma vermek için bu sağlayıcıyla aynı fikirde olmanız gerekir. Bu durumda, Çin'e fiziksel bağlantısı ve konumu nedeniyle Hong Kong çok önemlidir.
Müşterilerin çoğu, haritaya bakarken Çin'e daha yakın göründüğünden, interconnect için Singapur'u kullanmanın en iyi durum olduğunu düşünüyor olsa da, bu doğru değildir. Ağ fiber haritalarını takip ettiğinizde, neredeyse tüm ağ bağlantıları Pekin, Şangay ve Hong Kong üzerinden gider. Bu, Hong Kong'u Çin'e bağlanmak için daha iyi bir konum seçimi yapar.
Sağlayıcıya bağlı olarak farklı hizmet teklifleri alabilirsiniz. Aşağıdaki tabloda, bu makalenin yazıldığı zamandaki bilgilere dayanarak sağlayıcılara ve sundukları hizmete ilişkin bir örnek gösterilmektedir.
| Hizmet | Sağlayıcı örnekleri |
|---|---|
| MPLS/IPVPN Ağı | PCCW, China Telecom Global |
| SDWAN | PCCW, China Telecom Global |
| Ayrılmış İnternet Erişimi | PCCW, Hong Kong Telecom, China Mobil |
Sağlayıcınızla, Microsoft küresel omurgasına ulaşmak için aşağıdaki iki çözümden hangisini kullanacağınızı kabul edebilirsiniz:
Microsoft Azure ExpressRoute'u Hong Kong'da sonlandırma. MPLS/IPVPN kullanımı için bu durum geçerlidir. Şu anda Yalnızca ExpressRoute ile Hong Kong arası ICP lisans sağlayıcısı China Telecom Global'dır. Ancak, Megaport veya InterCloud gibi Bulut Exchange Sağlayıcılarından yararlanırlarsa diğer sağlayıcılarla da konuşabilirler. Daha fazla bilgi için bkz. ExpressRoute bağlantı sağlayıcıları.
Ayrılmış İnternet Erişimi'ni doğrudan aşağıdaki İnternet Değişim Noktalarından birinde kullanma veya özel ağ bağlantısı kullanma.
Aşağıdaki listede, Hong Kong'da mümkün olan İnternet Değişimleri gösterilmektedir:
- AMS-IX Hong Kong
- BBIX Hong Kong
- Equinix Hong Kong
- HKIX
Bu bağlantıyı kullanırken, Microsoft Hizmetleri için sonraki BGP atlamanızın Microsoft Otonom Sistem Numarası (AS#) 8075 olması gerekir. Tek bir konum veya SDWAN çözümü kullanıyorsanız, bağlantı seçimi bu olacaktır.
Çin ve Hong Kong ÖİB arasındaki bağlantılarla ilgili mevcut değişikliklerle, bu ağ sağlayıcılarının çoğu Çin ile Hong Kong ÖİB arasında bir MPLS köprüsü inşa etmektedir.
Çin içindeki siteden siteye VPN bağlantılarına izin verilip çoğunlukla kararlı olduğunu görebilirsiniz. Aynı durum, dünyanın geri kalanındaki dallar arasındaki siteden siteye bağlantılar için de geçerlidir. Sağlayıcılar artık her iki tarafta bir VPN/SDWAN Toplaması oluşturur ve aralarında MPLS aracılığıyla köprü oluşturur.
Her iki durumda da, yine de Çin'e ikinci ve düzenli bir internet tartışması yapmanızı öneririz. Bu, Microsoft 365 ve Azure gibi bulut hizmetlerine yönelik kurumsal trafik ile yasal düzenlemelere tabi İnternet trafiği arasındaki trafiği bölmektir.
Çin içindeki uyumlu bir ağ mimarisi aşağıdaki örneğe benzer olabilir:
Bu örnekte, Hong Kong'daki Microsoft Global Network ile bir bağlantınız varsa, artık hizmetleri kullanmak ve Çin dışındaki dallarınızla veri merkezinize bağlanmak için Azure Sanal WAN Genel Geçiş Mimarisi'nden ve Azure güvenli Sanal WAN hub'ı gibi ek hizmetlerden yararlanmaya başlayabilirsiniz.
Hub'dan hub'a iletişim
Bu bölümde, Sanal WAN hub'dan hub'a iletişimi kullanarak bağlantı kuracağız. Bu senaryoda, Hong Kong'daki bir Sanal WAN hub'ına, tercih ettiğiniz diğer bölgelere, Azure kaynaklarının zaten bulunduğu bir bölgeye veya bağlanmak istediğiniz yere bağlanmak için yeni bir Sanal WAN hub kaynağı oluşturursunuz.
Örnek mimari aşağıdaki örneğe benzer olabilir:
Bu örnekte, Çin dalları VPN veya MPLS bağlantıları kullanarak Azure Bulut Çin'e ve birbirine bağlanır. Global Hizmetlere bağlanması gereken dallar, doğrudan Hong Kong'a bağlı MPLS veya İnternet tabanlı hizmetleri kullanır. ExpressRoute'u Hong Kong'da ve diğer bölgede kullanmak istiyorsanız ExpressRoute Global Reach'i iki ExpressRoute Bağlantı Hattı arasında bağlantı kurmak için yapılandırmanız gerekir.
ExpressRoute Global Reach bazı bölgelerde kullanılamaz. Örneğin, Brezilya veya Hindistan ile bağlantı kurmanız gerekiyorsa, yönlendirme hizmetlerini sağlamak için Bulut Exchange Sağlayıcıları'nı kullanmanız gerekir.
Aşağıdaki şekilde bu senaryoya yönelik her iki örnek gösterilmektedir.
Microsoft 365 için güvenli İnternet tartışması
Dikkat edilmesi gereken bir diğer nokta da, Çin ile Sanal WAN kurulan omurga bileşeni ile müşteri omurgası arasındaki giriş noktası için ağ güvenliği ve günlüğe kaydetmedir. Çoğu durumda, Doğrudan Microsoft Edge Ağı'na ulaşmak için Hong Kong'da İnternet'e ve Microsoft 365 Hizmetleri için kullanılan Azure Front Door Sunucuları'na erişmeye ihtiyaç vardır.
Sanal WAN içeren her iki senaryoda da Azure Sanal WAN güvenli hub'ını kullanmanız gerekir. Azure Güvenlik Duvarı Manager'ı kullanarak normal bir Sanal WAN hub'sını güvenli bir hub olarak değiştirebilir ve ardından bu hub içinde bir Azure Güvenlik Duvarı dağıtıp yönetebilirsiniz.
Aşağıdaki şekilde bu senaryonun bir örneği gösterilmektedir:
Mimari ve trafik akışları
Hong Kong bağlantısıyla ilgili seçiminize bağlı olarak, genel mimari biraz değişebilir. Bu bölümde VPN veya SDWAN ve/veya ExpressRoute ile farklı kombinasyonlarda üç kullanılabilir mimari gösterilmektedir.
Bu seçeneklerin tümü, Hong Kong'da doğrudan Microsoft 365 bağlantısı için Azure Sanal WAN güvenli hub'ını kullanır. Bu mimariler, Microsoft 365 Multi-Geo için uyumluluk gereksinimlerini de destekler ve bu trafiği bir sonraki Azure Front Door konumuna yakın tutar. Sonuç olarak, Çin dışında Microsoft 365 kullanımı için de bir geliştirmedir.
Azure Sanal WAN'ı İnternet bağlantılarıyla birlikte kullanırken, her bağlantı Microsoft Azure Eşleme Hizmetleri (MAPS) gibi ek hizmetlerden yararlanabilir. MAPS, 3. Taraf İnternet Servis Sağlayıcılarından Microsoft Global Network'e gelen trafiği iyileştirmek için oluşturulmuştu.
Seçenek 1: SDWAN veya VPN
Bu bölümde, Hong Kong'a ve diğer dallara SDWAN veya VPN kullanan bir tasarım ele alınmaktadır. Bu seçenek, Sanal WAN omurgasının her iki sitesinde de saf İnternet bağlantısı kullanılırken kullanım ve trafik akışını gösterir. Bu durumda bağlantı, ayrılmış İnternet erişimi veya bir ICP sağlayıcısı SDWAN çözümü kullanılarak Hong Kong'a getirilir. Diğer dallar da saf İnternet veya SDWAN Çözümleri kullanıyor.
Bu mimaride, her site VPN ve Azure Sanal WAN kullanılarak Microsoft Genel Ağına bağlanır. Siteler ve Hong Kong arasındaki trafik Microsoft Ağı üzerinden iletilir ve yalnızca son mildeki normal İnternet bağlantısını kullanır.
Seçenek 2: ExpressRoute ve SDWAN veya VPN
Bu bölümde, Hong Kong'da ExpressRoute'u ve VPN/SDWAN Dalları ile diğer Dalları kullanan bir tasarım ele alınmaktadır. Bu seçenek, Hong Kong'da ve SDWAN veya VPN aracılığıyla bağlanan diğer dallarda sonlandırılan ve ExpressRoute'un kullanımını gösterir. Hong Kong'daki ExpressRoute şu anda Express Route İş Ortakları listesinde bulabileceğiniz kısa bir Sağlayıcı listesiyle sınırlıdır.
ExpressRoute'u Çin'den, örneğin Güney Kore veya Japonya'dan sonlandırma seçenekleri de vardır. Ancak uyumluluk, düzenleme ve gecikme süresi göz önüne alındığında Hong Kong şu anda en iyi seçenektir.
Seçenek 3: Yalnızca ExpressRoute
Bu bölümde, ExpressRoute'un Hong Kong ve diğer Dallar için kullanıldığı bir tasarım ele alınmaktadır. Bu seçenek, her iki uçta Da ExpressRoute kullanarak ara bağlantıyı gösterir. Burada diğerinden farklı bir trafik akışınız vardır. Microsoft 365 trafiği Azure sanal WAN güvenli hub'ına ve oradan Microsoft Edge Ağı'na ve İnternet'e akacaktır.
Birbirine bağlı şubelere veya onlardan Çin'deki konumlara giden trafik, bu mimari içinde farklı bir yaklaşım izleyecektir. Şu anda sanal WAN, ExpressRoute'u ExpressRoute'a aktarmayı desteklemez. Trafik, sanal WAN Hub'ını geçirmeden ExpressRoute Global Reach veya 3. Taraf bağlantıdan yararlanacaktır. Bir Microsoft Enterprise Edge'den (MSEE) diğerine doğrudan akar.
ExpressRoute Global Reach şu anda her ülkede/bölgede kullanılamamaktadır, ancak Azure Sanal WAN kullanarak bir çözüm yapılandırabilirsiniz.
Örneğin, Microsoft Eşlemesi ile ExpressRoute yapılandırabilir ve bu eşleme aracılığıyla azure Sanal WAN bir VPN tüneli bağlayabilirsiniz. Artık Global Reach olmadan VPN ile ExpressRoute arasındaki geçişi ve Megaport Cloud gibi üçüncü taraf sağlayıcı ve hizmeti etkinleştirdiniz.
Sonraki adımlar
Daha fazla bilgi için aşağıdaki makalelere bakın: