在普通的汽车、制造、物流行业或大使馆等机构中,经常问到的一个问题是如何改进与中国的互连。 这些改进措施主要与使用云服务(例如 Microsoft 365、Azure 全球服务)或通过客户主干网络使用中国境内的互连分支相关。
在大多数情况下,连接到中国境外(例如欧洲或美国)的客户都会挣扎于高延迟、低带宽、不稳定连接以及高费用的问题。
使用虚拟 WAN,客户可与 Azure 云服务建立性能更高且更稳定的连接,并可连接到其企业网络,同时不会违反中国网络安全法。
要求和工作流
若要持续遵守中国网络安全法,需要满足一组特定的条件。
首先,需要与拥有中国 ICP(Internet 内容提供商)执照的 ISP 合作。 在大多数情况下,你最终会与以下提供商之一合作:
- 中国电信国际有限公司
- 中国移动有限公司
- 中国联通有限公司
- PCCW Global Ltd.(香港电讯盈科环球有限公司)
- 香港电信有限公司
根据提供商以及你的需求,你目前需要购买以下网络连接服务之一才能与中国境内的分支建立互连。
- MPLS/IPVPN 网络
- 软件定义的 WAN (SDWAN)
- 专用 Internet 访问
接下来,你需要与该提供商达成一致,以便在中华人民共和国的香港特区对 Azure 全球网络及其边缘网络进行分流,而不是在北京或上海。 在这种情况下,由于与中国的地理位置和物理联系,香港特别行政区变得非常重要。
大多数客户觉得新加坡在地图上与中国较为靠近,因此最适合在新加坡建立互连,但事实上并非如此。 跟踪网络光纤映射时,几乎所有网络连接都经过北京、上海和香港特别行政区的中华人民共和国。
根据具体的提供商,你可能会获得不同的服务产品。 下表根据撰写本文时的信息,列出了提供商的示例及其提供的服务。
| 服务 | 提供商示例 |
|---|---|
| MPLS/IPVPN 网络 | PCCW、中国电信国际有限公司 |
| SDWAN | PCCW、中国电信国际有限公司 |
| 专用 Internet 访问 | PCCW、香港电信、中国移动 |
可以与提供商议定要使用以下两种解决方案中的哪一种来接入 Azure 全球主干网:
在中华人民共和国香港特别行政区建立 Azure ExpressRoute 连接。 使用 MPLS/IPVPN 时需要采用这种解决方案。 目前,唯一提供 ExpressRoute 到中华人民共和国香港特别行政区的 ICP 许可证服务商是中国电信全球。 但是,提供商还可以通过 Megaport 或 InterCloud 等云交换提供商与其他提供商通信。 有关详细信息,请参阅 ExpressRoute 连接提供商。
在以下 Internet 交换点之一或通过专用网络互连直接使用专用 Internet 访问。
以下列表显示了中华人民共和国香港特区可能的 Internet 交换:
- AMS-IX 香港
- BBIX 香港
- Equinix 香港
- HKIX
使用此连接方式时,Azure 服务的下一 BGP 跃点必须是 Azure 自治系统编号 (AS#) 8075。 如果使用单一位置或 SDWAN 解决方案,则会选择该解决方案建立连接。
你可以看到,中国国内的站点到站点 VPN 连接是被允许的,并且大多很稳定的。 这同样适用于世界上其他分支之间的站点到站点连接。 现在,提供商在两端创建 VPN/SDWAN 聚合,并通过 MPLS 在两者之间建立桥梁。
无论采用哪种方式,我们仍建议在中国建立另一个常规 Internet 接入点。 其目的是为了在发往云服务(例如 Microsoft 365 和 Azure)的企业流量以及法律管制的 Internet 流量之间进行划分。
中国境内合规的网络体系结构如以下示例所示:
在此示例中,与香港特区的 Azure 全球网络建立互连后, 可以开始利用和应用 Azure 虚拟 WAN 全球传输体系结构 和其他服务,如 Azure 安全虚拟 WAN 中心,以便使用相关服务并与中国境外的分支机构和数据中心互连。
中心到中心通信
在本部分,我们将使用虚拟 WAN 中心到中心通信进行互连。 在此方案中,你将创建一个新的虚拟广域网(WAN)中心资源,以连接到中国香港特别行政区的虚拟广域网中心、你喜欢的其他区域、已有 Azure 资源的区域或计划连接的区域。
示例体系结构如以下示例所示:
在此示例中,中国分支使用 VPN 或 MPLS 连接连接到 Azure 中国云并相互连接。 需要连接到全球服务的分支机构使用 MPLS 或基于 Internet 的服务,这些服务直接连接到中华人民共和国香港特别行政区。
ExpressRoute Global Reach 在某些区域不可用。 例如,如果需要与巴西或印度互连,则需利用云交换提供商来提供路由服务。
下图演示了此方案的上述两种示例连接。
适用于 Microsoft 365 的安全 Internet 接入点
还需要注意的是网络安全性,以及中国、虚拟 WAN 建立的主干组件与客户主干网络之间的入口点的日志记录。 在大多数情况下,需要通过香港特别行政区的互联网接入,以便直接到达Microsoft边缘网络,以及用于Microsoft 365 服务的 Azure Front Door 服务器。
对于使用虚拟 WAN 的两种方案,可以利用 Azure 虚拟 WAN 保护的中心。 使用 Azure 防火墙管理器可将常规虚拟 WAN 中心更改为受保护的中心,然后在该中心内部署和管理 Azure 防火墙。
下图演示了此方案的示例:
体系结构和流量流
根据您关于是否连接中华人民共和国香港特别行政区的选择,整体体系结构可能会略有变化。 本部分介绍采用不同 VPN 或 SDWAN 和/或 ExpressRoute 组合的三种可用体系结构。
所有这些选项都使用 Azure 虚拟 WAN 安全中心进行中华人民共和国香港特别行政区的直接Microsoft 365 连接。 这些体系结构还支持 Microsoft 365 多地域的合规性要求,并使该流量靠近下一个 Azure Front Door 位置。 因此,它也会改善中国境外的 Microsoft 365 使用情况。
将 Azure 虚拟 WAN 与 Internet 连接结合使用时,每个连接都可以享受附加服务。 构建了 MAPS 来优化从第三方 Internet 服务提供商发往 Azure 全球网络的流量。
选项 1:SDWAN 或 VPN
本部分讨论了通过 SDWAN 或 VPN 连接到中华人民共和国香港特别行政区及其他分支机构的设计。 此选项展示了在虚拟 WAN 主干网络的两个站点上使用单纯 Internet 连接时的用法和流量流。 在此情况下,将连接带到中华人民共和国香港特别行政区,使用专用互联网接入或ICP提供商的SDWAN解决方案。 其他分支也使用单纯 Internet 或 SDWAN 解决方案。
在此体系结构中,每个站点都使用 VPN 和 Azure 虚拟 WAN 连接到 Azure 全球网络。 站点与中华人民共和国香港特别行政区之间的流量通过 Azure 网络传输,仅使用最后一英里的常规 Internet 连接。
选项 2:ExpressRoute 和 SDWAN 或 VPN
本部分讨论了在香港特别行政区以及具有 VPN/SDWAN 的其他分支使用 ExpressRoute 的设计。 此选项显示香港特区终止的 ExpressRoute 的使用,以及通过 SD-WAN 或 VPN 连接的其他分支。 中华人民共和国香港特别行政区的 ExpressRoute 目前仅限于一个简短的提供商列表,可在 Express Route 合作伙伴列表中找到该列表。
还可以通过其他一些选项从中国终止 ExpressRoute,例如,在韩国或日本终止。 但是,鉴于合规性、监管和延迟,中国香港特别行政区目前是最佳选择。
选项 3:仅使用 ExpressRoute
本部分讨论一种设计,其中 ExpressRoute 用于香港特区的中华人民共和国和其他分支机构。 此选项展示了如何在两端使用 ExpressRoute 建立互连。 此处的流量流与其他选项不同。 Microsoft 365 流量将流向 Azure 虚拟 WAN 保护的中心,然后从该中心流向 Microsoft 边缘网络和 Internet。
发往互连分支或者从互连分支发往中国境内位置的流量在该体系结构中遵循不同的方法。 目前,虚拟 WAN 不支持 ExpressRoute 到 ExpressRoute 的传输。 流量将利用 ExpressRoute Global Reach 或第三方互连,而不会通过虚拟 WAN 中心。 它将直接从一个 Microsoft 企业边缘 (MSEE) 流向另一个 MSEE。
目前,ExpressRoute Global Reach 在每个区域中都不可用,但可以使用 Azure 虚拟 WAN 配置解决方案。
例如,可以使用 Microsoft 对等互连配置 ExpressRoute,并通过该对等互连将 VPN 隧道连接到 Azure 虚拟 WAN。 现在,你已再次实现了 VPN 与 ExpressRoute 之间的传输,且未使用 Global Reach 以及第三方提供商和服务(例如 Megaport Cloud)。
后续步骤
有关详细信息,请参阅以下文章: