Share via

الاتصال مع الصين باستخدام Azure Virtual WAN و Secure Hub

  • مقالة

عند النظر إلى صناعات السيارات أو التصنيع أو الخدمات اللوجستية المشتركة أو معاهد أخرى مثل السفارات، غالبًا ما يكون هناك سؤال بشأن طريقة تحسين الربط مع الصين. هذه التحسينات ذات صلة في الغالب باستخدام الخدمات السحابية، مثل Microsoft 365 أو Azure Global Services أو ربط الفروع داخل الصين مع أساس للعميل.

يعاني العملاء في أغلب الحالات زمن انتقال عاليًا وعرض نطاق ترددي منخفضًا واتصالاً غير مستقر وتكاليف عالية للاتصال خارج الصين (على سبيل المثال، أوروبا أو الولايات المتحدة).

سبب هذه الصراعات هو «جدار الحماية العظيم للصين»، الذي يحمي الجزء الصيني من الإنترنت وينقي نسبة استخدام الشبكة إلى الصين. تقريبًا نسبة استخدام الشبكة جميعها التي تعمل من جمهورية الصين الشعبية إلى خارج الصين، باستثناء مناطق الإدارة الخاصة مثل هونغ كونغ وماكاو، تمر عبر جدار الحماية العظيم. لا تصل نسبة استخدام الشبكة التي تمر عبر هونغ كونغ وماكاو إلى "جدار الحماية العظيم" بقوة كاملة، بل تتم معالجتها بواسطة مجموعة فرعية من "جدار الحماية العظيم".

يوضح الرسم التخطيطي ترابط الموفّر.

باستخدام Virtual WAN، يمكن للعميل أن ينشئ اتصالاً أكثر أداءً واستقرارًا بخدمات Microsoft Cloud واتصالاً بشبكة مؤسسته دون انتهاك قانون الأمن السيبراني الصيني.

المتطلبات وسير العمل

إذا كنت ترغب في البقاء ملتزمًا بقانون الأمن السيبراني الصيني، فأنت بحاجة إلى تلبية مجموعة من الشروط المعينة.

أولاً، يجب عليك العمل مع شبكة وموفر خدمة الإنترنت الذي يمتلك ترخيص موفر محتوى الإنترنت (ICP) للصين. في معظم الحالات، سوف ينتهي بك الأمر مع أحد الموفرين التاليين:

  • China Telecom Global Ltd.
  • China Mobile Ltd.
  • China Unicom Ltd.
  • PCCW Global Ltd.
  • Hong Kong Telecom Ltd.

اعتمادًا على الموفر واحتياجاتك، أنت الآن في حاجة لشراء إحدى خدمات الاتصال بالشبكة التالية لربط فروعك داخل الصين.

  • شبكة MPLS/IPVPN
  • شبكة WAN محددة بالبرمجيات (SDWAN)
  • وصول مخصص للإنترنت

بعد ذلك، تحتاج إلى الاتفاق مع هذا الموفر من أجل منح اختراق لشبكة Microsoft العالمية وشبكة Edge التابعة لها في هونغ كونغ، وليس في بكين أو شنغهاي. في هذه الحالة، تُعد هونغ كونغ مهمة للغاية بسبب ارتباطها المادي وموقعها بالصين.

في حين أن معظم العملاء يعتقدون أن استخدام سنغافورة للربط البيني هو أفضل حالة لأنها تبدو أقرب إلى الصين عند النظر على الخريطة، فإن هذا ليس صحيحا. عند متابعة خرائط الألياف الضوئية للشبكة، تمر كافة اتصالات الشبكة تقريبًا عبر بكين وشنغهاي وهونغ كونغ. هذا يجعل هونغ كونغ خيارًا أفضل للموقع للترابط مع الصين.

اعتمادًا على الموفر، قد تحصل على عروض خدمة مختلفة. يوضح الجدول أدناه مثالاً لموفري الخدمة والخدمة التي يقدمونها، بناءً على المعلومات في وقت كتابة هذه المقالة.

الخدمة أمثلة للموفر
شبكة MPLS/IPVPN PCCW, China Telecom Global
SDWAN PCCW, China Telecom Global
وصول مخصص للإنترنت PCCW, Hong Kong Telecom, China Mobil

مع الموفر الخاص بك، يمكنك الاتفاق على أي من الحلين التاليين لاستخدامهما من أجل الوصول إلى الأساس العالمي لـ Microsoft:

  • تم إنهاء الحصول على Microsoft Azure ExpressRoute في هونغ كونغ. سيكون هذا هو الحال بالنسبة إلى استخدام MPLS/IPVPN. حاليًا، الموفر الوحيد لترخيص ICP مع ExpressRoute إلى هونغ كونغ هو China Telecom Global. مع ذلك، يمكنهم أيضًا التحدث مع موفري الخدمات الآخرين إذا قاموا بالاستفادة من موفري Cloud Exchange مثل Megaport أو InterCloud. لمزيد من المعلومات، انظر موفري اتصال ExpressRoute.

  • استخدام الوصول المخصص للإنترنت مباشرة في إحدى نقاط تبادل الإنترنت الآتية، أو استخدام اتصال شبكة خاصة.

تعرض القائمة التالية عمليات تبادل الإنترنت الممكنة في هونغ كونغ:

  • AMS-IX Hong Kong
  • BBIX Hong Kong
  • Equinix Hong Kong
  • HKIX

عند استخدام هذا الاتصال، يجب أن تكون وثب BGP التالي لخدمات Microsoft هو Microsoft Autonomous System Number (AS #) 8075. إذا كنت تستخدم موقعًا واحدًا أو حل SDWAN، فسيكون هذا هو اختيار الاتصال.

مع التغييرات الحالية المتعلقة بالروابط بين الصين ومنطقة هونغ كونغ الإدارية الخاصة، يقوم معظم موفري الشبكات ببناء جسر MPLS بين الصين ومنطقة هونغ كونغ الإدارية الخاصة.

يمكنك أن ترى أن اتصالات VPN من موقع إلى موقع داخل الصين مسموح بها وهي مستقرة في الغالب. الأمر نفسه ينطبق على الاتصالات من موقع إلى موقع بين الفروع في بقية العالم. ينشئ مقدمو الخدمة الآن تجميVPN/SDWAN على كلا الجانبين والجسر عبر MPLS بينهم.

يوضح الرسم التخطيطي جسر الصين MPLS.

في كلتا الحالتين، ما زلنا نوصي بأن يكون لديك اختراق ثانٍ ومنتظم للإنترنت في الصين. هذا لتقسيم نسبة استخدام الشبكة بين نسبة استخدام الشبكة للمؤسسة إلى الخدمات السحابية، مثل Microsoft 365 وAzure ونسبة استخدام الشبكة للإنترنت المنظمة بموجب القانون.

يمكن أن تبدو بنية الشبكة المتوافقة داخل الصين مثل المثال الآتي:

يظهر الرسم التخطيطي عدة فروع.

في هذا المثال، مع وجود ترابط مع شبكة Microsoft العالمية في هونغ كونغ، يمكنك الآن البدء في الاستفادة من بنية النقل العالمي لـ Azure Virtual WAN والخدمات الإضافية، مثل مركز Azure Virtual WAN الآمن، من أجل استهلاك الخدمات والربط بين فروعك ومركز البيانات خارج الصين.

الاتصال من مركز إلى مركز

في هذا القسم، نستخدم اتصال Virtual WAN من مركز إلى مركز من أجل الربط. في هذا السيناريو، تقوم بإنشاء مورد مركز Virtual WAN جديد للاتصال بمركز Virtual WAN في هونغ كونغ، أو المناطق الأخرى التي تفضلها، أو المنطقة التي تمتلك فيها بالفعل موارد Azure، أو حيث تريد الاتصال.

يمكن أن تبدو بنية العينة مثل المثال التالي:

يوضح الرسم التخطيطي عينة WAN.

في هذا المثال، تتصل فروع الصين بـ Azure Cloud China وبعضها باستخدام اتصالات VPN أو MPLS. الفروع التي تحتاج إلى أن تكون متصلة بـ Global Services تستخدم MPLS أو الخدمات المستندة إلى الإنترنت والمتصلة مباشرة بهونغ كونغ. إذا كنت ترغب في استخدام ExpressRoute في هونغ كونغ وفي المنطقة الأخرى، فأنت بحاجة إلى تكوين ExpressRoute Global Reach لربط كل من دوائر ExpressRoute.

ExpressRoute Global Reach غير متوفر في بعض المناطق. إذا كنت بحاجة للتواصل مع البرازيل أو الهند، على سبيل المثال، فأنت بحاجة إلى الاستفادة من موفري Cloud Exchange لتوفير خدمات التوجيه.

يظهر الشكل أدناه كلا المثالين لهذا السيناريو.

يوضح الرسم التخطيطي مدى الوصول العالمي.

اختراق إنترنت آمن لـ Microsoft 365

ومن الاعتبارات الأخرى أمان الشبكة وتسجيل نقطة الدخول بين الصين والعنصر الأساسي الذي أنشأته شبكة WAN الظاهرية، والعمود الفقري للعميل. في معظم الحالات، توجد حاجة إلى اختراق الإنترنت في هونغ كونغ للوصول مباشرة إلى شبكة Microsoft Edge، ومع ذلك، فإن خوادم Azure Front Door تستخدم لخدمات Microsoft 365.

لكلا السيناريوهين باستخدام Virtual WAN، يمكنك الاستفادة من مركز Azure Virtual WAN الآمن. باستخدام Azure Firewall Manager، يمكنك تغيير Virtual WAN العادي إلى مركز آمن، ثم نشر وإدارة جدار حماية Azure داخل هذا المركز.

يظهر الشكل التالي مثالاً على هذا السيناريو:

يوضح الرسم التخطيطي الاختراق عبر الإنترنت لنسبة استخدام شبكة خدمات الويب وMicrosoft.

تدفقات البنية ونسبة استخدام الشبكة

اعتمادًا على اختيارك فيما يتعلق بالاتصال بهونغ كونغ، قد تتغير البنية العامة بشكل طفيف. يعرض هذا القسم ثلاث بنى متوفرة في تركيبة مختلفة مع VPN أو SDWAN وExpressRoute أو أيّ منهما.

تستخدم كافة هذه الخيارات مركز Azure Virtual WAN الآمن للاتصال المباشر بـ Microsoft 365 في هونغ كونغ. تقوم هذه البنى أيضًا بدعم متطلبات التوافق لـ Microsoft 365 Multi-Geo وتحافظ على نسبة استخدام الشبكة هذه بالقرب من موقع Azure Front Door التالي. نتيجة لذلك، تُعد أيضًا تحسينًا لاستخدام Microsoft 365 خارج الصين.

عند استخدام Azure Virtual WAN مع اتصالات الإنترنت، يمكن أن يستفيد كل اتصال من خدمات إضافية مثل خدمات Microsoft Azure Peering (MAPS). تم تصميم MAPS لتحسين نسبة استخدام الشبكة القادمة إلى شبكة Microsoft العالمية من موفري خدمة الإنترنت من الطرف الثالث.

الخيار 1: SDWAN أو VPN

يناقش هذا القسم تصميمًا يستخدم SDWAN أو VPN لهونغ كونغ والفروع الأخرى. يوضح هذا الخيار الاستخدام ونسبة استخدام الشبكة عند استخدام اتصال إنترنت خالص على كلا موقعي شبكة Virtual WAN الأساسية. في هذه الحالة، يتم إحضار الاتصال إلى هونغ كونغ باستخدام وصول مخصص للإنترنت، أو حل SDWAN لموفر ICP. تقوم الفروع باستخدام الأخرى الإنترنت أو حلول SDWAN أيضًا.

يوضح الرسم التخطيطي نسبة استخدام الشبكة من الصين إلى هونغ كونغ.

في هذه البنية، يتم توصيل كل موقع بشبكة Microsoft العالمية باستخدام VPN وAzure Virtual WAN. يتم نقل نسبة استخدام الشبكة بين المواقع وهونغ كونغ عبر شبكة Microsoft ولا تستخدم سوى اتصال إنترنت منتظم في الميل الأخير.

الخيار 2: ExpressRoute وSDWAN أو VPN

يناقش هذا القسم تصميمًا يستخدم ExpressRoute في هونغ كونغ والفروع الأخرى ذات فروع VPN/SDWAN. يوضح هذا الخيار استخدام ExpressRoute وإنهاءه في هونغ كونغ والفروع الأخرى المتصلة عبر SDWAN أو VPN. يقتصر ExpressRoute في هونغ كونغ حاليًا على قائمة قصيرة من موفري الخدمات، والتي يمكنك العثور عليها داخل قائمة شركاء Express Route.

يوضح الرسم التخطيطي نسبة استخدام الشبكة من الصين إلى هونغ كونغ - ExpressRoute.

توجد أيضًا خيارات لإنهاء ExpressRoute من الصين، على سبيل المثال، في كوريا الجنوبية أو اليابان. ولكن نظرًا إلى التوافق والتنظيم وزمن الانتقال، تُعد هونغ كونغ حاليًا الخيار الأفضل.

الخيار 3: ExpressRoute لا غير

يناقش هذا القسم التصميم الذي يتم فيه استخدام ExpressRoute لهونغ كونغ والفروع الأخرى. يعرض هذا الخيار الربط باستخدام ExpressRoute على كلا الطرفين. يوجد لديك تدفق نسبة استخدام الشبكة مختلف عن الآخر. ستتدفق نسبة استخدام الشبكة Microsoft 365 إلى مركز Azure Virtual WAN الآمن ومن هناك إلى شبكة Microsoft Edge والإنترنت.

ستتبع نسبة استخدام الشبكة التي تذهب إلى الفروع المترابطة أو منها إلى المواقع في الصين نهجًا مختلفًا داخل تلك البنية. لا تدعم شبكة WAN الظاهرية حاليا نقل ExpressRoute إلى ExpressRoute. ستستفيد نسبة استخدام الشبكة من ExpressRoute Global Reach أو الربط للطرف الثالث دون اجتياز مركز WAN الظاهري. سوف تتدفق مباشرة من Microsoft Enterprise Edge (MSEE) إلى آخر.

يظهر الرسم التخطيطي ExpressRoute Global Reach.

لا يتوفر ExpressRoute Global Reach حاليا في كل بلد/منطقة، ولكن يمكنك تكوين حل باستخدام Azure Virtual WAN.

يمكنك، على سبيل المثال، إنشاء ExpressRoute مع Microsoft Peering وتوصيل نفق VPN من خلال هذا التناظر إلى Azure Virtual WAN. لقد قمت الآن، مرة أخرى، بتمكين النقل بين VPN وExpressRoute بدون Global Reach وموفر وخدمة الطرف الثالث، مثل Megaport Cloud.

الخطوات التالية

راجع المقالات الآتية لمزيد من المعلومات: