تسريع الشبكة العالمية: استخدم Azure Front Door و ExpressRoute لإنشاء قناة شبكة حصرية على مستوى المؤسسات متعددة الجنسيات

سحابة 2026-06-01 阅读 5

في تطور بنية تكنولوجيا المعلومات للشركات متعددة الجنسيات أو التجارة الإلكترونية العالمية أو منصات SaaS الخارجية ، غالبًا ما يكون تأخير الشبكة واهتزازها "القاتل الأول" الذي يخنق تجربة المستخدم.

يجب أن تكون قد واجهت مثل هذا "المشهد" للشبكة العامة: قام فريق البحث والتطوير في المقر الرئيسي المحلي بكتابة واجهة برمجة التطبيقات الأساسية ونشرها في السحابة. عندما يتم الاتصال بالفروع الخارجية أو المشترين متعددي الجنسيات ، يجب أن تمتد حركة المرور عبر آلاف الكيلومترات من المحيط الهادئ. نظرًا لازدحام الشبكة العامة والاختناقات البينية التي لا هوادة فيها (اهتزاز BGP) بين المشغلين متعددي الجنسيات ، ارتفعت طلبات المللي ثانية الأصلية مباشرة إلى أكثر من 3 ثوانٍ. غالبًا ما يظهر جانب المستخدم "أثناء التحميل" و "مهلة الاتصال" ، وفي النهاية تطورت إلى توقف متكرر للمديرين التنفيذيين الأساسيين في مؤتمرات الفيديو متعددة الجنسيات ، وانقطع اتصال PPT مباشرة.

تتمثل الطريقة التقليدية في شراء خطوط مخصصة مادية باهظة الثمن (MPLS) في جميع أنحاء العالم ، أو نسخ مجموعة من قواعد البيانات والخوادم نفسها (بنية متعددة الأغراض) في كل منطقة خارجية. ومع ذلك ، فإن الخط الخاص للفيزياء لا يقتصر فقط على عملية الموافقة لعدة أشهر ، ولكن الإيجار الشهري المرتفع الثمن يمكن أن يبتلع بشكل مباشر جميع أرباح المشروع ؛ وتزامن اتساق البيانات خارج الموقع الذي يجلبه الهيكل متعدد الأغراض يمكن أن يجعل فريق البحث والتطوير يفقد شعره.

في بيئة الشبكة السحابية الأصلية لشركة Microsoft ، هناك مجموعة من "مجموعات وانغ تشاو" التي تم إنشاؤها للفتح النهائي لشريان الشبكة العالمي:

Azure Front Door (بوابة تسريع الحافة العالمية) و Azure ExpressRoute (الطريق السريع الحصري للسحابة)

منطقها الأساسي متعجرف للغاية:

تم تقليل عدم إمكانية التحكم في الشبكة العامة العالمية إلى الصفر ، وتم تغيير الشبكة الأساسية الخاصة الأعلى في العالم التي بنتها Microsoft.

اليوم نرفض أي وعظ رسمي ، دون الحديث عن مفهوم الكتاب المدرسي الممل. مباشرة من القتال الفعلي على المستوى الصناعي للنواة الصلبة ، يأخذك المقبض إلى هذه المجموعة من اللكمات لحام قناة شبكة عالمية حصرية منخفضة التأخير وعالية الاستخدام للشركات متعددة الجنسيات بسرعة.

المرحلة الأولى: التفكيك العميق ، تسريع عبر الوطني "النموذج الجراحي المشترك"

قبل الذهاب إلى وحدة التحكم Azure والنقر بالماوس ، يجب عليك إنشاء هذا النموذج للعالم المادي في ذهنك مع مجموعة قبضة الشبكة المستضافة بالكامل. كثير من الناس لا يستطيعون التمييز بين تقسيم العمل بين Front Door و ExpressRoute. في الواقع ، أحدهما مسؤول عن "الإغلاق العالمي لطبقة الجلد الخارجية" والأخر مسؤول عن "التنبيب المادي لطبقة الهيكل العظمي الحشوية".

حماية طبقة الجلد: Azure Front Door (بوابة أمان للمستخدمين في جميع أنحاء العالم): Front Door هو موازن عالمي لحمل الحافة مستضاف بالكامل يعتمد على بروتوكول Anycast. عندما يبدأ المستخدمون في جميع أنحاء العالم طلبًا ، لن تعبر حركة المرور المحيط مباشرة ، ولكن في غضون ثانية واحدة ، ستضرب غرفة الكمبيوتر الهامشية (نقاط PoP) التابعة لشركة Microsoft في مئات المدن حول العالم. بمجرد دخول حركة المرور إلى نقطة PoP ، فإن ذلك يعادل الابتعاد عن شبكة الإنترنت الموحلة والدخول مباشرة على شبكة العمود الفقري العالمية الخاصة التي أنشأتها Microsoft بتكلفة 10 مليارات دولار أمريكي ، وهي معزولة بالكامل بالألياف الضوئية. هنا ، يستخدم Front Door إلغاء SSL واتفاق TCP

Split TCP (Split TCP) ، يؤخر المصافحة الطويلة عبر المحيطات ويضغط مباشرة إلى مستوى لا يمكن اكتشافه بالعين المجردة.

التنبيب في طبقة الهيكل العظمي: Azure ExpressRoute (الشريان المادي لغرفة الكمبيوتر): إذا كان Front Door يحل تسريع "المستخدمين العالميين إلى Microsoft Cloud" ، فإن ExpressRoute يحل الخطوة الأخيرة من "Microsoft Cloud إلى مركز البيانات المحلي (IDC/المقر الرئيسي)". إنها تتخطى الشبكة العامة ، ومن خلال الألياف الضوئية المادية لمشغل الاتصالات ، تسحب مباشرة بين غرفة الكمبيوتر المحلية الخاصة بك والشبكة الداخلية لـ Azure ، "أنبوب التنبيب الداخلي المادي" الحصري مع عرض نطاق ترددي غير محدود وتأخير ثابت تمامًا.

استنتاج البنية الأساسية: عندما يتم دمج الاثنين في واحد ، يتم اعتراض حركة مرور المستخدمين العالميين بواسطة Front Door على الحافة ، وتصل بسرعة إلى السحابة عبر العمود الفقري العالمي لشركة Microsoft ، ثم تدخل غرفة الكمبيوتر المحلية في المقر الرئيسي من خلال خط ExpressRoute. تدرك كلتا الشبكتين "إزالة الشبكة العامة" ، وهي أعلى حلقة مغلقة للاتصالات عبر الوطنية وفقًا لمعايير الشركات المصنعة الكبرى الحديثة.

المرحلة الثانية: التمرين القتالي الفعلي 1-تكوين Azure Front Door لمنع تأخير الحافة العالمية

دعونا أولاً نحاكي المشهد القتالي الفعلي الأول: يتم نشر واجهة برمجة تطبيقات الإنتاج الأساسية لشركتك في الجزء الخلفي من شرق آسيا (هونج كونج). الآن نريد السماح للموظفين الأجانب في أوروبا وأمريكا وجنوب شرق آسيا بزيارة واجهة برمجة التطبيقات هذه ، وتجربة الجلوس في مكتب هونغ كونغ.

تسجيل الدخول

بوابة Azure (البوابة)

، ابحث وادخل

”Front Door and CDN profiles“

الصفحة.

1. إنشاء سوق عالمي لتسريع السوق

انقر فوق "Create" في الجزء العلوي ، والتوصية بتحديد "Azure Front Door Premium" مباشرة في الخيارات (يأتي الإصدار المتميز مع WAF عالي المستوى للمصنع ، وهو معيار للذهاب إلى البحر).

انقر على "Quick create" (إنشاء سريع).

التكوين الأساسي: حدد مجموعة الموارد الخاصة بك واطلق على الملف الشخصي اسم Global-core-accelerator.

2. نقطة النهاية الأمامية ومحطة المصدر الخلفية (Endpoint & Origin)

اسم Endpoint (اسم نقطة النهاية): هذا اسم نطاق موحد عالي الدفاع يتم توزيعه على المستخدمين في جميع أنحاء العالم ، مثل api-global.azurefd.net (يمكن ربط api.yourcompany.com اسم المجال الخاص بشركتك بسلاسة لاحقًا).

النوع الأصلي: اختر "Custom" (مخصص) أو اختر الجهاز الظاهري ، خدمة التطبيقات بناءً على خدماتك. أدخل عنوان IP أو اسم المجال العام الحقيقي لخادمك الرئيسي الحالي في هونغ كونغ هنا.

Forwarding protocol (بروتوكول إعادة التوجيه): قفل HTTPS بحزم

فقط

، دع Front Door يقوم بمصافحة شهادة SSL (SSL Offloading) مباشرة عند نقطة PoP على حافة العالم ، ويزيل ضغط حساب التشفير الثقيل تمامًا من خادمك في هونغ كونغ.

انقر على إنشاء. سيستخدم محرك نشر Microsoft حوالي 1 ~ في دقيقتين ، تمت مزامنة هذه المجموعة من التوجيه المتسارع واستراتيجية جدار حماية WAF على بوابات الحافة لمئات المدن الكبرى حول العالم.

المرحلة الثالثة: التمرين القتالي الفعلي 2-فتح الشريان الرئيسي لخط الفيزياء الخاص بـ Azure ExpressRoute

بعد الانتهاء من إغلاق الواجهة الأمامية ، يتعين علينا الآن فتح الخط المادي المخصص من Azure Cloud Virtual Network (VNet) إلى غرفة الكمبيوتر ذاتية البناء في المقر الرئيسي لشنغهاي المحلي.

الخطوة 1: التقدم بطلب للحصول على "بطاقة" ExpressRoute الحصرية (Circuit) في السحابة

ابحث عن "ExpressRoute circuits" في وحدة التحكم في Azure ، انقر على إنشاء.

Provider (مزود الخدمة): وفقًا للموقع الفعلي لغرفة الكمبيوتر المحلية الخاصة بك ، حدد المشغل المقابل (مثل China Telecom أو China Unicom أو Megaport أو Equinix التي يشيع استخدامها من قبل الشركات المصنعة الكبيرة).

موقع Peering (موقع متصل من نظير إلى نظير): اختر نقطة الوصول الفعلية (مثل Hong Kong أو Shanghai) التي يسحب فيها الخط الخاص بك إلى السحابة.

Bandwidth (النطاق الترددي): اختيار حسب الميزانية (مثل 100Mbps إلى 10Gbps).

SKU: اختر "Standard" أو "Premium" (يدعم Premium الترابط عبر الحدود الجغرافية).

انقر على إنشاء. بعد النجاح ، تظهر Azure علامة سرية أساسية للغاية على الشاشة:

"Service Key (مفتاح الخدمة)"

إجراءات تجنب الحفرة ذات النواة الصلبة: نسخ سلسلة مفاتيح الخدمة هذه وإرسالها إلى مدير حساب مشغل الاتصالات الخاص بك. بعد استلام هذا المفتاح ، سيقوم المشغلون بسحب الألياف الضوئية إلى شركتك في غرفة الكمبيوتر الفعلية الخاصة بهم للقيام "بالأسلاك" المادية مع مفتاح Microsoft Cloud. عندما تصبح الحالة Provisioned (تم تكوينها) ، فهذا يعني أن الألياف المادية متصلة بالكامل!

الخطوة 2: إنشاء "غرفة إرسال واستقبال الشبكة" الحصرية في السحابة (اتصال البوابة)

تم سحب الخط المادي ، ولكن كيف يمكن توصيل حركة مرور الخط الخاص بالجهاز الظاهري في السحابة ؟ نحتاج إلى إنشاء "غرفة إرسال واستقبال شبكية" في السحابة.

انتقل إلى الشبكة الافتراضية (VNet) وانقر على إنشاء "بوابة ويب افتراضية".

نوع البوابة (نوع البوابة): يجب أن تتعرف على "ExpressRoute" ، ولا تختار بوابة VPN العادية.

بعد إنشاء البوابة (عادة ما تستغرق 20 دقيقة) ، انقر للدخول إلى البوابة ، ابحث عنها

"الاتصال" ، انقر على إضافة.

اربط دائرة ExpressRoute التي بنتها للتو في نوع الاتصال.

في هذه المرحلة ،

من المستخدمين في جميع أنحاء العالم-> Microsoft Edge PoP(Front Door) -> Microsoft Cloud Virtual Network (VNet) -> ExpressRoute-> غرفة الكمبيوتر الخاصة بالمؤسسة

حلقة مغلقة من الشبكة الداخلية الخالصة للرابط الكامل متصلة بالكامل!

المرحلة الرابعة: مشهد يشهد المعجزة-اختبار فحص جسمي عبر الإنترنت

بعد فتح الخط بأكمله ، لا نحتاج إلى المقامرة بناءً على المشاعر ، فنحن نستخدم تعليمات اختبار الشبكة القياسية مباشرة لمعرفة مدى رعب هذه القناة الحصرية متعددة الجنسيات.

دع مطور فريق الاستعانة بمصادر خارجية في لندن أو وادي السيليكون في أوروبا يستخدم مباشرة IP العام للوصول إلى محطة مصدر هونغ كونغ في محطة الكمبيوتر المحلية الخاصة به ، وتسريع الوصول إلى اسم المجال من خلال الوحدة العالمية لـ Front Door:

باش

# اختبار 1: قم بزيارة محطة مصدر هونغ كونغ مباشرة عبر الشبكة العامة

CURL-o /dev/null -s -w %{time_connect} https://vi/v1/status محطة مصدر هونغ كونغ

# الاختبار الثاني: الوصول إلى القناة العالمية عبر Azure Front Door

CURL-o /dev/null -s -w %{time_connect} https://api-global.azurefd.net/api/v1/status

مقارنة بيانات الاختبار الصادمة

الاختبار 1 (الذهاب إلى الشبكة العامة): نظرًا لأنه يتعين عليك المرور عبر عدد لا يحصى من عقد BGP للشبكة العامة التي لا يمكن التحكم فيها على طول الطريق ، وعليك أيضًا مواجهة اعتراض التصدير الدولي ، time_connect (وقت مصافحة TCP) عادة ما يكون 280 مللي ثانية ~ هناك ارتعاش عنيف بين 450 مللي ثانية ، وغالبًا ما يصل معدل فقدان الحزمة إلى أكثر من 5 ٪.

الاختبار 2 (خذ قناة Front Door): نظرًا لأن المستخدمين في لندن أو Silicon Valley قد اصطدموا بنقطة Microsoft PoP المحلية في غضون بضعة مللي ثانية ، وأكملوا مصافحة TCP على الحافة. سوف يسقط time_connect على الفور ويستقر عند 3ms ~ بين 8ms.

ينقر المستخدم على التطبيق في الواجهة الأمامية ، ويتم فتح الصفحة في ثوانٍ. نظرًا للآلاف المتبقية من الكيلومترات الطويلة ، يتم تشغيل حركة المرور في شبكة العمود الفقري لمايكروسوفت بسرعة ضوء تقريبًا ومعدل خسارة صفر في الساعة.

المرحلة الخامسة: تاريخ تجنب الدماء والدموع في ظل هيكل الشبكة عبر الوطنية

بعد تشغيل هذا الهيكل السلس ، تكون تجربة الاتصال للشركات متعددة الجنسيات مثالية. ولكن للبقاء على قيد الحياة في تدقيق تجاري حقيقي وبيئة شبكة متعددة الجنسيات معقدة للغاية ، بصفتك كبير مهندسي الشبكات ، يجب عليك على الفور اللحام بالمواصفات الأساسية التالية لتجنب الحفر:

1. "حفرة الامتثال" القاتلة-"حقل الألغام" للإرسال عبر الوطني

كانت العديد من الفرق متحمسة بعد تعديل الإنترنت ، مباشرة في الصين

يتم نقل جميع العمليات في المقر الرئيسي والفروع الخارجية (بما في ذلك حركة المرور التي تنطوي على بيانات حساسة) بشكل كامل عبر هذا الشريان الرئيسي.

حدوث الكوارث: يحتوي نقل الشبكة عبر الحدود على خطوط دفاع صارمة للغاية للامتثال في القوانين واللوائح (مثل تدقيق الامتثال لخروج البيانات عبر الحدود في الصين ، والناتج المحلي الإجمالي الأوروبي ، وما إلى ذلك). قد يواجه إنشاء خط مخصص للفيزياء عبر الحدود غير الموثقة بشكل خاص أو نقل بيانات أساسية محددة دون تدقيق في أي وقت كسر الرابط بالكامل ، أو حتى تواجه الشركة غرامات إدارية ضخمة.

عمليات التجنب القياسية للمصنعين الكبار: عند استخدام رابط ExpressRoute عبر الحدود ، من الضروري التأكد من تقديم مؤهلات كاملة باللغتين الصينية والإنجليزية للشركات إلى المشغلين الرسميين المتوافقين الذين يحملون تراخيص أعمال الاتصالات عبر الحدود (مثل China Telecom و China Unicom وما إلى ذلك) للتسجيل في الامتثال. عندما يتعلق الأمر بالأعمال التجارية عبر الحدود ، من خلال استراتيجية توجيه عنوان URL في طبقة Front Door ، يتم تخزين "بيانات الخصوصية الشخصية للمستخدم" الحساسة محليًا في الخارج (مثل البيانات الأوروبية التي يتم الاحتفاظ بها في غرفة الكمبيوتر في أوروبا الغربية) ، ويتم نقل تعليمات أعمال إزالة التحسس والإحصاءات فقط إلى المقر الرئيسي من خلال خط مخصص. الامتثال المعماري هو أول خط الجهد العالي لتكنولوجيا المعلومات متعددة الجنسيات.

2. يُمنع منعًا باتًا تعريض خط ExpressRoute الخاص للشبكة العامة "للركض عارياً"

يعتقد العديد من المبتدئين أنه نظرًا لأن ExpressRoute هو خط مخصص للألياف الضوئية المادية ، فمن المستحيل تمامًا على المتسللين الدخول من الشبكة العامة ، لذلك لا يوجد تشفير للبيانات المرسلة على الشبكة الداخلية ، وحتى كلمة مرور بروتوكول التوجيه (BGP) فارغة.

من الداخل الخطير: على الرغم من أن الخط المخصص لا يستخدم الشبكة العامة ، إلا أنه لا يزال يتعين عليه المرور عبر غرفة الكمبيوتر الفعلية ومشغل الطرف الثالث. بمجرد أن تواجه غرفة الكمبيوتر الخاصة بالمشغل شبحًا داخليًا أو خطأ في تكوين الأجهزة ، لا تزال حركة مرور الشبكة الداخلية الخاصة بك معرضة لخطر المراقبة أو الاعتراض الالتفافي.

مواصفات التعزيز الأساسية: فوق الخط المخصص ، ضع طبقة أخرى من الجلد (VPN عبر ExpressRoute). في إطار الأمان عالي المستوى الخاص بالشركات المصنعة الكبرى ، حتى إذا تم بناء ExpressRoute ، فيجب سحب نفق VPN مشفر عالي الكثافة يعتمد على IPsec على الإنترنت الخاص للخط المخصص. دع جميع البيانات التي ترتفع في الخط المخصص تكمل التشفير الثاني القوي الذي تسيطر عليه الشركة بشكل مستقل قبل مغادرة غرفة الكمبيوتر. بهذه الطريقة ، حتى لو تم قطع الألياف الضوئية المادية عن طريق الخصر والشم ، فإن ما يحصل عليه المتسللون هو مجرد مجموعة من الرموز المشوهة التي لا معنى لها.

الخلاصة

باستخدام Azure Front Door و ExpressRoute لإنشاء قناة شبكة حصرية على مستوى المؤسسات متعددة الجنسيات ، يكمن جوهر المستوى الصناعي الأساسي في الواقع في ستة عشر كلمة:

إغلاق الحافة ، شحن العمود الفقري ، التنبيب المادي ، قفل الامتثال

لقد ودعت تمامًا الحالة السلبية الأصلية في الماضي المتمثلة في مشاهدة مشغلي الشبكات العامة يأكلون ويخافون من شلل الشبكة العابرة للمحيطات. تمت استضافة تحسين التوجيه العالمي المرهق ، والتنظيف عالي المقاومة ، والإرسال لمسافات طويلة بالكامل في البنية التحتية العليا لمصنع Yunda. أثناء الاستمتاع بالشعور المنعش الشديد للمستخدمين العالميين وهم يهتفون "في الثانية" ، سيكون الجزء الخلفي الرقمي لإمبراطوريتك متعددة الجنسيات بأكملها مستقرًا مثل تاي

جبل.