グローバルネットワークの高速化: Azure frontdoorとexpressルートを利用して、多国籍企業レベルの専用ネットワークチャネルを構築します

多国籍企業、世界的な海外の電気商、あるいは海外のSaaSプラットフォームのITアーキテクチャの発展の中で、ネットワークの遅延とジッターは、多くの場合、ユーザー体験を殺す「第一の殺し屋」である。

国内本部の研究開発チームがコアAPIを書いて、クラウドに配置したというパブリックネットワークの「名場面」に遭遇したことがあるに違いない。海外の支店や多国籍のバイヤーが呼び出しに行く時、流量は数千キロの太平洋を越えなければなりません。公共網の渋滞、多国籍事業者間の非情な相互接続のボトルネック (BGPジッター) によって、本来のミリ秒級の要求は直接3秒以上に上昇した。クライアントは頻繁に「ロード中」、「接続タイムアウト」が現れ、最後にはコア幹部が多国籍ビデオ会議で頻繁にカトン、PPTが直接切断されるようになった。

伝統的なやり方は、世界で高価な物理専用線 (MPLS) を買うか、海外の各地域で全く同じデータベースとサーバ (多活アーキテクチャ) をコピーすることである。しかし、物理専用線は審査プロセスが数ヶ月に及ぶだけでなく、天価の月借りはプロジェクトのすべての利益を直接飲み込むことができる多活構造がもたらすオフサイトのデータの整合性が同期して、研究開発チームに髪を落とすことができる。

マイクロソフトのクラウド原生ネットワーク生態には、世界的なネットワークの大動脈を究極的に貫通するために生まれた「王爆グループ」がある

Azure frontdoor (グローバルエッジ加速ゲートウェイ) とAzure expressルート (クラウド専用高速道路)

。

その核心的な論理は非常に覇道である

全世界の公衆網の制御性をゼロにして、全面的にマイクロソフトが自分で作った世界トップクラスの私有基幹網を変えます。

今日私たちは公式な説教を拒否し、退屈な教科書の概念を引っ張らない。ハードコアの工業レベルの実戦から直接切り込んで、手を持ってこの組み合わせの拳を使って、多国籍企業のために低遅延、高可用性の専属的なグローバルネットワークチャネルを急速に溶接して死ぬ。

第一段階: 深さ解体、多国籍が加速する「内外科連合手術モデル」

Azureコンソールでマウスをクリックする前に、この完全な管理ネットワークの組み合わせ拳の基礎となる物理世界モデルを頭の中に構築しなければならない。多くの人は、フロントドアとexpressルートの分業が分からないが、実は「外見の皮膚層の全球遮断」を担当し、「内臓骨格層の物理挿管」を担当している。

皮膚層保護: Azure frontdoor (グローバルユーザー向けのセキュリティゲート): frontdoorは、完全にホストされたAnycastプロトコルベースのグローバルエッジ負荷分散器です。世界各地のユーザーが要求を出したとき、トラフィックは直接洋を越えず、1秒以内にマイクロソフトが世界の数百都市に広がるエッジルーム (PoPポイント) にぶつかった。トラフィックがPoPポイントに入ると、ぬかるんだインターネットの公衆網を離脱し、マイクロソフトが100億ドルをかけて作った、全光ファイバ隔離の世界的な民間バックボーン網を直接踏んだ。ここで、フロントドアはSSLオフロードとTCPプロトコルを利用しています

提案最適化(Split TCP) は、本来の長い横断握手を遅延させ、肉眼では感知できないレベルに直接圧縮する。

骨格層挿管: Azure express route (企業向け機械室の物理的動脈): フロントドアが「グローバルユーザーからマイクロソフトのクラウドへ」の加速を解決したと言ったらexpressルートが解決したのは「マイクロソフトクラウドから企業のローカルにデータセンター (IDC/本社ルーム) を建設する」という最後のステップである。パブリックネットワークをスキップして、通信事業者の物理光ファイバを介して、あなたのローカルルームとAzureのイントラネットの間に直接帯域幅に上限がなく、遅延が絶対に死んで固定されている専用の「物理内ネット挿管」を引き出す。

コアアーキテクチャの結論: この2つが一つになったとき、全世界のユーザーのトラフィックはエッジでフロントドアに遮断され、マイクロソフトの全世界のバックボーン網を通って急速にクラウドに到着したexpressルートの専用線を通って、あなたの地元の本部室に入ります。二つのネットワークはすべて「パブリックネットワーク化」を実現し、これこそ現代の大工場標準のトップレベルの多国籍通信閉ループである。

第二段階: 実戦演習一 -- Azure frontdoorを配置して世界のエッジ遅延を阻止する

私たちはまず最初の実戦シーンをシミュレーションします。あなたの企業の核心生産APIは東アジア (香港) のバックエンドに配置されています。今、私たちは欧米、東南アジアの海外の従業員にこのAPIを訪問させます体験は香港のオフィスに座っているのと同じです。

ログイン

Azureポータル（ポータル）

、検索してアクセスする

「Frontdoor and CDN profiles」

ページ。

1.世界的な加速大皿を創立する

一番上の「Create」をクリックして、オプションの中で直接に「Azure frontanimspremium」を選択することをお勧めします (上級版には大手工場の高防WAFが付属しており、海に出て標準装備されています)。

「Quick create」をクリックします。

基本構成: あなたのリソースグループを選んで、プロフィールにグローバル-core-acceleratorと名付けます。

2.溶接死フロントエンドとバックエンドのソースステーション (Endpoint & Origin)

Endpoint name (エンドポイント名): これは、api-global.azurefd.netなど、グローバルユーザーに配布される統一的な高防御ドメイン名です (その後、あなたの会社自身のドメイン名api.yourcompany.comをシームレスに結びつけることができます)。

Origin type (ソーステーションタイプ): 「Custom」 (カスタム) を選択するか、サービスに応じて仮想マシン、App Serviceを選択します。ここにあなたの現在の香港メインサーバの実際のパブリックネットワークIPまたはドメイン名を入力します。

フォワーディングプロトコル (転送プロトコル): HTTPSを断固としてロックする

オンリー

、FrontdoorにグローバルエッジPoPポイントで直接SSL証明書ハンドシェイクを行わせ、重い暗号化計算のストレスを香港のサーバーから完全にオフロードします。

作成をクリックします。マイクロソフトの導入エンジンは約1 ~ 2分で、この加速ルートとWAFファイアウォール戦略を世界の数百の主要都市のエッジエッジゲートウェイに同期します。

第三段階: 実戦演習二 -- Azure expressルート物理専用線の動脈を貫通する

フロントエンドの遮断が完了しました。今はAzureクラウド仮想ネットワーク (VNet) から地元の上海本部まで機械室の物理専用線を構築します。

手順1: クラウドでexpressルート専用の「通行証」 (Circuit) を申請します。

Azureコンソールで「express route circuits」を検索し、作成をクリックします。

プロバイダ (サービスプロバイダ): ローカルルームの物理的な場所に応じて、China Telecom、China Unicom、大工場でよく使われるMegaport、Equinixなどのキャリアを選択します。

Peering location (ピアツーピア相互接続の場所): あなたの専用線を選んでクラウドの物理アクセスポイントに引き込みます。

バンド幅: 予算に応じて選択します (例: 100mbpsから10Gbps)。

SKU: 「Standard」または「Premium」を選択します。

作成をクリックします。成功すると、Azureは画面上に非常に中核的な暗号を表示します

「Service Key (サービスキー) 」

。

ハードコアのピット回避動作: このサービスキーをコピーして、あなたの通信事業者のアカウントマネージャに送ります。キャリアはこのKeyを受け取った後、彼らの物理的な機械室であなたの会社に引き込まれた光ファイバを、マイクロソフトのクラウドのスイッチと物理的な「打線」をします。ステータスが「プロビジョニング済み」になったときに、物理ファイバが完全にオンになったことを示します

手順2: クラウドに専用の「ネットワーク送受信室」を設置する (ゲートウェイ接続)

物理的な線はできましたが、専用線のトラフィックはどのようにしてクラウド内の仮想マシンとやり取りしますか?クラウドに「インターネット送受信室」を作る必要があります。

あなたの仮想ネットワーク (VNet) に入り、「バーチャルネットワークgateway」を作成します。

Gateway type (ゲートウェイタイプ): 通常のVPNゲートウェイを間違って選択しないように、「expressルート」を死ぬ必要があります。

ゲートウェイが作成されたら (通常は20分かかります) 、クリックしてゲートウェイに入り、見つけます

「接続」をクリックして追加します。

接続タイプに、あなたが作成したexpressルートCircuitをバインドします。

これで、

全世界のユーザー-> マイクロソフトエッジPoP-> マイクロソフトクラウド仮想ネットワーク (VNet) -> 物理専用線-> 企業が自分で機械室を構築します。

の全リンク純内ネット閉ループ、徹底的に全線貫通!

第四段階: 奇跡を目撃する現場 ― 多国籍ネットワークの肉体検査テスト

全線が通じた後、私たちはギャンブルを感じる必要はなく、直接標準的なネットテスト指令を使って、この多国籍の専属通路がどれだけ怖いか見てみましょう。

ヨーロッパのロンドンやアメリカのシリコンバレーにいるアウトソーシングチームの開発者に、彼らのローカルコンピュータ端末で、それぞれパブリックネットワークIPを使って香港のソースサイトにアクセスさせフロントドアの世界統一を通じてドメイン名のアクセスを加速します。

バッシュ

# テスト1: 公共網を越えて直接万里の長征が香港の源駅を訪問する

Curl-o /dev/null -s -w %{time _ connect} https:// 香港ソースステーション実IP/api/v1/status

# テスト2: Azure frontdoorグローバルチャネルを介したアクセス

カール-o /dev/null -s -w %{time _ connect} https://api-global.azurefd.net/api/v1/status

衝撃的なテストデータの比較

テスト1 (パブリックネットワークを歩く): 途中で無数の制御できないパブリックネットワークBGPノードを通過し、国際輸出傍受に遭遇したためtime _ connect(TCPハンドシェイク時間) は通常280ms ~ 450msの間で激しく揺れ、パケットロス率は常に5% 以上になる。

テスト2: ロンドンやシリコンバレーのユーザーが外出すると、わずか数ミリ秒以内に地元のマイクロソフトPoPポイントにぶつかって、エッジでTCP握手を完了した。Time_connectは瞬時に暴落し、死死して3ms ~ 8msの間に安定する。

ユーザーはフロントエンドでAppをクリックし、ページが秒で開く。残りの数千キロの長旅のため、流量はマイクロソフトの時速が光速に近い、ゼロパケット損失率のバックボーンネットで完走した。

第五段階: 多国籍ネットワークアーキテクチャでのピット血涙歴

このようなシームレスなアーキテクチャが駆け上がった後、多国籍企業の通信体験は完璧と言えます。しかし、本当のビジネス監査と非常に複雑な多国籍ネットワーク環境で生きていくには、最高のネットワーク設計者として、すぐに次の2つの下線を溶接しなければならない

1. 致命的な「コンプライアンス大坑」 ― 多国籍輸送の「雷区」

多くのチームがネットに通じた後、興奮して、直接国内を

本社と海外の支社のすべての業務 (機密データに関わる流量を含む) は、この動脈を通じて全量の相互伝達を行う。

災害発生: 国境を越えたネットワークは法律法規 (中国国境を越えたデータ出国コンプライアンス監査、ヨーロッパGDPRなど) に極めて厳しいコンプライアンス防御線がある。登録されていないクロスボーダー物理専用線を無断で確立したり、監査を加えずに特定のコアデータを転送したりすることは、いつでもリンク全体が一刀両断されたり、会社が巨額の罰金を科す行政処罰に直面する可能性がある。

大工場標準ピット回避操作: expressルートクロスボーダーリンクを使用する場合、国境を越えた電気通信業務のナンバープレートを持っている公式コンプライアンス事業者 (例えば、中国電信、中国聯通など) に完全な企業の英語資格を提出してコンプライアンスを記録しなければならない。国境を越えた業務は、フロントドア層でURLルーティングポリシーを通じて、敏感な「ユーザーのプライバシーデータ」をその場で海外の現地に保存している (例えば、ヨーロッパのデータは西ヨーロッパの機械室に残っている)。脱敏後の脱敏業務指令、統計報告書の流量だけを専用線で本部に戻す。アーキテクチャのコンプライアンスは、多国籍ITの第一高圧線である。

2.Expressルート専用線を公網の「裸走」に暴露することは厳禁です。

多くの初心者は、express routeが物理光ファイバ専用線である以上、ハッカーは公衆網からハッキングすることは絶対に不可能だと考えています。ルーティングプロトコル (BGP) のパスワードを空にしても。

危険内部者: 専用線は公衆網を使わないが、第三者事業者の物理室と共有交換機を経由しなければならない。キャリアルームがスパイに遭遇したり、ハードウェアの配置ミスに遭遇したりすると、あなたのイントラネットトラフィックは依然として傍受されたり、バイパスされたりするリスクがある。

ハードコア強化規範: 専用線の上に、もう一枚の皮をつけます。大工場の高い標準的なセキュリティアーキテクチャでは、expressルートが建設されたとしても、専用線のプライベート・ピア・相互接続の上で、IPsecベースの高強度暗号化VPNトンネルを強制的に引き上げなければならない。専用線の中で暴れるすべてのデータを、機械室を出る前に企業が自主的にコントロールする二次的な暗号化を完成させる。このように、物理光ファイバが人に止められても、ハッカーが手に入れたのは無意味な文字化けにすぎない。

まとめ

Azureフロントドアとexpressルートを利用して、多国籍企業レベルの専用ネットワークチャネルを構築します。核心的な工業レベルの精髄は実は16文字にあります。

エッジ遮断、中堅突撃、物理挿管、コンプライアンスロック

。

あなたは過去に公衆網事業者の顔色を見て食事をし、洋網を越えて麻痺するのを恐れていた原始的な受動状態に完全に別れを告げた。煩雑なグローバルルートの最適化、高防洗浄と長距離輸送をクラウド大工場のトップレベルのインフラに完全にホストする。全世界のユーザーが「秒開」と叫ぶ最高の爽快感を享受すると同時に、多国籍帝国全体のデジタル大後方は安定している

山。