Percepatan Rangkaian Global: Gunakan Azure Front Door dan ExpressRoute untuk membuat saluran rangkaian eksklusif peringkat perusahaan multinasional
Dalam evolusi seni bina IT syarikat multinasional, syarikat e-dagang luar negara global atau platform SaaS luar negara, kelewatan dan kegelisahan rangkaian sering menjadi "pembunuh pertama" yang menyekat pengalaman pengguna.
Anda pasti pernah menemui "pemandangan terkenal" rangkaian awam: pasukan R & D ibu pejabat domestik telah menulis API teras dan menyebarkannya di awan. Apabila cawangan luar negara atau pembeli multinasional pergi untuk memanggil, lalu lintas perlu merangkumi ribuan kilometer Lautan Pasifik. Oleh kerana kesesakan rangkaian awam dan hambatan interkoneksi kejam (jitter BGP) antara pengendali multinasional, permintaan milisaat yang asal meningkat kepada lebih dari 3 saat. Pelanggan sering "memuatkan" dan "sambungan tamat", dan akhirnya ia berkembang menjadi eksekutif teras yang sering tersekat dalam persidangan video multinasional dan sambungan langsung PPT.
Kaedah tradisional adalah membeli talian khusus fizikal (MPLS) yang mahal di seluruh dunia, atau menyalin satu set pangkalan data dan pelayan yang sama (seni bina pelbagai aktif) di setiap wilayah luar negara. Walau bagaimanapun, talian khusus fizikal bukan sahaja mempunyai proses kelulusan selama beberapa bulan, tetapi sewa bulanan setinggi langit secara langsung dapat menelan semua keuntungan projek; dan konsistensi dan penyegerakan data jarak jauh yang dibawa oleh seni bina pelbagai aktiviti dapat membuat pasukan R & D kehilangan rambut mereka.
Dalam ekosistem rangkaian awan asli Microsoft, ada sekumpulan "kombinasi letupan raja" yang direka untuk akhirnya membuka arteri rangkaian global:
Pintu Depan Azure (pintu masuk pecutan tepi global) dan Azure ExpressRoute (lebuh raya eksklusif awan)
。
Logik utamanya sangat mendominasi:
Kurangkan ketidakkendalian rangkaian awam global menjadi sifar, dan ubah sepenuhnya rangkaian tulang belakang peribadi teratas di dunia yang dibina oleh Microsoft.
Hari ini kami menolak retorik rasmi dan konsep buku teks yang tidak membosankan. Secara langsung dari pertempuran sebenar industri tegar, tangan dan tangan akan membawa anda menggunakan set pukulan gabungan ini untuk mengimpal saluran rangkaian global eksklusif dengan latensi rendah dan ketersediaan tinggi untuk syarikat multinasional.
Tahap pertama: pembongkaran mendalam, "model pembedahan gabungan perubatan dan pembedahan" yang dipercepat di seluruh negara
Sebelum pergi ke konsol Azure untuk mengklik tetikus, anda mesti membuat model dunia fizikal ini di bahagian bawah pukulan gabungan rangkaian yang dihoskan sepenuhnya. Ramai orang tidak dapat membezakan pembahagian kerja antara Front Door dan ExpressRoute. Sebenarnya, salah satunya bertanggungjawab untuk "penutupan global lapisan kulit luar" dan yang lain bertanggungjawab untuk "intubasi fizikal lapisan tulang dalaman."
Perlindungan lapisan kulit: Pintu Depan Azure (pintu keselamatan untuk pengguna di seluruh dunia): Pintu Depan adalah penyamaan beban tepi global yang dihoskan sepenuhnya berdasarkan protokol Anycast. Apabila pengguna di seluruh dunia membuat permintaan, lalu lintas tidak akan langsung melintasi lautan, tetapi dalam satu saat, ia akan memasuki ruang komputer tepi Microsoft (titik PoP) di ratusan bandar di seluruh dunia. Sebaik sahaja lalu lintas memasuki titik PoP, ia sama dengan melepaskan diri dari rangkaian awam Internet yang berlumpur, dan secara langsung menginjak rangkaian tulang belakang global terpencil serat optik yang dibina oleh Microsoft dengan kos puluhan bilion dolar. Di sini, Front Door menggunakan penyahpasangan SSL dan TCP
Split TCP menunda jabat tangan transoceanic panjang yang asal secara langsung dimampatkan ke tahap yang tidak dapat dikesan dengan mata kasar.
Interubasi lapisan tulang: Azure ExpressRoute (arteri fizikal untuk bilik komputer perusahaan): Sekiranya Front Door menyelesaikan percepatan "pengguna global ke Microsoft Cloud", maka ExpressRoute menyelesaikan "Microsoft Cloud ke pusat data buatan sendiri tempatan (IDC/Bilik komputer ibu pejabat)" langkah terakhir rangkaian. Ia melangkau rangkaian awam, dan secara langsung menarik "intubasi intranet fizikal" eksklusif dengan lebar jalur tanpa had dan kelewatan yang benar-benar tetap antara bilik komputer tempatan anda dan intranet Azure melalui gentian fizikal pengendali telekomunikasi.
Kesimpulan seni bina teras: Apabila keduanya digabungkan menjadi satu, lalu lintas pengguna global dipintas oleh Front Door di pinggir, dan rangkaian tulang belakang global Microsoft dengan cepat sampai ke awan, dan kemudian memasuki bilik komputer ibu pejabat tempatan anda melalui saluran khusus ExpressRoute. Kedua-dua segmen rangkaian telah mencapai "de-publik network", yang merupakan gelung tertutup komunikasi transnasional teratas dari standard pengeluar moden.
Tahap kedua: latihan pertempuran sebenar-konfigurasi Azure Front Door untuk menyekat kelewatan tepi global
Mari kita mensimulasikan senario pertempuran sebenar pertama: API pengeluaran teras syarikat anda digunakan di bahagian belakang Asia Timur (Hong Kong). Sekarang kita mahu pekerja luar negara di Eropah, Amerika dan Asia Tenggara mengakses API, dan pengalamannya sama dengan duduk di pejabat Hong Kong..
Log masuk
Laman web Azure (Portal)
, cari dan masuk
"Front Door and CDN profiles"
Halaman.
1. Buat pasaran pecutan global
Klik "Buat" di bahagian atas, dan disarankan untuk memilih "Azure Front Door Premium" secara langsung dalam pilihan (versi premium dilengkapi dengan WAF pertahanan tinggi pengeluar utama, standard untuk laut).
Klik "Quick create" (cepat dicipta).
Konfigurasi asas: pilih kumpulan sumber anda dan namakan Profil sebagai global-core-accelerator.
2. Kimpalan titik akhir depan dan stesen sumber belakang (Endpoint & Origin)
Nama akhir (nama akhir): Ini adalah nama domain pertahanan tinggi bersatu yang diedarkan kepada pengguna di seluruh dunia, seperti api-global.azurefd.net (anda boleh mengikat api.yourcompany.com nama domain syarikat anda dengan lancar pada masa akan datang).
Jenis asal (jenis stesen sumber): pilih "Custom" atau pilih mesin maya atau Perkhidmatan Aplikasi mengikut perkhidmatan anda. Masukkan IP atau nama domain rangkaian awam sebenar pelayan utama Hong Kong semasa anda di sini.
Protocol Forwarding (Protocol Repost): Kunci HTTPS dengan tegas
Hanya
, Biarkan Front Door secara langsung melakukan SSL Offloading pada titik PoP di pinggir dunia, dan nyahpasang sepenuhnya tekanan pengiraan enkripsi yang berat dari pelayan Hong Kong anda.
Klik untuk mencipta. Enjin penyebaran Microsoft akan menggunakan sekitar 1 ~ Dalam 2 minit, strategi routing dan firewall WAF ini diselaraskan dengan cepat ke pintu masuk tepi beratus-ratus bandar utama di seluruh dunia.
Tahap ketiga: latihan pertempuran sebenar 2-membuka arteri garis khusus fizik Azure ExpressRoute
Penutupan front-end telah selesai, dan sekarang kita harus membuka talian khusus fizikal dari Azure Cloud Virtual Network (VNet) ke bilik komputer buatan sendiri ibu pejabat Shanghai tempatan.
Langkah 1: Memohon "Pas" eksklusif ExpressRoute (Circuit) di awan
Cari "ExpressRoute circuits" di konsol Azure dan klik Buat.
Penyedia (penyedia perkhidmatan): Mengikut lokasi fizikal bilik komputer tempatan anda, pilih operator yang sesuai (seperti China Telecom, China Unicom atau Megaport, Equinix yang biasa digunakan oleh pengeluar utama).
Lokasi Peering: Pilih garis khas anda untuk menarik ke titik akses fizikal awan (seperti Hong Kong atau Shanghai).
Bandwidth (jalur lebar): Pilih mengikut anggaran (seperti 100Mbps hingga 10Gbps).
SKU: Pilih "Standard" atau "Premium" (Premium menyokong hubungan antara geografi dan rentas sempadan).
Klik untuk mencipta. Setelah berjaya, Azure akan menunjukkan kod yang sangat teras di skrin:
"Service Key (kunci perkhidmatan)"
。
Tindakan mengelakkan lubang tegar: Salin rangkaian Kunci Perkhidmatan ini dan hantarkan kepada pengurus akaun pengendali telekomunikasi anda. Setelah menerima Kunci, pengendali akan menarik serat optik syarikat anda di ruang komputer fizikal mereka, dan melakukan "pendawaian" fizikal dengan suis Microsoft Cloud. Apabila keadaan menjadi Provisioned (dikonfigurasi), ini bermaksud bahawa serat fizikal telah disambungkan sepenuhnya!
Langkah 2: Siapkan "ruang mel rangkaian" eksklusif di awan (sambungan pintu masuk)
Garis fizikal ditarik, tetapi bagaimana lalu lintas talian khusus dapat berkomunikasi dengan mesin maya di awan? Kita perlu membina "bilik mel rangkaian" di awan.
Masukkan rangkaian maya anda (VNet) dan klik untuk membuat "gerbang rangkaian maya" (gerbang rangkaian maya).
Jenis Gateway (jenis gateway): Anda mesti mencari "ExpressRoute" dengan tegas, jangan memilih pintu masuk VPN biasa yang salah.
Setelah pintu masuk dibuat (biasanya 20 minit), klik untuk memasuki pintu masuk dan cari
"Sambungan" (sambung), klik Tambah.
Ikat ExpressRoute Circuit yang baru anda bina dalam jenis sambungan.
Setakat ini,
Dari pengguna global-> Microsoft Edge PoP(Front Door) -> Microsoft Cloud Virtual Network (VNet) -> Talian Khas Fizikal (ExpressRoute) -> Bilik komputer yang dibina sendiri oleh perusahaan
Pautan penuh intranet tulen gelung tertutup, disambungkan sepenuhnya!
Tahap keempat: pemandangan menyaksikan ujian pemeriksaan fizikal rangkaian keajaiban-transnasional
Setelah keseluruhan talian dibuka, kami tidak perlu berjudi dengan perasaan, dan secara langsung menggunakan arahan ujian rangkaian standard untuk melihat betapa mengerikannya saluran eksklusif transnasional ini.
Biarkan pembangun pasukan penyumberan luar di London, Eropah atau Silicon Valley, Amerika Syarikat, di terminal komputer tempatan mereka, secara langsung menggunakan IP rangkaian awam untuk mengakses stesen sumber Hong Kong, dan akses nama domain yang dipercepat secara global melalui Front Door:
Bash
# Ujian 1: Melintasi rangkaian awam dan mengunjungi stesen sumber Hong Kong secara langsung
Curl-o /dev/null -s -w %{time_connect} https:// Stesen sumber Hong Kong IP sebenar/api/v1/status
# Ujian 2: Akses melalui saluran global Azure Front Door
Curl-o /dev/null -s -w %{time_connect} https://api-global.azurefd.net/api/v1/status
Perbandingan data ujian yang mengejutkan
Ujian 1 (pergi ke rangkaian awam): Oleh kerana anda harus melalui nod BGP rangkaian awam yang tidak terkawal di sepanjang jalan, anda juga harus menghadapi pemintasan eksport antarabangsa. Time_connect (waktu jabat tangan TCP) biasanya 280ms ~ Gegaran ganas antara 450ms, kadar kehilangan paket sering meningkat hingga lebih dari 5%.
Uji 2 (ambil Front Door): Ketika pengguna di London atau Silicon Valley keluar, mereka menabrak titik Microsoft PoP tempatan dalam beberapa milisaat dan menyelesaikan jabat tangan TCP di tepi. Time_connect akan turun dengan serta-merta dan stabil pada 3ms ~ Antara 8ms.
Pengguna mengklik Aplikasi di bahagian depan, dan halaman dibuka dalam beberapa saat. Kerana perjalanan ribuan kilometer yang tersisa, lalu lintas berjalan di rangkaian tulang belakang Microsoft dengan kelajuan cahaya hampir dan kadar kehilangan paket sifar.
Tahap kelima: sejarah mengelakkan darah dan air mata di bawah seni bina rangkaian transnasional
Setelah struktur lancar ini berjalan, pengalaman komunikasi syarikat multinasional sempurna. Tetapi untuk bertahan dari audit perniagaan sebenar dan persekitaran rangkaian transnasional yang sangat kompleks, sebagai ketua arkitek rangkaian, anda mesti segera mengimpal dua garis bawah operasi dan penyelenggaraan untuk mengelakkan lubang:
1. "Lubang pematuhan" yang mematikan-"ladang ranjau" untuk penghantaran transnasional
Banyak pasukan teruja setelah menyesuaikan rangkaian.
Semua perniagaan ibu pejabat dan cawangan luar negara, termasuk lalu lintas yang melibatkan data sensitif, dihantar sepenuhnya melalui arteri besar ini.
Bencana: Penghantaran rangkaian rentas sempadan mempunyai garis pertahanan pematuhan yang sangat ketat dalam undang-undang dan peraturan (seperti audit pematuhan data rentas sempadan China, GDPR Eropah, dll.). Dengan mewujudkan talian khusus fizikal rentas sempadan yang tidak berdaftar atau menghantar data teras tertentu tanpa audit, anda mungkin menghadapi hukuman pentadbiran kerana keseluruhan pautan terputus pada bila-bila masa, dan bahkan syarikat itu menghadapi denda besar.
Operasi penghindaran lubang standard pengeluar utama: Semasa menggunakan pautan rentas sempadan ExpressRoute, anda mesti memastikan bahawa anda menyerahkan kelayakan korporat Cina dan Inggeris yang lengkap kepada pengendali pematuhan rasmi yang memegang lesen perniagaan telekomunikasi rentas sempadan (seperti China Telecom, China Unicom, dll.) Untuk pematuhan Rekod. Melibatkan perniagaan rentas sempadan, di lapisan Front Door, melalui strategi penghalaan URL, "data privasi peribadi pengguna" sensitif disimpan di tempat di luar negara (misalnya, data Eropah disimpan di bilik komputer Eropah Barat), dan hanya perniagaan desensitisasi setelah desensitisasi Aliran arahan dan laporan statistik dilepaskan dan dihantar kembali ke ibu pejabat melalui talian khusus. Pematuhan seni bina adalah garis voltan tinggi pertama IT multinasional.
2. Dilarang sama sekali mendedahkan talian khusus ExpressRoute ke rangkaian awam "telanjang"
Ramai pemula percaya bahawa kerana ExpressRoute adalah saluran khusus gentian optik fizikal, sangat mustahil bagi penggodam untuk masuk dari rangkaian awam, jadi data yang dihantar oleh intranet tidak dienkripsi, dan bahkan kata laluan routing protokol (BGP) kosong.
Orang dalam yang berbahaya: Walaupun talian khusus tidak menggunakan rangkaian awam, ia masih harus melalui bilik komputer fizikal dan bilik mesyuarat pengendali pihak ketiga. Setelah bilik komputer pengendali menghadapi hantu dalaman atau kesalahan konfigurasi perkakasan, lalu lintas intranet anda masih berisiko dipantau atau dipintas.
Spesifikasi tetulang tegar: Di atas talian khusus, satu lagi lapisan kulit (VPN over ExpressRoute). Dalam seni bina keselamatan standard tinggi pengeluar utama, walaupun ExpressRoute dibina, perlu secara paksa menarik terowong VPN yang dienkripsi dengan kekuatan tinggi berdasarkan IPsec di Private Peering talian khusus. Biarkan semua data yang melambung tinggi di talian khusus melengkapkan penyulitan kuat sekunder yang dikendalikan secara bebas oleh perusahaan sebelum keluar dari bilik komputer. Dengan cara ini, walaupun serat fizikal dipotong dan dihidu oleh seseorang, penggodam hanya akan mendapat banyak watak yang tidak bermakna.
Ringkasan
Dengan menggunakan Azure Front Door dan ExpressRoute untuk membuat saluran rangkaian eksklusif peringkat perusahaan multinasional, inti pati industri sebenarnya terletak pada enam belas perkataan:
Penutupan tepi, caj tulang belakang, intubasi fizikal, kunci pematuhan
。
Anda benar-benar mengucapkan selamat tinggal kepada keadaan pasif asal melihat pengendali rangkaian awam pada masa lalu dan takut akan kelumpuhan rangkaian transoceanic. Pengoptimuman penghalaan global yang rumit, pembersihan pertahanan tinggi dan penghantaran jarak jauh dihoskan sepenuhnya ke infrastruktur teratas Yunda Factory. Sambil menikmati kesegaran pengguna global yang melaungkan "pembukaan kedua", bahagian belakang digital seluruh kerajaan multinasional anda akan stabil seperti Thailand
Gunung.