俗话说,中国是世界工厂。对于世界各地的许多公司来说,他们的产品或产品的零部件都是在中国大陆生产的。与此同时,中国超过10亿的人口使其成为世界上最大的消费市场之一。因此,无论是生产还是销售,许多公司都想在中国做生意,并在那里建立了工厂。
在网络方面,这意味着跨国公司需要将其广域网络扩展到中国,以支持其大规模或快速增长的业务——这说起来容易做起来难。
许多组织已经这样做了vpn但在2018年初,中国政府对IPsec流量进行了限制,基本上阻止了它进出中国。工业和信息化部表示,这些限制符合中国跨境数据通信产业联盟(CDTIA)的规定,该联盟是为了监管跨境数据通信而成立的。
该规定的结果对那些依赖vpn访问云服务和数据安全等服务的企业造成了极大的破坏。这一规定极大地破坏了许多企业的全球广域网战略。公司并非完全没有在中国部署广域网的选择,但当时可用的解决方案非常昂贵。
一种选择是运行一个MPLS巡回全国。例如,一家在上海有工厂的企业可以运行一条MPLS电路,从那里回到香港或新加坡,然后将其连接到一个全球SD-WAN。但是,这个选项非常昂贵,需要很长时间才能实现,而且带宽有限。一个典型的中国MPLS电路是在20 MB带宽以南的某个地方,单个电路可能要花费15,000到20,000美元。另一方面,它确实工作,它是可靠的,并且它符合CDTIA的要求,使它成为在中国必须有广域网接入的企业的一个可行的解决方案。
另一个选择是使用三大电信运营商之一的托管VPN解决方案:中国电信(China telecom)、中国联通(China Unicom)和中国移动(China Mobile)。虽然他们提供的服务是基于IPsec的,但他们是由工信部批准提供此服务的,因为他们同意强制所有出站流量通过中国防火长城。这使得电信公司能够阻塞受限的流量,这对于企业来说当然是次优的。更重要的是,通过防火墙会导致巨大的性能问题。例如,如果必须通过防火墙才能访问一个纯文本网站,加载它可能需要两分钟。
CDTIA的规定存在一个漏洞,允许企业在境外网站之间进行VPN连接,前提是流量由上述三家中国电信运营商之一承担。企业可以使用私有MPLS电路或托管IPsec。中国境内的宽带接入实际上提供了良好的性能,而且相对便宜。来自中国电信的500mb宽带连接每月大约30美元。当流量必须通过防火墙,但通过宽带从中国境内的一家工厂到另一家工厂的速度相当快时,就会出现性能下降。
一个进入中国的SD-WAN服务的新选择
现在,在中国之外还有第三种广域网连接选择。Teridion开发了一个SD-WAN该解决方案充分利用丰富、快速、低成本的国内宽带,并以此为基础,以符合监管环境的方式提供对国外高速广域网连接的接入。发展中国的SD-WAN服务, Teridion与中国的法律机构合作,确保该解决方案符合中国的所有规定,同时向世界提供。
在中国之外,Teridion已经建立了一个全球广域网服务它利用公共因特网作为具有独特功能的骨干来引导和管理通过这个网络的流量的路由。Teridion利用在边缘使用Teridion云路由器(TCRs)的私有路由基础设施,在任何给定时间在源和目标之间建立最快的路径。这种方法提供了从一个用户站点到另一个用户站点的加速访问,或者从用户到SaaS应用程序和云工作负载的加速访问。
因为Teridion在路由选择上有很大的灵活性,这种方法消除了依赖公共Internet时引入的可靠性和性能差距。更重要的是,它提供了相当于MPLS的可靠性,并完全得到了Teridion的sla的支持,Teridion的营销总监埃德·赖特(Ed Wright)说。他说,该公司在全球拥有超过400个pop,使他们能够创建一个高性能和高可靠性的“中间英里”全球网络。
Teridion正在使用相同的架构和技术构建其中国SD-WAN解决方案。该公司在中国的云边缘部署了TCRs。中国的站点通过宽带的IPsec连接到TCRs。与世界其他地方的Teridion网络的连接通过中国内地到香港和新加坡的专用电路进行。你可以把它想象成两个“孪生”的Teridion建筑,它们通过中国、香港和新加坡之间的巨大电路相互连接。Wright说,这是一种分层的方法,既满足监管环境,又允许边缘的宽带,以及Teridion优化的优点。
统一的全球广域网
从客户的角度来看,这个“孪生”模型为全球广域网创建了一个统一的环境。客户可以进入一个Teridion门户网站,以与管理其他位置完全相同的方式管理其在中国的位置,全部通过一块玻璃。中文网站看起来完全一样,没有什么配置或管理与中文网站不同。
该解决方案充分利用了中国的低成本、高速的本地宽带连接,允许企业充分利用这些连接,在国内连接到Teridion,然后将流量转移到国外的网络上。所有这些都是在监管环境下进行的,这样一来,Teridion及其客户就能遵守中国法律。Teridion表示,它已经获得了供应商的合规认证,这些供应商随后又对政府心存感激。
从企业的角度来看,他们只是连接到Teridion的网络。假设一家公司在洛杉矶有一个站点,在广州也有一个站点。在广州,他们将IPsec连接到正在上海运行的Teridion云路由器。因此,从他们的角度来看,他们有一个IPsec连接到中国大陆,一个IPsec连接到美国,然后Teridion通过它的网络路由流量,这符合工业和信息化部实施的CDTIA规定的精神。
“这很令人困惑,”Teridion产品和营销副总裁Pejman Roshan说。“我们花了很多律师才弄清楚什么是允许的,什么是不允许的。即使当我们和中国的三大互联网服务提供商交谈的时候,情况也是非常灰暗和混乱的。我们在美国和中国都有一个专门的律师团队,帮助我们了解这些规则,最终找出什么是允许的,什么是不允许的,什么是合规的,以及我们如何保持合规,这样它就不会明天就关闭。这是非常复杂的,我们已经消除了企业的复杂性。”
Sean Dublin是IT咨询公司26Connect的业务发展总裁。都柏林表示:“我们的全球客户正在为所有用户寻找一个无处不在的平台,包括他们在中国大陆的网站。”“直到最近,还没有一个好的解决方案。你可以回到以前的MPLS世界,但如果你没有中国大陆和世界其他地方的物理连接,这种体验至少可以说是低水平的。在像Teridion这样的合作伙伴出现之前,除了中国的航空公司,没有更好的解决方案。非常粗制滥造。现在,技术正在满足这一需求,像Teridion这样的公司提供了一个不可知的平台,你可以覆盖MPLS、SD-WAN、IP,任何不同的东西,这意味着我们现在有了一个真正的中国大陆解决方案。”
SD-WAN“我们发现在于,人们将会在中国大陆然后在世界其他地区,但他们不会额外的步骤通过伟大的中国防火墙的物理连接,”说,都柏林”持续的流动性和波动性的防火墙及其法规有关IPSec,我们需要合作伙伴Teridion谁愿意采取额外的步骤让你真正得到,真正的,完美的,即使客户体验。”
26Connect的客户端在Teridion网络上,他们一直在等待中国的服务全面可用。(10月24日直播)“好消息是,对于Teridion来说,无论他们开发的是哪个地区,平台都是一样的。对于中国来说,在合规方面会有一些营销差异,但归根结底,你拥有的是一个单一的平台,现在可以在全球范围内运作,”都柏林表示。“对于Teridion来说,带来一种经过验证的技术,能够在价格上解决这个问题,是一件令人兴奋的事情。”这是一件很困难的事情,所以人们通常会为此收取很高的费用。现在,Teridion可以向在中国大陆设有办事处的任何人提供这种服务,而且性价比很高。”