この記事では、中国でCato クラウドプラットフォームがどのように機能するか、中国政府の規制および制限に対応する方法を含めて説明します。
中国ではすべてのインターネットトラフィックが政府によって検査され、ローカルゲートウェイを通じて中継されます。 Catoは中国のすべての規制に従っており、Cato SASEサービスは他の地域と同様に中国でも完全に利用可能です。
注記
注: 中国は国内からアクセスできるサイトに制限を設けているため、特定のトラフィックを出力して中国のグレートファイアウォールをバイパスし、中国以外のCATO ポップに送信することはCato MSA (Master Service Agreement)に違反します。 中国における制限に関する質問については、Cato MSAの第5.2節を参照してください。
Catoは中国内で最適なユーザエクスペリエンスを提供し、中国にオフィスを持つグローバルに展開する企業がCatoバックボーンを通じて一貫した安全な接続を確保できるようにしています。 中国には複数のCato ポップがあり、例として北京、上海、深圳、ウルムチがあります。 これらのPoPは香港を経由してCato クラウドと通信します。 つまり、中国のPoP間は中国内でフルメッシュを確立し、他のPoPと通信を行う際には香港を経由し、その逆もあり得ます。
中国政府は中国外の一部のサイトやリソースへのアクセスを制限しており、外国企業はこれらの規制に適応する必要があります。
注記
注意: 中国政府はいつでも制限を変更し、アプリケーションやウェブサイトへのアクセスを禁止することができます。 トラフィックがブロックされた場合、このリストを確認して宛先が中国で利用不可かどうかを確認してください。
中国にあるサイトまたはリモートユーザーのライセンスの制限
- 中国ではRPFはサポートされていません
- ブラウザアクセスは中国ではサポートされていません
- RBIは中国でサポートされていません。 詳細については、「ブラウジングセッションのRBI サービスの設定」を参照してください。
中国にあるソケットはAli Cloudのサーバーからソケットアップグレードファイルをダウンロードし、ファイルのダウンロード時間を短縮し、レイテンシを低減し、ソケットアップグレードの成功率を向上させます。
中国では、最も一般的に使用されるDNSサービスは利用できません。 そのため、Catoは内部メカニズムを使って最適な利用可能なDNSサーバーを決定し、Cato DNSサーバー10.254.254.1がプロキシとして機能します。
あなたはWANインタフェースを設定し、ローカルISPプロバイダーから提供されるDNSサーバー、または中国で利用可能な公開DNSサーバー(例えば114.114.114.114または114.114.115.115)を使用する必要があります。
ラストマイル監視の定義済みウェブアドレスは、QQ.com、baidu.com、weibo.comといった中国のウェブサービスです(これはネットワーク > ラストマイル監視プローブで設定可能です)。
デフォルトでは、中国のインターネットトラフィックは接続された中国PoPから出て、ローカルゲートウェイを経由して宛先に到達します。 つまり、監視されているサイトにアクセスしようとすると、Cato PoPはトラフィックを通過させ、最終的にはローカル規制である中国のグレートファイアウォールによってブロックされます。
UDP ポート 1337 は中国ソケットおよびクライアント DTLS トラフィックのためのものです
Cato はベストプラクティスとして、ソケットサイトおよび中国に位置するクライアントユーザーのアカウントに代替 UDP ポートを設定することを推奨します。 UDP ポート 443 を使用する DTLS トンネルは、パケットロスなどの接続性の問題を経験する可能性があります。 接続性を向上させるために、ソケットとクライアントトラフィックのための推奨 DTLS ポートとして UDP ポート 1337 を設定してください。 詳細情報については、中国におけるCatoネットワークの理解を参照してください。
ライセンス
中国のサイトのライセンスを購入する際、顧客はそのライセンス帯域幅の何パーセントがリージョナルトラフィックに割り当てられ、何パーセントがグローバルトラフィックに専用されるかを決定しなければなりません。
- リージョナルトラフィックは、中国地域内で送信されるすべてのトラフィックを指し、例えば深センから北京のサイトへのトラフィックです。
- グローバルトラフィックは地域外に送信されるすべてのトラフィックを指し、例えば深センのサイトからヨーロッパのサイトへのトラフィックです。
注記
注意: グローバルトラフィックは本質的にリージョナルトラフィックよりも高価です。 必要に応じて両方を割り当てるようにしてください。
Cato管理画面でサイトを設定する際、そのサイトにライセンスを割り当てる必要があります。 サイトの詳細には、購入したリージョナルおよびグローバルライセンスを組み合わせたライセンスの詳細が表示されます。
サイト設定のために入力が必要なラストマイル帯域幅の値は、そのサイトのリージョナルおよびグローバルな総帯域幅です。 例えば、100 Mbpsを購入し、70%がリージョナル、30%がグローバルである場合、深センにあるサイトには100 Mbpsを設定する必要があります。
CatoにおけるQoSは2つの側面で制御されています:
- 帯域管理
- ネットワークルール
詳細については、「ネットワークルールとQoS」を参照してください。
帯域管理のメカニズムはライセンス制限を考慮しないため、プロファイルを作成する際はライセンスの許可内容を考慮する必要があります。
例えば、合計100 Mbpsの帯域幅を購入し、70%がリージョナルで30%がグローバルである場合、帯域管理プロファイルを作成する際は、その値に合わせて制限を設定します。 ベストプラクティスとして、固定した帯域幅の値を使わず、パーセンテージを使用して、許可されている以上の割り当てを避けるようにしてください。
あなたの会社は深セン、上海、北京、そしてヨーロッパにサイトがあります。 ビデオ会議(VC)を行う際に、問題なくコミュニケーションできるようにしたいと考えています。
次のプロファイルを作成して、リソースの少なくとも15%をP15トラフィックに割り当てることができます。
次に、ネットワークルールを作成して、VCトラフィックにP15プロファイルを使用することができます。 例えば、上海と北京のように中国国内のオフィス間でトラフィックが発生する場合、割り当てられた帯域幅の15%はリージョナルライセンスに基づきます。 もし深センがヨーロッパのサイトとVCを行う場合、それはグローバルライセンスの15%となります。 しかし、パーセンテージを使用し、固定されたMbps制限を使用しなかったため、ライセンス許容量をオーバーするリスクはありません。
0件のコメント
サインインしてコメントを残してください。