Este artigo explica como a plataforma Cato Cloud funciona na China, incluindo o cumprimento dos regulamentos e restrições do governo chinês.
Todo o tráfego da Internet na China é inspecionado pelo governo e redirecionado por meio de um gateway local. A Cato segue todos os regulamentos na China, e o serviço Cato SASE está totalmente disponível na China, da mesma forma que em outras regiões.
Nota
Nota: Desde que a China restringe o acesso a certos websites dentro do país, fazer a saída de tráfego específico para ignorar o Grande Firewall da China para um PoP Cato fora da China viola o MSA (Master Service Agreement) da Cato. Consulte o Cato MSA, seção 5.2 para dúvidas sobre restrições na China.
A Cato oferece uma experiência de usuário ótima na China através de seus PoPs e permite que empresas globalmente distribuídas com escritórios na China tenham uma conexão consistente e segura pela espinha dorsal da Cato. Há vários CATO POPs na China, por exemplo, Pequim, Xangai, Shenzhen e Urumqi. Esses PoPs se comunicam com o Cato Cloud através de Hong Kong. Ou seja, os PoPs chineses estabelecem uma malha completa entre si dentro da China, e a comunicação com outros PoPs é feita através de Hong Kong e vice-versa.
O governo chinês restringe o acesso a alguns sites e recursos fora da China, o que exige que as empresas estrangeiras se adaptem a esses regulamentos.
Nota
Nota: O governo chinês pode alterar suas restrições e proibir o acesso a uma aplicação ou site a qualquer momento. Se o tráfego estiver bloqueado, verifique esta lista para ver se o destino está indisponível na China.
Limitações para Locais ou Usuários Remotos Localizados na China
- RPF não é suportado na China
- Acesso ao navegador não é suportado na China
- RBI não é suportado na China. Para mais informações, veja Configurando o Serviço RBI para Sessões de Navegação
Sockets que estão localizados na China baixam o arquivo de atualização do Socket de um servidor na Ali Cloud, o que melhora o tempo de download do arquivo, reduz a latência e aumenta a taxa de sucesso para atualizações de Socket.
Dentro da China, os serviços DNS mais comumente usados não estão disponíveis. Portanto, a Cato usa um mecanismo interno para determinar o melhor servidor DNS disponível, e o servidor DNS da Cato, 10.254.254.1, atua como um proxy.
Você deve configurar suas interfaces WAN para usar os servidores DNS fornecidos pelo seu ISP local, ou os servidores DNS públicos disponíveis na China, como 114.114.114.114 ou 114.114.115.115.
Endereços web pré-definidos para monitoramento de última milha são serviços web da China, tais como QQ.com, baidu.com e weibo.com (isto é configurável em Conectividade > Probes de Monitoramento de Última Milha).
Por padrão, o tráfego da Internet na China sai do PoP da China ao qual você está conectado, passa pelo gateway local e, em seguida, vai para o destino. Ou seja, se você tentar acessar sites restritos, o PoP Cato permitiria que o tráfego passasse, e então ele seria bloqueado devido a regulamentações locais, o Grande Firewall da China.
Porta UDP 1337 para Socket e Tráfego DTLS do Cliente na China
A Cato recomenda, como uma melhor prática, configurar a porta UDP alternativa para contas com sites Socket e usuários Cliente localizados na China. Túneis DTLS usando a porta UDP 443 podem experimentar problemas de conectividade, como perda de pacotes. Configure a porta UDP 1337 como uma porta DTLS preferencial para tráfego de Socket e Cliente para melhorar a conectividade. Para mais informações, veja Compreendendo as Redes da Cato na China.
Licenciamento
Ao adquirir uma licença para um site na China, os clientes devem determinar qual porcentagem dessa largura de banda da licença é alocada para o tráfego regional e qual porcentagem é dedicada ao tráfego global.
- Tráfego regional é qualquer tráfego enviado dentro da região China, por exemplo, de um site em Shenzhen para um site em Pequim
- Tráfego global é qualquer tráfego enviado fora da região, por exemplo, de um site em Shenzhen para um site na Europa.
Nota
Nota: O tráfego global é inerentemente mais caro do que o tráfego regional. Certifique-se de alocar ambos de acordo com suas necessidades.
Ao configurar um site no Aplicativo de Gestão Cato, é necessário atribuir uma licença a esse site. Os detalhes do site mostram os detalhes da licença que combina as licenças regionais e globais que você adquiriu.
O valor que você precisa inserir na Largura de Banda de Última Milha para a configuração do site é a largura de banda total regional e global para o site. Se, por exemplo, você comprou 100 Mbps, 70% desse regional e 30% global, então você precisa configurar 100 Mbps para um site localizado em Shenzhen.
O QoS no Cato é controlado por dois aspectos:
- Gerenciamento de Largura de Banda
- Regras de Rede
Para mais informações, veja Regras de Rede e QoS.
Como o mecanismo de Gerenciamento de Largura de Banda não tem conhecimento de quaisquer limitações de licença, ao criar seus perfis, você deve levar em consideração o que sua licença permite.
Se, por exemplo, você adquiriu 100 Mbps no total de largura de banda, com 70% regional e 30% global, ao criar os perfis de Gerenciamento de Largura de Banda, defina limites que estejam alinhados com esses valores. Como prática recomendada, use percentuais e não limites rígidos de valores de largura de banda para evitar alocar mais do que você está autorizado a usar.
Sua empresa tem sites em Shenzhen, Xangai, Pequim e Europa. Você quer garantir que, quando eles tiverem reuniões de videoconferência (VC), eles possam se comunicar sem quaisquer problemas.
Você pode criar o seguinte perfil para alocar pelo menos 15% dos seus recursos para o tráfego P15.
Você pode então criar uma Regra de Rede que use o perfil P15 para o tráfego de VC. Quando o tráfego é entre os escritórios dentro da China, por exemplo, Xangai e Pequim, os 15% da largura de banda alocada serão baseados na sua licença regional. Se Shenzhen estiver em videoconferência com o site da Europa, serão 15% da licença global. No entanto, como você usou percentuais e não limites rígidos em Mbps, você não corre o risco de ultrapassar seu limite de licença.
Com base no cenário que descrevemos acima, você também pode criar dois perfis diferentes, um para VC regional e outro para VC global, que usam limites rígidos de largura de banda. Para videoconferência regional, você tem um perfil que aloca 10 Mbps. E para videoconferência regional um perfil que aloca 5 Mbps.
Nas suas Regras de Rede, você então cria duas regras separadas para implementar cada um dos perfis, dependendo do destino do tráfego de VC.
0 comentário
Por favor, entre para comentar.