В этой статье объясняется, как платформа Cato Cloud работает в Китае, включая соблюдение законодательных и нормативных требований правительства Китая.
Весь интернет-трафик в Китае инспектируется правительством и проходит через локальный шлюз. Cato соблюдает все нормативные требования Китая, и услуга Cato SASE полностью доступна в Китае так же, как и в других регионах.
Примечание
Примечание: С тех пор как Китай ограничивает доступ к определённым веб-сайтам изнутри страны, исходящий определённый трафик для обхода Великого файервола Китая в Cato POP, находящийся за пределами Китая, нарушает MSA (Главное соглашение о предоставлении услуг) Cato. Обратитесь к разделу 5.2 MSA Cato для вопросов, касающихся ограничений в Китае.
Cato обеспечивает оптимальный пользовательский опыт в Китае через свои PoP и позволяет глобально распределенным компаниям с офисами в Китае иметь стабильное, безопасное подключение через магистральную сеть Cato. Существует несколько CATO POP в Китае, например, Пекин, Шанхай, Шэньчжэнь и Урумчи. Эти PoP связываются с Cato Cloud через Гонконг. Это означает, что китайские PoP создают полное соединение между собой внутри Китая, а связь с другими PoP осуществляется через Гонконг и наоборот.
Правительство Китая ограничивает доступ к некоторым сайтам и ресурсам за пределами Китая, что требует от иностранных компаний адаптации к этим регулированиям.
Примечание
Примечание: Правительство Китая может изменить свои ограничения и запретить доступ к приложению или веб-сайту в любое время. Если трафик заблокирован, проверьте этот список, чтобы узнать, недоступно ли место назначения в Китае.
Ограничения для площадок или удаленных пользователей, находящихся в Китае
- RPF не поддерживается в Китае
- Доступ через браузер не поддерживается в Китае
- RBI не поддерживается в Китае. Для получения дополнительной информации см. Настройка сервиса RBI для браузерных сессий.
Сокеты, расположенные в Китае, загружают файл обновления сокетов с сервера в Ali Cloud, что улучшает время загрузки файлов, снижает задержки и увеличивает процент успешных обновлений сокетов.
В Китае большинство широко используемых DNS-сервисов недоступны. Таким образом, Cato использует внутренний механизм для определения лучшего доступного DNS-сервера, и сервер Cato DNS, 10.254.254.1, выполняет функции прокси.
Вы должны настроить интерфейсы WAN для использования DNS-серверов, предоставленных вашим локальным ISP, или общедоступных DNS-серверов, доступных в Китае, таких как 114.114.114.114 или 114.114.115.115.
Предопределенные веб-адреса для последней мили мониторинга — китайские веб-сервисы, такие как QQ.com, baidu.com и weibo.com (настраивается в разделе Сеть > Пробы последней мили мониторинга).
По умолчанию интернет-трафик в Китае исходит от Cato PoP, к которому вы подключены, проходит через локальный шлюз, а затем переходит к пункту назначения. Это означает, что если вы попытаетесь получить доступ к ограниченным сайтам, Cato PoP позволит трафику пройти, а затем он будет заблокирован из-за местных норм, таких как Великий китайский файрвол.
UDP Порт 1337 для Socket и Клиентского DTLS трафика в Китай
Cato рекомендует, как лучшую практику, настроить альтернативный UDP порт для учетных записей с сайтами Socket и пользователями Клиента, расположенными в Китае. DTLS туннели, использующие UDP порт 443, могут столкнуться с проблемами соединения, такими как потеря пакетов. Настроить UDP порт 1337 как предпочтительный DTLS порт для трафика Socket и Клиента для улучшения соединения. Для получения дополнительной информации, смотрите Понимание сетевой системы Cato в Китае.
Лицензирование
При покупке лицензии для сайта в Китае клиенты должны определить, какой процент пропускной способности этой лицензии выделен на региональный трафик, а какой процент предназначен для глобального трафика.
- Региональный трафик — это любой трафик, отправляемый в пределах китайского региона, например, с сайта в Шэньчжэне на сайт в Пекине
- Глобальный трафик - это любой трафик, отправляемый за пределы региона, например, с сайта в Шэньчжэне на сайт в Европе.
Примечание
Примечание: Глобальный трафик по своей сути дороже регионального. Убедитесь, что распределили оба типа трафика в соответствии с вашими потребностями.
Когда вы настраиваете сайт в Cato Management Application, вы должны присвоить ему лицензию. Детали сайта показывают информацию о лицензии, которая объединяет приобретенные вами региональные и глобальные лицензии.
Значение, которое вам нужно ввести в пропускную способность последней мили для конфигурации сайта, включает общую региональную и глобальную пропускную способность для сайта. Если, например, вы приобрели 100 Мбит/с, из которых 70% региональные и 30% глобальные, вы должны настроить 100 Мбит/с для сайта, расположенного в Шэньчжэне.
QoS в Cato управляется двумя аспектами:
- Управление шириной канала
- Правила сети
Для получения дополнительной информации см. Правила сети и QoS.
Поскольку механизм управления шириной канала не осведомлен о любых лицензионных ограничениях, при создании профилей вам следует учитывать, что позволяет ваша лицензия.
Если, например, вы приобрели 100 Мбит/с общей пропускной способности, из которых 70% региональная и 30% глобальная, при создании своих профилей управления шириной канала устанавливайте пределы в соответствии с этими значениями. Как лучшая практика, используйте процентные значения, а не фиксированные пределы значений пропускной способности, чтобы избежать превышения разрешенного использования.
Ваша компания имеет сайты в Шэньчжэне, Шанхае, Пекине и Европе. Вы хотите убедиться, что во время видеоконференцсвязи (VC) они могут связаться без проблем.
Вы можете создать следующий профиль для выделения не менее 15% ваших ресурсов для трафика P15.
Затем вы можете создать правило сети, которое использует профиль P15 для трафика VC. Когда трафик идет между офисами в Китае, например, между Шанхаем и Пекином, 15% выделенной пропускной способности будет основываться на вашей региональной лицензии. Если Шэньчжэнь проводит видеоконференцию с европейским сайтом, это займет 15% глобальной лицензии. Тем не менее, поскольку вы использовали проценты, а не фиксированные ограничения пропускной способности в Мбит/с, вы не рискуете превысить лимит вашей лицензии.
На основе описанного выше сценария вы также можете создать два разных профиля: один для региональных видеоконференций и один для глобальных, использующих жесткие ограничения пропускной способности. Для региональных видеоконференций у вас есть профиль, выделяющий 10 Мбит/с. А для глобальных видеоконференций - профиль, выделяющий 5 Мбит/с.
В ваших правилах сети создайте два отдельных правила для реализации каждого из профилей в зависимости от назначения трафика VC.
0 комментариев
Войдите в службу, чтобы оставить комментарий.