中国とAWS東京リージョン間のネットワークを最適化する方法

こんにちは。ソリューションアーキテクト部の吉村です。

この記事では、中国国内とAWSグローバルリージョン間の通信を安定化させるネットワークアーキテクチャをシナリオ別に紹介します。

AWS中国リージョンを利用できないケースではこちらを参考にしてみてください。

AWS中国リージョンを利用できないケースとネットワークの悩み

前回 「AWS中国リージョンとAlibaba Cloud中国リージョンの違いを解説」 で紹介しましたが、AWS中国リージョンを利用する際には中国法人での現地契約となります。

そのため、多くの日本企業がAWS中国リージョンを契約できずに、利用を諦めている（もしくはAlibaba Cloudを検討する）となっているのではないでしょうか。

実際に、私がお客さまとお話しする中で、そのようなケースでご相談をいただくことが多いです。

また、相談いただく内容は様々でして、中国で利用したいシステムやアプリはそれぞれ異なります。

例えば、

などの相談があります。

そして、どのようなシナリオであっても、AWS中国リージョンを利用できない場合には、AWS東京リージョン（もしくはその他リージョン）に構築したシステムに対して中国からアクセスさせることになりますが、ここで課題になるのが、中国から海外へのインターネット通信が不安定となることです。

そこで今回の記事では

「AWS東京リージョンで稼働しているシステムがあり、中国からアクセス性を安定させるためにどうすればよいか」

という点にフォーカスして、いくつかのネットワークソリューションを紹介します。

シナリオ１：中国からAWS東京リージョンの業務システムにアクセスさせたい

パターン① : 中国で利用できるSD-CORE(aryaka)

aryakaは拠点間の通信やクラウドへの通信を高速化できるグローバルWANサービスです。グローバルWANをクラウドのように利用できることから、Network as a Service (NaaS) とも言えます。

aryakaの特長として、中国国内のアクセスポイント（PoP）を利用できる点があげられます。

つまり、中国国内拠点から中国国内PoPに対して通信できるため、インターネットを利用したIPsec接続が中国国内で完結できます。

そして、aryakaのPoPを利用したTCP高速化、パケット圧縮の独自技術（ARR）によって、中国からAWS東京リージョンへの通信が高速化される仕組みとなっています。

パターン② : Alibaba Cloud を利用したクラウドネットワーク

Alibaba Cloudは中国発パブリッククラウドとして様々なサービスを提供するプラットフォームです。

特に日中間ネットワークに関しては、他のパブリッククラウドよりも多くのネットワークサービスを提供しています。

例えば、SD-WANであるSAGデバイスを提供しており、中国国内拠点からAlibaba Cloudの中国PoPへのゼロタッチプロビジョニングができます。

また、日中間通信はAlibaba Cloud CENを利用することで通信を安定させることが可能です。

Alibaba Cloudのネットワークサービスを組み合わせることで、前述のSD-CORE（aryaka）と似たようなグローバルWANを構築することができます。

中国からAWS東京リージョンまでのネットワークをクラウドで構築することができてしまい、一昔前と比べると日中間ネットワークの選択肢がとても広がっていると感じます。

また、ソフトバンクではaryakaやパブリッククラウドのグローバルネットワークを利用したグローバルWANソリューションをSD-COREとして構築から運用までの提供しています。

パターン③ : SD-COREとSASEサービスの組み合わせ

前述のaryakaはNaaS型、Alibaba Cloudはパブリッククラウド型という分類ができます。

これらのSD-COREと他のネットワークプロダクトと組み合わせて、中国からのAWS東京リージョンへのアクセスを安定させるパターンを紹介します。

例えば、ソフトバンクが提供するSASEソリューション「クラウドファイアウォール powered by Palo Alto Networks®」を導入しているケースでは、SD-COREとの組み合わせのメリットが得られます。

「クラウドファイアウォール powered by Palo Alto Networks®」はセキュリティ機能とネットワーク機能を一元的に提供するPrisma Accessを利用したサービスであり、グローバルで導入することで世界中の拠点で同一のセキュリティポリシーとネットワークポリシーを適用することができます。

このPrisma Accessは世界中に100を超える接続ポイントを提供していますが、中国国内にはアクセスポイント（PoP）がありません。

とはいえ、中国拠点のセキュリティやネットワークポリシーを別管理してしまうのは残念です。

そこでSD-COREと組み合わせた構成が生きています。

例えば、先ほどのAlibaba Cloudと組み合わせることで、Prisma AccessではPOPがない中国拠点からでもAWS東京リージョンやSaaS/インターネットに安定したセキュアなアクセスを実現できます。

また、その他のSASEサービスでは、中国PoPがあるけれども中国PoPを利用すると高額になるというケースがあります。そのような場合でも、こちらの構成を採用することで中国PoPの費用を抑えて、トータルコストを下げることも期待できます。

SD-COREとしては、シンプルな契約体系でネットワークをサービスとして利用できるNaaS型と、柔軟な構成を取ることができるパブリッククラウド型、それらとSASEソリューションとの組み合わせの3つを紹介しました。

シナリオ２：AWS東京リージョンから中国向けWebアプリを高速化したい

WebサイトやWebアプリの場合には、先ほどのSD-COREとは異なり、事前に2つの考慮が必要になります。

1つはGreatFirewallで、もう1つはICP登録です。

GreatFirewallは中国国内ISPによるブロッキングやコンテンツ事業者によるフィルタリングの総称であり、中国国内インターネットユーザーには避けることができないものです。

ICP登録はWebサイトやWebアプリの管理者が行うドメイン登録制度であり、登録を行わないと中国国内クラウドやデータセンターからWeb公開ができません。

つまり、中国向けのWebサイト・Webアプリは以下の順番で検討していくと良いでしょう。

1. 中国国内インターネットユーザーが閲覧できるコンテンツにする
2. ICP登録が可能な場合には中国国内からコンテンツ配信する
3. ICP登録が不可能な場合には海外から中国国内向けへのコンテンツ配信を安定化する

AWSにおいてWEBアプリをグローバル向けに高速化するプロダクトはAmazon CloudFront や AWS Global Accelerator になると思います。

しかし、AWSグローバルのEdgeサービスは中国国内にロケーションされていないため、中国向けの高速化には別途考慮が必要になります。

例えば「Route 53とCloudFrontを使った中国ユーザーためのパフォーマンス最適化」の記事では、Route53とCloud Frontを組み合わせて、地理的情報を基づいた中国リージョンとグローバルリージョンへの振り分けが紹介されています。

この記事の解説でもある通り、ユーザーの近くのEdgeサービスから配信してあげることが基本的な戦略となります。

しかし、AWSに限らず中国国内全てのCDNサービス、WEBアプリサービスはICP登録が必要となるため、WEBシステムは中国国内からのコンテンツ配信ができないケースが多いです。

このようなシチュエーションでは、ICP登録を利用しないネットワークソリューションが有効です。

例えば、以下の構成例を見て下さい。

こちらの構成のポイントは、静的コンテンツと動的コンテンツの2つで配信経路を変えている点です。

静的コンテンツは Alibaba Cloud の Object Storage Service（AWS S3相当）の機能を使って、安定した中国向けの配信が出来ます。

Alibaba Cloud の Object Storage Service は、Transfer Acceleration機能で中国を含む高速化エンドポイントを提供してくれます。こちらのエンドポイントを利用すると、バケットへのオブジェクトのアップロード・ダウンロードを高速化できる仕組みです。

そして、S3バケットとの連携として、Back-to-Originミラーモードがあります。こちらはOSS上にオブジェクトがない場合にOriginに画像を取りに行くという、まるでキャッシュサーバのような設定が可能です。

また、動的コンテンツは Alibaba Cloud の Global Accelerator 香港PoPをアクセスポイントとし、Alibaba Cloud内部のクラウドネットワークを通じて、日本からAWS東京リージョンのALBまで安定して通信させることができます。

Alibaba Cloud の Global Accelerator には2つの特長があります。

1つは、AWS の Global Accelerator はAWSリソースの高速化のみ対応していますが、Alibaba Cloud の Global Accelerator はAlibaba Cloud以外のリソースの高速化に対応している点です。

これにより、AWS の ALB も高速化の対象にすることができます。

もう1つは、香港PoPのエンドポイントが中国本土ISPから接続性が良い、という点です。

Alibaba Cloud Global Accelerator の説明では詳細は開示されていませんが、Alibaba Cloud EIP(Multi-ISP)Pro の説明から読み解くと、中国ISPが提供するプレミアムインターネット回線を香港PoPに繋げていることで中国本土から接続性が良いのだろうと推測しています。

関連記事：What is EIP?

例えば、この構成は画像が多いECサイトなどで効果が出やすいです。

これまで中国からECサイトの閲覧が出来なかったが、この構成に変更したことで快適にアクセス出来るようになった事例があります。

シナリオ３：中国のデータをAWS東京リージョンにデータを送信したい

最後に、中国からAWS東京リージョンにデータを送りたいというケースです。

例えば、「中国工場内のデータやAWS東京リージョンのS3に送りたい」というユースケースになります。

先ほどのシナリオ１やシナリオ２のネットワークソリューションで解決できる場合もありますが、ここでは構成をより簡素化できたり、特別の事情を考慮したソリューションを紹介します。

Alibaba Cloudにはリージョン間でデータをコピー（レプリケーション）をするプロダクトがあります。

中国リージョンで収集したデータをまずは中国リージョンに保存して、そのあと日本リージョンに送ることが可能です。

例えば、中国から日本へのデータ送信で最も不安定な部分である日中間の越境通信を Object Storage Service のクロスリージョンレプリケーション機能に任せることで、AWS S3東京リージョンまでデータの送信を簡単に安定化させることができます。（最後はEC2でAlibaba Cloud Object Storage から AWS S3にデータコピーする処理を実行など）。

また、似たような機能として、Alibaba Cloud Log Serviceもお勧めです。

Alibaba Cloud Log ServiceはAWSのCloud Watch LogsとKinesisを足したようなプロダクトで、ログ収集・加工・分析を行います。

先ほどのOSSと同様に中国国内データをLog Service中国リージョンで収集・保存し、その後日本リージョンに送ることが可能です。

データ転送だけでなくデータのETL処理も行うことができるので、AWS S3には特定のデータのみ送るなども可能になります。

なお、昨今のデータローカリゼーションの潮流にて、中国国内で収集したデータはなんでもかんでも日本に送って良いというわけではなくなりました。

データの種類によっては中国公安への申請や等級保護制度（MLPS）認定が必要になるケースがあります。

こちらについてもご留意ください。

関連サイト：中国サイバーセキュリティ法対策

まとめ

本記事では中国からAWS東京リージョンにアクセスするネットワークアーキテクチャをシナリオ別にご紹介しました。

今回はAWS中国リージョンが利用できないという前提でしたが、AWS中国リージョンが利用できる場合でのAWS中国リージョンとAWS東京リージョンの接続シナリオとして活用することもできます。

また、AWS以外のパブリッククラウド（Microsoft AzureやGoogle Cloud ）で同様にネットワーク課題があれば、そちらでも活用できます。

皆様の参考になれば幸いです。