Global Azure 与 China Azure 互联

由于Global Azure和China Azure是独立运营的，很多童鞋估计看了官方的互联文档会有些蒙圈（https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-connect-different-deployment-models-portal），如果一个客户既有Azure China的账号，又有Azure Global的账号，现在需要将China一个Region的Vnet和Global一个Region的Vnet做VPN互联这个时候对着手册操作是走不通的，那是不是就无法建立VPN连接呢。本文讲Step by Step带你玩转Global Azure与China Azure的VPN互联。

========操作须知=========

基本概念：

中英翻译以及AZURE内的命名可能会让童鞋们迷失，咱们先统一频道，了解清楚VPN连接的基本概念

vNet Gateway（vNet网关）：vNet Gateway代表在Azure侧的VPN网关，用于终结VPN隧道。

Local Gateway（本地网关）：Local Gateway代表企业侧即客户侧VPN网关，可以把该对象理解成为一个虚拟配置实体，用它来描述客户侧网关的连接参数。

Connction（连接）: 连接用于描述VPN连接，如两端网关是谁，连接参数等。

大家如果细心会注意到在创建Connction（连接）时候可以选择三种连接类型：VNet-to-VNet，site-to-site（IPsec），Expressroute，其中如果VPN连接发生在两个AZURE VNet Gateway之间（且两个Gateway同时处于AZURE China或同时处于AZURE Global）可以选择VNet-to-VNet，如果VPN连接发生在AZURE VNet Gateway与客户侧VPN网关之间或AZURE China VNet Gateway与Azure Global VNet Gateway之间可以选择site-to-site（IPsec），如果是专线连接则选择Expressroute。所以今天我们涉及的场景就是第二类site-to-site（IPsec），大家可以把Azure China和Azure Global的VPN看成是与客户侧网关的连接。

========操作步骤=========

1. 创建GatewaySubnet；

2. 创建Vnet Gateway类型选择VPN；

3. 创建Local Gateway，此部中的Local Gateway代表对端Azure中的VNet Gateway；

4. 创建Connection，选择site-to-site（IPsec）类型，选择步骤3中创建的Local Gateway；

以上步骤可以参阅如下手册：

门户操作：https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal

Powershell：https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-create-site-to-site-rm-powershell

CLI操作：https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-cli

========扩展阅读=========

关于Azure China和Azure Global的VPN互联大家会关心如下问题：

1. 性能

性能受制与所创建的VNet Gateway的Size，可参阅如下连接：https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-about-vpn-gateway-settings （网关SKU章节），需注意表格中的性能代表大包的性能

2. 流量是否走AZURE的骨干网

如果VPN建立在AZURE CHINA内部或者AZURE GLOBAL内部会走AZURE Backbone，如果是Azure China和Azure Global的VPN互联场景不会走Backbone会走Internet，所以延迟方面得不到加持。BUT：小伙伴可以试试看也许有彩蛋

3. 如果现有的VPN网关吞吐不能满足要求，如何扩展？

可以考虑采用第三方NVA来自行搭建VPN网关，目前AZURE Global已经在美西和美中以及加拿大地区Preview Inter-region Peering，该方式可以实现跨Region的Vnet打通且无需通过VNet Gateway，吞吐和延迟都会得到加持。（https://azure.microsoft.com/zh-cn/roadmap/global-vnet-peering/）

4. 关于延迟是否有好的方式可以降低延迟

目前AZURE的VPN网关支持自定义VPN策略，通过自定义VPN策略可以将加密算法置为None，可以得到延迟上面的加持。

 az network vpn-connection ipsec-policy add --connection-name YourConnectionName -g YourResourceGroup --ike-encryption DES --ike-integrity MD5 --dh-group DHGroup1 --ipsec-encryption None --ipsec-integrity MD5 --pfs-group None --sa-lifetime 27000 --sa-max-size 102400000

需要在两端同时进行策略自定义，VPN连接才可以成功建立。

========小彩蛋=========

CHINA BJ VNET  与 GLOBAL HK VNET

BJ VM  与 HJ VM的ping测试

BJ VM Public IP ping HK VM Public IP：Avg 49.922ms （100 packet，packet payload size 56 Byte）

BJ VM Private IP ping HK VM Private IP：Avg 47.326ms （100 packet，packet payload size 56 Byte）