WVD Spring 2020 #37 中国のDaaS 事情

Alibaba Cloud が提供するDaaS “Alibaba Cloud Desktop” について2つほど記事(概要編作ってみる編)を書いていたのですが、その記事を書く中で興味を持った中国でのDaaS 事情について、Windows Virtual Desktop を中国本土で利用できるのか、わかったことをまとめます。

1. 中国本土でのWindows Virtual Desktop の提供状況

WVD の中国での提供状況について調べてみました。 答えを先にいうと中国本土でのWVD 提供は2021年の予定とのこと。

Azure の各Products がどのregion で提供されているかは以下のサイトで確認することが可能です。

https://azure.microsoft.com/en-au/global-infrastructure/services/

Products に”Windows Virtual Desktop” を指定し、Regions には”China”を指定します。

結果が表示されます。”China Non-Regional”について”Future availability (hover to view expected time frame)”のステータスであることがわかります。 将来の提供ということです。  

時計アイコンにカーソルを合わせると H1 2021 に提供予定であることもわかります。

詳細は後述しますが中国本土のAzure は中国外のAzure とは別物です。 従ってChina Non-Regional という概念がそこにはあり、そのChina Non-Regional でのWindows Virtual Desktop の対応という話になります。 

あとはネットワークの接続性の話は別にして中国本土から中国外に展開した WVD に接続することは可能です。これは技術的な観点ということで、単純にインターネットを経由して中国本土から中国外のFrond Door を経由してWVD のコントロールプレーンに接続されるということです。

2. 香港でのWindows Virtual Desktop の提供状況

WVD に限った話ではないのですが、中国本土上のユーザにシステムを提供する際、香港にシステムを設置するケースがあります。 ネットワーク的な接続性が良いといわれているためです。  ということで香港にWindows Virtual Desktop を展開し、中国本土から香港に接続して利用することが出来るのか確認します。

まずはAzure における香港(Hong Kong)リージョンは”East Asia”です。 

https://azure.microsoft.com/en-us/global-infrastructure/locations/

サイト”Products available by region” で”East Asia”のWVDの対応を確認します。 Japan East / West 同様にRegjons での対応ではなく Non-regional での”Generally Available”、いわゆるGA という見え方になります。

中国本土のユーザへWindows Virtual Desktop を提供したい場合、Azure East Asia(Hong Kong) Regionへの展開は一つの選択肢になりそうです。 実現性の確認は必要ですがEast Asia Region とJapan East をExpress Route やVNet Peering で接続し複数のリージョンにまたがる Windows Virtual Desktop 環境も視野にはいってきたかなと。 

ただし、中国本土は広大です。 通信の南北問題への配慮も必要です。 ユーザがHong Kong に物理的に近い距離であればよいのでしょうがそうではない場合やLatency に問題がある場合、Hong Kong の利用が解決策とならない場合もあるかなと。

3. 中国本土のMicrosoft Azure

中国本土のAzure、”Microsoft Azure China”は以下の公式サイトで知ることが出来ます。  

https://azure.microsoft.com/en-us/global-infrastructure/china/

より詳しい話は Microsoft Docs になります。

https://docs.microsoft.com/en-us/azure/china/

What is Azure China

このページではAzure China の概要を知ることが出来ます。 

  • Microsoft Azure China は 21Vianet により運営されている
  • Microsoft Azure China と 中国外のMicrosoft Azure は物理的に分離されている
  • 契約形態はOSPA Direct とOSPA Indirect の2形態

Azure China datacenters

Azure global とAzure China ということで簡単な比較表があります。 差異をピックアップします。

  • Compliance/Certifications
    • 中国専用の認定を取得している URL
  • Developer guidance
    • Azure China 向けの開発ガイドがある URL
    • PCではなくMobile firstであったり、QRコードへの対応など
    • Endpoints がGlobalと異なる 表あり

Data sovereignty and China regulations

このサイトでは中国でビジネスをする際には欠かすことが出来ない概念についてまとめられています。  私はAlibaba Cloud に携わることが出来たため以下の概念には多少馴染みがあります。

  • China Cybersecurity Law 
    • いわゆるサイバーセキュリティ法
    • 越境データの話やら情報システムの導入を考える際には避けては通れません
  • Real name verification 
    • 実名認証
    • Alibaba Cloud でも国際サイト契約からは必要になり、中国本土のインスタンスを購入する際には企業なら謄本の提出、個人ならパスポートの提示しなければならなくなりました
  • ICP licensing and filing
    • 中国本土内でWebサイトを運営するに際に絶対に必要となる
    • 商用と非商用がある
  • Public security registration
    • ICP licensing の提出先の話
  • VPN and dedicated lines
    • VPNも専用線も許認可が必要という話

Cross-border connectivity and interoperability

ここでは日中間(日本とは限りません)をまたがる通信、遅延への対策やAzure AD などのサービスとの接続について説明があります。 

  • 中国本土と本土外の通信の品質は予測不可能で3倍の遅延が発生することもある
    • そのためにホストをAzure China 上に配置することを推奨
    • または中国本土に近いリージョン(Hong Kong とか)にワークロードを配置する

中国本土と本土外のAzure の接続シナリオも概念図とともに紹介されています。

https://docs.microsoft.com/en-us/azure/china/overview-connectivity-and-interoperability#cross-border-iaas-interoperability

“Although Azure China regions are disconnected with Azure global regions” とあるようにAzure China とAzure global は接続されていません。 従って、On-Premise のデータセンターをHUBとしてAzure China と Azure Global Regions を接続するシナリオです。 まあ、ではどこにそのHUBとなるデータセンターを置いて、どう接続するか、簡単な話ではなかったりします。 技術的な話というよりも法律や規制への対応をしっかりと抑える必要があったり。

PaaS のシナリオもありますが絵は同じです。 PaaS はMicrosoft Peering の認証も話もあったりするでのIaaS よりも大変な気もします。

https://docs.microsoft.com/en-us/azure/china/overview-connectivity-and-interoperability#cross-border-paas-interoperability

もともとのこの記事のテーマのWindows Virtual Desktop の中国本土の対応の話より長くなってきたのでこの辺にします。 なお、上で色々書いていますが、Azure China を利用する際に気になること、知りたいことがある場合は以下のチェックリストサイトで確認することをお勧めします。 Network の接続性の話も法規制の話もこのチェックリストでその対応状況と詳細情報へのリンクを確認することが可能です。

https://docs.microsoft.com/en-us/azure/china/overview-checklist

4. AWS WorkSpaces の中国での利用

Windows Virtual Desktop と競合することもあるAWS WorkSpaces および関連ソリューションの中国2リージョンおよび香港の対応は以下の通りです。

WorkSpaces が寧夏に対応しています。

https://aws.amazon.com/jp/about-aws/global-infrastructure/regional-product-services/

寧夏の物理的な場所は以下になります。 寧夏と中国全土との通信品質の情報は持っていないので何も言えないところはありますが、上海からは距離があることはわかります。

またMicrosoft Azure China のようにAWS 中国リージョンにも考慮すべき事項があります。  以下の説明のとおり、Global のAWS とは別のアカウントとなることが明記されています。

中国リージョンを使用するお客様は、中国のサービスに特有の別個のアカウント認証情報でサインアップする必要があります。既存の AWS 認証情報を使用しているお客様は、中国リージョンのリソースにアクセスできませんし、またその逆も同様です。

https://aws.amazon.com/jp/about-aws/global-infrastructure/regional-product-services/

AWS は詳しくないのですがドキュメントを見る限りは Transit Gateway も対応していません。 Azure の例を見れば寧夏をGlobal のリージョンとAWS が持つプライベート接続サービスでリージョン間接続することは出来ない可能性が高そうです(憶測)。 

そういう意味では Alibaba Cloud のCEN (Cloud Enterprise Network)はすごいサービスです。 日本にいながらにして中国リージョンと東京リージョンを数分間で接続し、高品質な接続環境を提供できるわけです。

5. まとめ

まず、中国本土でWindows Virtual Desktop の提供は2021年の予定です。 中国本土のユーザにWindows Virtual Desktopを提供するにはAzure East Asia にデプロイするしかないのが現状です。 また Azure China がWindows Virtual Desktop を2021年に提供開始したとしてもそれを日本企業が利用するにもいろいろとハードルがあるのですぐに選択肢と出来ない可能性もあります。

あとは中国本土から本土外のAzure への通信経路にAlibaba Cloud を連携させるアイデアは何個か頭に浮かびます。 Cloud Enterprise Network を使う構成やGlobal Acceleration を使う構成、Dynamic Route for CDN を使う構成など。 技術的な話だけではなく中国法規制の考慮も必要ですがそのコンセプトは別記事で紹介したいと思います。

以上