香港企業雙軌雲架構實戰指南:國際雲+中國大陸雲混合部署與跨境合規(2026)
目录
香港企業做雲架構,天然需要兩套雲。一套國際雲(AWS/Azure)服務香港和全球用戶,一套中國大陸雲(阿里雲/騰訊雲)覆蓋內地市場。不是選哪家的問題,是怎麼把兩套雲接在一起、數據合規分開、統一管起來。本文拆成四層架構加落地路線圖。
一、為什麼香港企業天然需要兩套雲?
過去兩年幫 30 多家香港本地企業做雲架構審查,一個規律反覆出現:只要業務同時涉及香港和內地市場,單一雲廠商的方案就會在某個環節卡住。
卡住的點有三個:
網絡可達性。 內地用戶訪問 AWS 香港 Region(ap-east-1)的延遲在 30-50ms,看起來不算差。但問題是 GFW 的不可預測性:今天能通、明天可能丟包 30%。做內地市場的香港電商或 SaaS,用戶打開頁面等 5 秒以上的概率不是零。反過來,阿里雲/騰訊雲的內地節點到內地用戶延遲 5-15ms 且穩定。所以面向內地用戶的業務,天然應該跑在中國大陸雲上。
合規雙體系。 香港《個人資料(私隱)條例》(PDPO)管香港居民的個人資料,內地《個人信息保護法》(PIPL)加《數據安全法》(DSL)加《網絡安全法》(CSL)管內地用戶的個人信息。兩套法律體系的要求不完全重疊。香港法律不強制數據本地化(Section 33 跨境傳輸限制至今未生效),但內地的 CIIO(關鍵信息基礎設施運營者)認定企業必須將特定數據留在境內。一套雲搞不定兩種合規。
支付與發票雙軌。 香港公司用 FPS 轉數快或公司網上銀行以港幣付款、收香港 Invoice(無 VAT)。內地業務可能涉及人民幣對公轉賬。兩套支付體系對應兩套雲賬單,代理商也基本是分開的。
數據來源:PCPD 雲計算指引(2025 年 1 月)、PIPL 第 38-40 條、《網絡安全法》第 37 條;AWS/Azure/阿里雲/騰訊雲合規文檔
一個真實案例:今年年初一家香港跨境電商客戶找到我們。他們用 AWS ap-east-1 跑全部業務,包括面向內地消費者的商城。雙十一當天,內地用戶訪問成功率跌到 82%,客服熱線被打爆。排查結果不是 AWS 香港節點掛了,是跨境網絡鏈路上的間歇性丟包。最終方案是阿里雲深圳節點部署商城前端加 Redis 緩存,AWS 香港節點保留訂單和支付核心邏輯,中間拉了一條跨境專線。雙十一第二年的訪問成功率回到 99.5%。
下文把這個案例背後的架構邏輯完整拆出來。
二、四層雙軌架構怎麼搭?
整體架構從下往上分四層:網絡互聯、計算分流、數據分層、統一管控。每一層單獨做決策,但四層之間互相依賴。

第一層 網絡互聯:跨境專線怎麼選?
雙軌架構的第一塊磚是兩條軌之間的連接。沒有這條連接,後續的數據同步、統一 DNS、災備切換全部免談。
香港到深圳/廣州的跨境連接有三種方案,成本和穩定性差異巨大:
| 方案 | 延遲 | 帶寬 | 月費(估算) | 適用場景 |
|---|---|---|---|---|
| IPLC/IEPL 跨境專線(中國電信/聯通國際) | 2-5ms | 10M-10G | HKD 3,000-30,000 | 數據庫同步、實時業務 |
| SD-WAN over 跨境專線 | 5-15ms | 彈性 | HKD 1,500-8,000 | 多分支接入、混合流量 |
| IPSec VPN over 公網 | 15-50ms | 受公網質量影響 | HKD 0-500 | 非關鍵數據、備份流量 |
香港側接入點:AWS Direct Connect 在 Equinix HK1(荃灣),支持 1G/10G/100G 端口。阿里雲有香港可用區,可通過雲企業網(CEN)連接內地 Region。騰訊雲香港節點(2+ AZ)同樣支持專線接入。
一個關鍵細節:AWS 中國區(北京/寧夏)和 AWS 全球區(含香港)的 Direct Connect Gateway 不能直接互聯,這是 AWS 的合規隔離設計。所以跨境鏈路必須走第三方專線服務商(Zenlayer、中國電信國際等),在香港 Equinix HK1 做交叉連接後分別接入兩邊的雲。
實操建議:生產環境至少配兩條物理路徑不同的跨境專線,加一條 IPSec VPN 作為最後兜底。三層的冗餘成本大概 HKD 5,000-15,000每月,比起雙十一宕機一小時的損失,這個投入可以忽略不計。
第二層 計算分流:哪些工作負載跑哪條軌?
兩條軌不是各跑 50%。分流的依據是”用戶在哪,計算就在哪”:
國際軌(AWS/Azure)適合:
- 面向香港和海外用戶的前端應用和 API
- 全球 SaaS 平臺的核心業務邏輯
- 需要 AWS 生態的服務(Bedrock AI、CloudFront CDN、Aurora 數據庫)
- 海外支付和結算系統
中國大陸軌(阿里雲/騰訊雲)適合:
- 面向內地用戶的 Web 前端、H5 頁面、小程序後端
- 需要內地實名認證、手機號驗證的服務
- 內地支付集成(微信支付、支付寶)
- 與內地第三方平臺(抖音、微信開放平臺)的 API 對接
分流之後產生一個新問題:兩邊的工作負載怎麼編排?兩個方案各有代價:
| 編排方案 | 優勢 | 代價 |
|---|---|---|
| Terraform 統一 IaC | 一套代碼管兩套雲,變更可審計 | 初期配置量大,阿里雲 Terraform provider 功能不如 AWS 成熟 |
| 各用各的原生工具(CloudFormation + ROS) | 各自生態完整 | 兩套配置、兩套變更流程,運維複雜度翻倍 |
推薦起步用 Terraform 統一編排。AWS 和阿里雲的 Terraform provider 雖然成熟度有差異,但 EC2/EKS 和 ECS/ACK 級別的資源管理已經夠用。等架構穩定後再考慮是否需要更精細的原生工具。
第三層 數據分層:PDPO + 內地三法的儲存策略
數據放在哪不是技術問題,是合規問題。雙軌架構下的數據分層策略:
| 數據類型 | 儲存位置 | 法律依據 |
|---|---|---|
| 香港居民個人資料(姓名、電話、電郵、地址) | 香港 Region(AWS ap-east-1 / Azure Southeast Asia / 阿里雲香港 / 騰訊雲香港) | PDPO DPP4 保安原則,PCPD 建議本地儲存 |
| 內地用戶個人信息(姓名、手機號、身份證號) | 內地 Region(阿里雲深圳/上海/北京 / 騰訊雲廣州/上海) | PIPL 第 38-40 條,CIIO 強制本地化 |
| 非個人業務數據(訂單、庫存、商品目錄) | 可跨境同步,但需在隱私政策中披露 | PDPO DPP1 + PIPL 第 17 條告知義務 |
| 備份數據 | 跨 Region 備份但保持數據分類邊界:HK 數據備份不出香港,內地數據備份不出內地 | PDPO DPP4 + DSL 第 21 條數據分類分級 |
一個容易被忽略的細節:數據庫讀寫分離在雙軌架構下會產生合規隱患。如果在 AWS 香港跑主庫、在阿里雲深圳跑只讀副本做內地用戶加速,PIPL 下的個人信息實際上已經出境了,即使只是”讀”操作。這跟我們在 PDPO 那篇文章裡講的 S3 生命週期策略是同一個邏輯:技術架構的一個配置,對應一條法律條文。
實操建議:對包含個人信息的數據表做垂直拆分。非個人字段(SKU、價格、庫存數)可以跨境同步;個人信息字段(姓名、手機、地址)嚴格留在所屬法律管轄區。字段級別的數據駐留策略,比”整個數據庫放在哪裡”更精準也更容易過審計。
第四層 統一管控:跨雲監控、DNS、賬單怎麼並軌?
兩套雲最頭疼的不是技術,是運維。兩條軌各自的控制台、各自的告警、各自的賬單,沒有統一層的話,運維團隊每天在兩個控制台之間切來切去。
統一監控:Prometheus + Grafana 跨雲採集。關鍵是指標命名規範化:cloud.<provider>.<region>.<service>.<metric>(如 cloud.aws.ap-east-1.ec2.cpu_utilization vs cloud.aliyun.hk.ecs.cpu_utilization)。AWS CloudWatch 和阿里雲雲監控的預設指標名稱完全不同,初期就要統一命名規範,別等到告警規則寫了 200 條再來改。
統一 DNS:Route 53(國際軌)加阿里雲雲解析 DNS(中國軌),用統一的分流策略。內地用戶解析到阿里雲深圳節點的 IP,香港和海外用戶解析到 AWS 香港節點的 IP。可以通過自建 DNS 視圖(split-horizon)或第三方 DDI 平臺(Infoblox/EfficientIP)實現跨雲 DNS 的統一管理。
統一賬單:這是代理商獨有的價值點。AWS 賬單是美元、阿里雲國際站賬單是美元或港幣、騰訊雲國際站可港幣結算。如果分別走官網直購,每月對著三份格式完全不同的賬單做成本歸因,財務團隊會瘋。通過代理商統一採購,可以把多份賬單合併為一個港幣結算入口,一張 Invoice 覆蓋兩條軌。
統一身份:Okta 或 Microsoft Entra ID 作為統一身份源,橋接 AWS IAM Identity Center 和阿里雲 RAM。一個人一個賬號,權限在兩套雲上各自映射。離職時關一處即全部關停。
三、跨境合規怎麼做?PDPO + 內地三法的雙體系實操
雙軌架構的合規不是”做完一軌再做另一軌”。兩條軌的法律要求在同一家公司同時生效。
PDPO 側(香港軌)
PDPO 六項保障原則中,與雙軌架構最相關的三條:
DPP4 保安原則:國際軌的所有儲存客戶資料的服務必須開啟靜態加密(優先 CMK 非預設密鑰)、傳輸加密(TLS 1.2 最低)、審計日誌不可篡改(S3 Object Lock/Immutable Blob)。詳細配置見本站 PDPO 合規指南,不重複展開。
DPP3 使用限制:如果要把在香港收集的客戶資料同步到內地軌做分析或營銷,必須獲得資料當事人的”自願和明示同意”。不能靠註冊時預設勾選的那份隱私聲明覆蓋。實操上,在用戶註冊流程中單獨設一個”是否同意將個人資料轉移至內地關聯公司用於營銷目的”的勾選框,預設不勾。
第 65(2) 條替代責任:內地軌的雲服務商(作為香港數據使用者的”代理人”)如果發生資料外洩,香港數據使用者(你的公司)承擔替代責任。所以與阿里雲/騰訊雲簽署的合約裡必須寫清楚安全義務、審計權和賠償責任。光靠原廠標準條款不夠。
內地三法側(中國大陸軌)
內地軌如果儲存或處理內地用戶的個人信息,觸發 PIPL + DSL + CSL 三重合規。
PIPL 個人信息出境:三種合法機制選一種:
- 網信辦安全評估:適用於 CIIO 或年出境 ≥100 萬人個人信息
- 中國標準合同(China SCC):適用於年出境 10 萬-100 萬人個人信息
- 個人信息保護認證:適用於跨國集團內部傳輸
對大多數 HK 中小企業,年出境內地用戶個人信息不到 10 萬人的,2024 年新規下屬於豁免範圍。但如果你的業務是面向內地消費者的電商或 SaaS,數字很容易超過 10 萬。建議提前備好 China SCC 模板並完成個人信息保護影響評估(PIPIA),不要等到觸發門檻才補。
大灣區標準合同(GBA SCC):2023 年 12 月發佈、2024 年恆常化推行,覆蓋香港和廣東九市之間的個人信息跨境流動。比 China SCC 流程簡單,不需要逐一向省網信辦備案。如果業務只涉及大灣區(香港←→深圳/廣州),優先用 GBA SCC。
PCIO(Cap. 653)2026 年 1 月生效:這是香港首部關鍵基礎設施網絡安全法例,覆蓋能源、IT、銀行金融、交通、醫療、電訊廣播八大行業。如果你屬於這八個行業,雙軌架構的每一層都需要額外做網絡安全審計。這不是替代 PDPO DPP4,是在 DPP4 上面疊加一層行業監管要求。
雙軌跨境數據流決策樹
一個實操判斷框架:什麼數據可以跨、什麼不能跨。
- 數據是否含香港居民個人資料? → 是 → 留在香港軌,出境需明示同意
- 數據是否含內地用戶個人信息? → 是 → 留在內地軌,出境需 PIPL 合規機制
- 數據是否屬於 PCIO 定義的”關鍵基礎設施”數據? → 是 → 通知 PCPD,做額外安全評估
- 數據是否為純業務數據(不含個人信息、不算重要數據)? → 是 → 可跨,但建議加密傳輸加 DPA 合約
四、五廠商雙軌適配能力對比
不是每家雲廠商的雙軌適配能力一樣。以下對比基於實際幫客戶部署的經驗加各廠商官方文檔:
| 雙軌維度 | AWS | Azure | GCP | 阿里雲(國際站) | 騰訊雲(國際站) |
|---|---|---|---|---|---|
| 香港 Region | ap-east-1(3 AZ) | Southeast Asia | asia-east2 | 香港節點(國際站) | 香港節點(2+ AZ) |
| 內地 Region | 中國區(光環新網/西雲數據運營,獨立賬號體系) | 中國區(世紀互聯運營,獨立賬號) | 無內地 Region | 深圳/上海/北京等 20+ Region | 廣州/上海/北京等 20+ Region |
| 跨境專線接入 | Direct Connect(Equinix HK1)+ 第三方專線 | ExpressRoute + 第三方專線 | Cloud Interconnect + 第三方專線 | 雲企業網 CEN + 內地專線原生支持 | 雲聯網 CCN + 內地專線原生支持 |
| 統一 IaC | Terraform(Provider 最成熟) | Terraform(成熟) | Terraform(成熟) | Terraform(國際站 Provider 功能受限) | Terraform(國際站 Provider 功能受限) |
| 統一身份 | IAM Identity Center + Okta/Entra ID | Entra ID(原生) | Cloud Identity + 第三方 | RAM + 第三方橋接 | CAM + 第三方橋接 |
| 兩地賬號互通 | 否(中國區與全球區完全隔離) | 否(世紀互聯 vs 全球獨立) | N/A(無內地 Region) | 是(國際站與內地站可通過 CEN 互通) | 是(國際站與內地站可通過 CCN 互通) |
| PDPO 合規工具 | Artifact + Config + CloudTrail 閉環 | Compliance Manager + Defender for Cloud | Compliance Reports Manager | PDPO 遵從性說明 | PDPO 隱私合規白皮書(32頁) |
| PIPL 合規支持 | 中國區文檔 + 白皮書 | 中國區文檔 | 無內地合規文檔 | 原生 PIPL 合規方案 | 原生 PIPL 合規方案 |
| 港幣 HKD 直結 | 不支持(美元結算) | 不支持 | 支持 HKD 直結 | 不支持(美元/人民幣) | 國際站支持港幣 |
選廠商的建議:
- 雙軌首選組合:AWS(國際軌)+ 阿里雲(中國軌)。AWS 香港 Region 生態最完整,CloudTrail + Config + KMS 審計閉環在 PDPO 檢查時證據鏈最清晰。阿里雲內地 20+ Region 覆蓋面最廣,且國際站與內地站通過雲企業網原生互通,這是其他組合做不到的。
- 已有微軟 EA 合約的企業:Azure(國際軌)+ 阿里雲或騰訊雲(中國軌)。Entra ID 作為統一身份層的原生能力比 AWS IAM Identity Center 強,但 Azure 中國區由世紀互聯獨立運營,賬號體系與國際版不通,實際上等於兩條完全獨立的軌,比 AWS+阿里雲組合的管理成本更高。
- 以數據分析為核心的企業:AWS(國際軌)+ GCP asia-east2 作為國際軌補充。GCP 沒有內地 Region,純內地的需求還是得加阿里雲或騰訊雲。但 GCP 的 BigQuery + Looker 在亞太區的延遲優勢值得考慮作為國際軌的補充而不是替代。
- 成本敏感的中小企:騰訊雲(國際軌+中國軌)。如果你本來就在騰訊雲生態裡(微信支付、小程序),同一家廠商管兩條軌的溝通成本最低。但騰訊雲國際站的 PDPO 合規工具不如 AWS 成熟,國際軌部分需要額外補充審計配置。
五、落地路線圖:四周從零到雙軌
以下路線圖假設你已經有一套跑在單一雲上的業務(比如 AWS 香港),要加一條中國大陸軌。
第一週:網絡 + 合規基礎
- 向中國電信國際或 Zenlayer 申請深港跨境專線(IPLC/IEPL),目標帶寬 ≥50Mbps 起步
- 在 Equinix HK1 完成與 AWS Direct Connect 的交叉連接
- 阿里雲側開通雲企業網(CEN),配置與騰訊雲側開通雲聯網(CCN),完成與跨境專線的對接
- 委託法律顧問審查或起草 China SCC / GBA SCC 文本
- 完成數據映射:列出所有涉及個人信息的數據表、字段和跨境流向
第二週:中國軌部署
- 在阿里雲深圳或騰訊雲廣州 Region 部署面向內地用戶的前端服務(ECS/ACK/CVM/TKE)
- 配置內地專屬數據庫實例(RDS/MySQL/Redis),開通靜態加密和自動備份
- 部署跨境數據同步通道(僅同步非個人資料),設置同步監控告警
- 完成個人信息保護影響評估(PIPIA),如適用提交 China SCC 備案
第三週:統一管控 + 測試
- 部署 Prometheus + Grafana 統一監控,配置跨雲指標採集
- 配置統一 DNS 分流策略:內地用戶 → 中國軌 IP,其他用戶 → 香港軌 IP
- 配置統一身份橋接(Okta/Entra ID → IAM Identity Center + RAM)
- 執行跨境鏈路壓力測試:模擬雙十一級流量,驗證延遲和可用性
- 執行合規穿透測試:模擬 PCPD 檢查場景,逐項驗證 DPP4 審計證據鏈
第四周:切換 + 文檔
- 灰度切換:10% 內地用戶流量 → 中國軌,監控 48 小時
- 全量切換:確認無異常後逐步切到 100%
- 編寫雙軌運維手冊(runbook):包含告警響應流程、災備切換步驟、合規審計清單
- 準備 PCPD/PIPL 審計證據包:加密配置截圖、審計日誌樣本、DPA/SCC 合約副本、PIPIA 報告
六、常見問題
1. 小公司(15-50 人)也需要雙軌嗎?只用 AWS 香港行不行?
如果你的內地用戶不到總用戶的 10%,且對內地用戶體驗沒有明確 SLA 要求,先用 AWS 香港加 CloudFront 中國區加速撐一陣是可以的。但如果內地用戶超過 20% 或內地業務是增長方向,提早搭雙軌比用戶投訴以後再遷移的成本低得多。另外,一旦你開始收集內地用戶的手機號做註冊或營銷,PIPL 的個人信息保護義務就觸發了,即使公司註冊在香港,只要你處理內地用戶的個人信息就要遵守。
2. 跨境專線一定要用 IPLC 嗎?SD-WAN 夠不夠?
數據庫同步和實時 API 調用走 IPLC。延遲 2-5ms 且不經過公網,穩定性是 SD-WAN 無法替代的。SD-WAN 適用於分支辦公室接入、文件傳輸、備份同步等延遲不敏感的場景。VPN over 公網只做災備兜底,不做生產流量通道。三者不是替代關係,是三層遞進:IPLC 做主鏈路、SD-WAN 做彈性補充、VPN 做最後保底。
3. 雙軌架構的月成本大概多少?
以中小規模(10 臺雲服務器加基本數據庫和帶寬)估算:跨境 IPLC 專線 HKD 3,000-8,000/月,中國軌雲資源 HKD 5,000-15,000/月,統一管控工具(自建 Grafana+Prometheus)HKD 500-2,000/月。總計追加成本 HKD 8,500-25,000/月。如果通過代理商統一採購兩條軌的資源,實測下來可以在中國軌部分拿到比官網低 5-15% 的折扣,部分抵消專線成本。
4. 阿里雲和騰訊雲在國際軌上能替代 AWS 嗎?
在基礎設施層面(EC2/CVM、對象儲存、CDN)可以。但在 PDPO 合規審計和全球網絡覆蓋方面,AWS 的 CloudTrail + Config + S3 Object Lock 證據鏈是目前五家廠商裡最完整的。阿里雲和騰訊雲國際站更適合作為”中國軌”的角色,不太適合作為”國際軌”的主廠商。如果預算有限必須二選一,騰訊雲國際站比阿里雲國際站的香港合規工具稍完整(32 頁 PDPO 白皮書對審計有幫助)。
5. 如果公司只做香港本地業務、沒有內地用戶,還需要雙軌嗎?
不需要。雙軌架構的前提是”業務同時涉及香港和內地市場”。如果只有香港本地業務,單一國際雲(AWS ap-east-1 或 Azure Southeast Asia)加 PDPO 合規配置就夠。但如果你預計未來 12 個月內會拓展內地市場,現在搭架構時至少預留跨境專線的接入點,避免將來推倒重來。
6. 雙軌架構的災備怎麼做?一條軌掛了能切到另一條嗎?
部分能,但不是完全互備。國際軌掛了切到中國軌的前提是中國軌能服務海外用戶,但這恰好和”中國軌面向內地用戶”的定位矛盾。實際可行的災備策略是:國際軌內部做跨 Region 災備(AWS ap-east-1 → ap-southeast-1),中國軌內部做跨 Region 災備(阿里雲深圳 → 阿里雲上海)。兩條軌各自有災備但不互相替代。跨境專線本身也做雙鏈路冗餘。
關於 SevenColorYun
作為 AWS 合作伙伴和 GCP Premier Partner,過去兩年幫 30 多家香港本地企業完成了雲架構部署和 PDPO 合規審查。雙軌架構是我們經手最多的場景:香港註冊、兩邊市場、兩套雲、一套統一管控。
我們的雙軌架構服務:
- 雙軌架構設計與部署:四層架構(網絡→計算→數據→管控)從零到上線,含跨境專線接入、Terraform 統一編排、DNS 分流策略
- 跨境合規雙體系落地:PDPO 六原則加 PIPL/DSL/CSL 三重合規評估,China SCC/GBA SCC 文本準備,PIPIA 影響評估報告
- 統一代理採購:國際軌加中國軌統一港幣結算,單一 Invoice 覆蓋兩條軌的賬單,不需要分別對接不同廠商的代理商
你的公司有內地業務嗎?發郵件來,免費幫你做一次雙軌架構評估:現在的一套雲夠不夠、如果要加第二條軌、成本和合規缺口在哪。
相關閱讀
- 香港PDPO雲合規實戰指南:六項保障原則逐條架構映射與企業自查清單(2026) :雙軌架構國際軌部分的合規操作手冊,DPP4 五層控制面逐項配置
- 香港持牌虛擬資產交易平台(VATP)雲端基礎設施部署指南:SFC 合規 + 多雲架構(2026) :雙軌/多雲架構在 SFC 持牌場景的落地實例,VATP 機構的合規基建參考
- 香港註冊公司如何採購雲服務?FPS對公付款、Invoice做賬、PDPO資料合規、代理商驗證全流程(2026) :香港公司從註冊到採購到合規的完整實操指南,雙軌架構的採購與支付配套篇
- AWS 代理商折扣指南:企業如何通過代理採購節省雲成本 :國際軌 AWS 代理採購的折扣機制,EDP vs 代理對比,雙軌採購的國際軌部分適用
- GCP 代理商折扣指南 2026:承諾使用折扣與代理價疊加詳解 :GCP CUD 與代理折扣疊加計算,如選 GCP 作為國際軌補充,此文覆蓋採購路徑
- 香港雲伺服器選型完整指南:AWS vs Azure vs 騰訊雲 延遲、成本、合規三維對比(2026) :雙軌架構搭好後,國際軌的伺服器怎麼選——AWS/Azure/騰訊雲 HK Region 延遲實測與成本拆解
TokenByte— 开发者自助 AI API 平台
聚合 OpenAI / Claude / Gemini 等主流模型,在线注册即开即用