CloudFlare网络互联

2020-08-04 21:20:15

今天,我们很兴奋地宣布Cloudflare网络互连(CNI)。CNI允许我们的客户将分支机构和总部位置直接与Cloudflare互连,无论他们身在何处,将Cloudflare的全套网络功能带到他们的物理网络边缘。与使用公共互联网连接到Cloudflare相比,使用CNI互连可提供安全性、可靠性和性能优势。而且,由于Cloudflare的全球网络覆盖范围,无论您的基础设施和员工在地球上的哪个位置,连接到我们的网络都很简单。

在最基本的级别上,互连是两个网络之间的链路。今天,我们为客户提供以下与Cloudflare网络互联的选项:

通过专用网络互连(PNI)。连接两个网络的物理电缆(或虚拟“pseduo-wire”;稍后将详细介绍)。

通过Internet交换(IX)。一种通用交换结构,多个Internet服务提供商(ISP)和Internet网络可以在其中相互连接。

举个真实世界的比喻:CloudFlare多年来在互联网上建立了一个高速公路网,以处理我们所有的客户流量。我们现在正在为我们客户的本地网络提供专用的入口匝道,以进入这些高速公路。

CNI可在您的基础架构和Cloudflare之间提供更可靠、更快速、更专用的连接。这为我们的产品套件带来了优势。以下是一些具体产品的示例,以及如何将它们与CNI相结合:

CloudFlare访问:CloudFlare访问将企业VPN替换为CloudFlare的网络。团队不会将内部工具放在专用网络上,而是将它们部署在任何环境中,包括混合或多云模型,并使用Cloudflare的网络一致地保护它们。CNI允许您携带您自己的MPLS网络与我们的MPLS网络相遇,让您的员工无论身在何处都能安全快速地连接到您的网络。

CDN:CloudFlare的CDN将内容放置在离访问者更近的地方,在提高站点速度的同时将源负载降至最低。CNI提高了缓存填充性能并降低了成本。

Magic Transfer:Magic Transfer可保护数据中心和分支机构网络免受不必要的攻击和恶意流量。将Magic Transport与CNI配合使用可降低抖动并提高吞吐量,并进一步加强基础设施免受攻击。

CloudFlare Worker:Worker是CloudFlare的无服务器计算平台。通过与CNI集成,可以安全地连接到不会遍历公共互联网的无服务器云计算,从而使客户能够使用Cloudflare独特的Worker服务集,并具有更严格的网络性能容差。

CNI是提高许多现有Cloudflare产品性能的好方法。通过利用CNI并在客户原始基础设施所在的任何位置与Cloudflare建立互连,客户可以比使用公共交通提供商更低的成本获得更高的性能和安全性。

作为网络互连可以为Cloudflare客户提供的性能改进的示例,考虑流经Cloudflare的CDN和WAF的HTTP应用程序工作负载。我们的很多客户都依赖我们的CDN来提高他们的HTTP应用程序的响应速度。

CloudFlare将内容缓存到非常接近最终用户的位置,以提供尽可能最佳的性能。但是,如果内容不在缓存中,Cloudflare边缘POP必须联系源服务器才能检索可缓存的内容。这可能会很慢,并且与直接从缓存提供服务相比,会给源服务器带来更多负载。

通过CNI,这些回源可以在专用链路上完成,提高了吞吐量,减少了回源所需的整体时间。使用Argo Tiered Cache,客户可以管理分层缓存拓扑,并指定与网络互连位置相对应的上游缓存层。以这种方式使用分层缓存可降低源负载并提高缓存命中率,从而提高性能并降低源基础架构成本。

这是一个真实的Cloudflare客户的匿名和采样数据,该客户最近在我们的网络和他们的网络之间提供了互连,以进一步提高性能。作为CDN的重度用户,通过在多个位置添加PNIS,他们能够将原始往返时间(RTT)缩短为宝贵的毫秒。

例如,他们在波兰华沙的第90个百分位数往返时间减少了6.5ms,因为提供了专用网络互连(从7.5ms减少到1ms),这是87%的性能优势!链路上的抖动(收到数据包的延迟变化)从82.9减少到0.3,这说明了链路的专用、可靠的性质。CNI有助于为您的客户和员工提供可靠、高性能的网络连接。

拥有大型内部网络的客户希望迁移到云:更便宜、更少麻烦、更少的开销和维护。但是,客户还希望保留其现有的安全和威胁模型。

传统上,CIO尝试将其IP网络连接到互联网分两步进行:

购买、操作和维护特定于网络功能的硬件设备。请考虑硬件负载均衡器、防火墙、DDoS缓解设备、WAN优化等。

CNI允许CIO在Cloudflare上提供安全服务,并以绕过公共互联网的方式将其现有网络连接到Cloudflare。*由于Cloudflare与内部网络和云集成,因此客户可以跨两个网络实施安全策略,并创建一致、安全的边界。

CNI通过提供到Cloudflare网络的专用专用链路来提高云和网络安全性。由于此链路是专为调配该链路的客户保留的,因此该客户的流量是隔离的和私有的。

举一个特定于产品的例子:通过CNI与Magic Transportation的集成,客户可以利用专用连接将其网络暴露在公共互联网上的风险降至最低。

Magic Transport通过BGP从我们的边缘广告客户的IP地址,从而将客户的IP流量吸引到我们的数据中心。当流量到达时,它会被过滤并发送到客户的数据中心。在CNI之前,所有Magic Transport流量都是通过Internet上的通用路由封装(GRE)隧道从Cloudflare发送到客户的。因为GRE端点是可公开路由的,所以这些端点可能会被发现和攻击,从而绕过Cloudflare的DDoS缓解和安全工具。

使用CNI消除了这种接触互联网的风险。将CNI与Magic Transition配合使用的优势包括:

减少威胁暴露。虽然公司可以采取许多措施来提高网络安全性,但一些对风险敏感的组织根本不愿将终端暴露给公共Internet。CNI允许Cloudflare吸收该风险,并通过真正的私有接口仅转发干净的流量(通过Magic Transfer)。

提高了可靠性。通过公共Internet传输的流量会受到您无法控制的因素的影响,包括中间网络上的延迟和数据包丢失。删除Cloudflare网络和您的网络之间的步骤意味着,在Magic Transition处理流量之后,它将直接可靠地转发到您的网络。

简化配置。很快,Magic Transportation+CNI客户将可以选择在入网时跳过更改MSS(最大分段大小),这是GRE-over-Internet所要求的步骤,对于需要考虑其下游客户的MSS的客户来说可能很有挑战性(例如。服务提供商)。

部署示例:企鹅公司使用Cloudflare for Team、Magic Transport和CNI来保护分支机构和核心网络以及员工。

想象一下,假设企鹅公司(Penguin Corp)拥有一个完全连接的专用MPLS网络。*维护他们的网络很困难,他们有一支专门的网络工程师团队来做这件事。他们目前花了一大笔钱来运行自己的私有云。为了最大限度地降低成本,他们将全球范围内的网络出口点限制在两个。这给他们的用户带来了一个重大的性能问题,他们的比特必须走很长的路才能完成基本任务,同时仍然要穿越企鹅的网络边界。

SAE(Secure Access Service Edge,安全接入服务边缘)模型对他们来说很有吸引力,因为从理论上讲,它们可以脱离传统的MPLS网络,转向云计算。*SASE部署在网络边缘提供防火墙、DDoS缓解和加密服务,并为任何云部署带来安全即服务,如下图所示:

CNI允许企鹅使用Cloudflare作为其真正的网络边缘,将其分支机构位置和数据中心与互联网完全隔离。企鹅可以适应类似SASE的模式,同时保持对公共互联网的接触为零。企鹅与Cloudflare建立了PNIS,从他们在圣何塞的分支机构到Cloudflare的圣何塞地点,以利用Cloudflare为团队提供的优势,以及从他们在奥斯汀的核心托管设施到Cloudflare的达拉斯地点,以使用Magic Transition来保护他们的核心网络。

与Magic Transition一样,Cloudflare for Teams也用Cloudflare的全球网络取代了传统的内部安全硬件。依赖VPN设备访问内部应用程序的客户可以通过Cloudflare访问进行安全连接。维护物理Web网关盒的组织可以将与互联网绑定的流量发送到Cloudflare网关进行过滤和日志记录。

CloudFlare for Teams服务在每个CloudFlare数据中心运行,使过滤和身份验证更接近您的用户和位置,从而避免影响性能。通过从您的办公室直接连接到Cloudflare,CNI进一步改进了这一点。通过简单的配置更改,所有分支流量都会到达Cloudflare的边缘,在那里可以应用Cloudflare for Teams策略。该链路提高了用户的速度和可靠性,并取代了将流量回程到集中式过滤设备的需要。

他们可以使用Cloudflare的全套安全服务,而不必配置昂贵的集中式物理或虚拟网络设备。

他们的安全和性能服务在200多个城市的Cloudflare全球网络中运行。这使安全功能更贴近用户,从而提高了用户的性能和可用性。

CNI为客户提供了很大的好处,因为它允许客户利用我们覆盖200多个城市的全球覆盖范围:他们的分支机构和数据中心基础设施可以随时随地连接到Cloudflare。

这一点很重要,原因有两个:我们的全球分布式网络使本地互联变得更容易,无论客户的分支机构和核心基础设施在哪里,并且允许全球分布的员工以低延迟和更高的性能与我们的边缘网络进行交互。

客户不必担心安全地扩展他们的网络覆盖范围:这是我们的工作。

要做到这一点,全球企业需要在全球多个点实现互联互通。CloudFlare网络互连按全球网络规模定价:CloudFlare不向企业客户收取任何调配CNI的费用。客户可能需要为访问互联平台或数据中心交叉连接付费。我们将与您和任何其他相关各方合作,使订购和供应过程尽可能顺利。

换言之,CNI的定价旨在适应复杂的企业网络拓扑和现代IT预算。

客户可以通过以下三种方式之一与Cloudflare互连:通过专用网络互连(PNI)、通过IX或通过我们的互连平台合作伙伴之一。我们与全球合作伙伴密切合作,以满足客户的需求。

内网互连可在我们列出的任何内网对等设施中使用。获得到Cloudflare的物理连接很简单:指定要连接的位置、端口速度和目标VLAN。从那里开始,我们会授权,你会下订单,剩下的让我们来做。如果客户希望获得比虚拟连接或IX上的连接更高的吞吐量,或者希望从互连中消除尽可能多的中介,则应选择PNI作为其连接选项。

想要使用现有互联网交易所的客户可以在我们参与的235+个互联网交易所中的任何一个与我们互联。要通过Internet Exchange与Cloudflare连接,请按照IX的说明进行连接,Cloudflare将启动我们这一端的连接。如果客户已经盯上了IX,或者他们想要在没有互联平台的地方互联,那么他们应该选择互联网交换机作为他们的连接选项。

CloudFlare很荣幸能与Equinix、Megaport、电讯盈科ConsoleConnect、PacketFabric和Zayo合作,为您提供在任何合作伙伴支持的位置与我们进行虚拟连接的便捷方式。如果客户已经在使用这些提供商,或者希望快速轻松地加入到安全的云体验中,则应选择使用互联平台进行连接。

如果您有兴趣了解更多信息,请参阅这篇关于您可以互联的所有不同方式的博客文章。对于上述所有互连方法,BGP会话建立和IP路由是相同的。唯一不同的是我们与其他网络互连的物理方式。

我们的CNI产品页面包括一些工具,可以更好地了解您的网络与我们的网络互连的正确位置。客户可以使用这些数据帮助找出互联的最佳位置,以便与其他云提供商和其他ISP实现最大程度的连接。

多年来,我们对任何网络都实行开放的对等政策,并将继续遵守这一政策:它允许我们通过将网络互联在一起,帮助为每个人建立更好的互联网,使互联网更可靠。传统网络使用互连/对等来为其客户和连接带来更好的性能,同时降低成本。有了CNI,我们将开放我们的基础设施,将同样的好处扩展到我们的客户。

与使用公共互联网相比,CNI为客户提供了更好的性能、可靠性、可扩展性和安全性。客户现在可以在我们的任何物理位置与CloudFlare互连,获得到CloudFlare的专用链路,从而通过每个互连点提供安全优势以及更稳定的延迟、抖动和可用带宽。

CNI产品新闻网