喜訊！Cloudflare中國網(wǎng)絡(luò)升級(jí)，性能與安全再上新臺(tái)階！

Cloudflare 的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)，我們的核心使命是讓我們的客戶能夠輕松地提高其數(shù)字資產(chǎn)的性能、安全性和可靠性，無論他們身在何處。這包括中國大陸。自 2015 年以來，Cloudflare 在中國就有客戶使用我們的服務(wù)，最近，我們通過與中國互聯(lián)網(wǎng)巨頭京東的云部門京東云合作，擴(kuò)大了我們?cè)谥袊臉I(yè)務(wù)。幾年來，我們還在北京設(shè)立了當(dāng)?shù)剞k事處，這讓我們對(duì)中國互聯(lián)網(wǎng)格局以及當(dāng)?shù)乜蛻粲辛松钊氲牧私狻?/span>

與京東云合作建立的新 Cloudflare 中國網(wǎng)絡(luò)已上線數(shù)月，與之前的國內(nèi)網(wǎng)絡(luò)相比，性能和安全性有了顯著提升。現(xiàn)在，我們很高興地介紹我們對(duì) DNS 和 DDoS 系統(tǒng)所做的改進(jìn)，并提供數(shù)據(jù)來證明客戶所看到的性能提升。所有獲準(zhǔn)在中國運(yùn)營的客戶現(xiàn)在都可以從這些創(chuàng)新中受益，只需單擊 Cloudflare Dashboard 中的按鈕或通過 API。

在中國境內(nèi)服務(wù) DNS

我們是最大的 DNS 提供商，互聯(lián)網(wǎng)上超過 14% 的域使用 Cloudflare 的名稱服務(wù)器。此外，我們一直以成為最快的權(quán)威名稱服務(wù)器而自豪，平均每秒回答約 1200 萬次 DNS 查詢（2021 年第二季度）。我們通過在 100 多個(gè)國家/地區(qū)的 200 多個(gè)城市的全局網(wǎng)絡(luò)上運(yùn)行我們的 DNS 平臺(tái)來實(shí)現(xiàn)這種規(guī)模和性能。

借助基于京東云基礎(chǔ)結(jié)構(gòu)的全新中國網(wǎng)絡(luò)產(chǎn)品，客戶現(xiàn)在可以在中國大陸為其 DNS 提供服務(wù)。這意味著 DNS 查詢由京東云入網(wǎng)點(diǎn) (PoPs) 之一直接回答，從而加快響應(yīng)時(shí)間并提高可靠性。

一旦用戶注冊(cè)了一個(gè)域并選擇在中國為其 DNS 提供服務(wù)，我們將從以下三個(gè)域中的兩個(gè)域中分配兩個(gè)名稱服務(wù)器：

cf-ns.com
cf-ns.net
cf-ns.tech

我們選擇這些頂級(jí)域名 (TLD) 是因?yàn)樗鼈冊(cè)谥袊箨懱峁┝俗罴研阅?。它們被選擇為始終與使用它們的域的 TLD 不同。例如，example.com 將使用 .tech 和 .net TLD 分配名稱服務(wù)器。這為我們提供了客戶名稱服務(wù)器的“無膠委托”，允許我們動(dòng)態(tài)返回名稱服務(wù)器 IP 地址而不是靜態(tài)粘合記錄。

“粘合記錄”（或簡稱 “粘合”）是名稱服務(wù)器和 IP 之間的映射，由 Registrar 添加，用于在域使用具有相同 TLD 的域名服務(wù)器時(shí)打破循環(huán)查找依賴性。

通過使用不同的 TLD，我們不需要依賴客戶名稱服務(wù)器的粘合記錄。通過這種方式，我們可以確保始終從最近的入網(wǎng)點(diǎn) (PoP) 回答查詢，從而實(shí)現(xiàn)更快的 DNS 響應(yīng)。提供動(dòng)態(tài)名稱服務(wù)器 IP 的另一個(gè)優(yōu)勢是能夠在不同的 PoP 之間分發(fā)查詢，這有助于更有效地分散負(fù)載并緩解攻擊。

減輕中國境內(nèi)的 DDoS 攻擊

在除中國和印度之外的世界任何地方，我們都使用一種稱為 Anycast 路由的技術(shù)來分發(fā) DDoS 攻擊，并將其吸收到盡可能靠近流量源的數(shù)據(jù)中心。但正如我們在 2015 年首次寫道，中國互聯(lián)網(wǎng)的運(yùn)作方式與世界其他地區(qū)略有不同，因此基于 Anycast 的緩解措施不是一種選擇：

與網(wǎng)絡(luò)路由開放的世界其他大部分地區(qū)不同，中國的核心互聯(lián)網(wǎng) Access 主要由兩個(gè) ISP 控制：中國電信和中國聯(lián)通。[今天這份名單還包括中國移動(dòng)。] 這些 ISP 控制著國內(nèi)的 IP 地址分配和路由。即使是中國互聯(lián)網(wǎng)巨頭也很少擁有自己的 IP 地址分配，或者使用 BGP 來控制中國互聯(lián)網(wǎng)上的路由。這使得 BGP Anycast 和我們?cè)?Cloudflare 網(wǎng)絡(luò)中使用的許多其他路由技術(shù)在中國境內(nèi)無法實(shí)現(xiàn)。

中國缺乏 Anycast 需要采用不同的方法來緩解攻擊，我們與京東云的擴(kuò)展促使我們進(jìn)一步改進(jìn)我們今年早些時(shí)候撰寫的基于邊緣的緩解系統(tǒng)。最重要的是，我們將應(yīng)用程序 (L7) 攻擊的檢測和緩解推到了邊緣，通過消除對(duì)其他核心數(shù)據(jù)中心指令的依賴，減少了緩解和提高系統(tǒng)彈性的時(shí)間。在 2021 年第一季度，我們緩解了 81% 的邊緣 L7 攻擊。

對(duì)于更大的基于網(wǎng)絡(luò) (L3/L4) 的攻擊，我們與京東云密切合作，通過向中國電信、中國聯(lián)通和中國移動(dòng)發(fā)送遠(yuǎn)程信號(hào)來增強(qiáng)我們的數(shù)據(jù)中心內(nèi)保護(hù)。當(dāng)我們需要來自 ISP 的上游過濾幫助時(shí)，這些集成允許我們能夠遠(yuǎn)程—和自動(dòng)地—從我們的基于邊緣的緩解系統(tǒng)發(fā)出信號(hào)。在邊緣緩解攻擊比依賴集中式數(shù)據(jù)中心更快，在 2021 年第一季度，98.6% 的 L3/4 DDoS 攻擊在沒有集中式通信的情況下得到緩解。超過特定 Thresholds 的攻擊也可以重新路由到大型清理中心，這種技術(shù)在 Anycast 世界中沒有意義，但在 unicast 是唯一選擇時(shí)很有用。

除了改進(jìn)的緩解控制之外，我們還開發(fā)了新的流量工程流程，將流量從過載的數(shù)據(jù)中心轉(zhuǎn)移到具有更多備用資源的位置。這些控制措施已經(jīng)在中國境外使用，但在中國境內(nèi)使用需要與我們的 DNS 系統(tǒng)集成。

最后，由于我們所有的數(shù)據(jù)中心都運(yùn)行相同的軟件堆棧，我們?yōu)楦倪M(jìn)中國境內(nèi) DDoS 檢測和緩解系統(tǒng)的底層組件所做的工作已經(jīng)回到了我們?cè)谥袊惩獾臄?shù)據(jù)中心。

提高性能

京東云上的 Cloudflare 比我們之前的國內(nèi)網(wǎng)絡(luò)快得多，這允許我們能夠加快客戶在中國的 Web 屬性的交付。

為了比較京東云上的 Cloudflare PoPs 與我們之前的國內(nèi)網(wǎng)絡(luò)，我們部署了一個(gè)測試區(qū)來模擬兩個(gè)中國網(wǎng)絡(luò)上的客戶網(wǎng)站。我們使用相同的兩個(gè) Origin 網(wǎng)絡(luò)測試了每個(gè)網(wǎng)站。這兩個(gè) Origin 都是常用的公共云提供商。一個(gè)站點(diǎn)位于美國西北部地區(qū)，另一個(gè)位于西歐。

對(duì)于這兩個(gè)區(qū)域，我們?cè)谥袊峙淞?DNS 名稱服務(wù)器，以減少 DNS 查找期間產(chǎn)生的國外延遲（更多詳細(xì)信息見下文 DNS）。為了測試我們的 Caching，我們使用監(jiān)控和基準(zhǔn)測試服務(wù)，在 36 小時(shí)的過程中，每 15 分鐘下載 100 KB、1 兆字節(jié)和 10 兆字節(jié)的文件，其中包含中國各個(gè)城市和省份的各種客戶端。

通過從客戶端到我們的京東云 PoPs 的往返時(shí)間 (RTT) 衡量，延遲在所有文件大小的測試中至少減少了 30%。這隨后減少了我們的首字節(jié)時(shí)間 (TTFB) 指標(biāo)。減少延遲—并使其更加一致，即改善抖動(dòng)—對(duì)其他性能指標(biāo)的影響最大，因?yàn)檠舆t和慢啟動(dòng)過程是絕大多數(shù) TCP 連接的瓶頸。

我們減少延遲的原因在于京東云網(wǎng)絡(luò)的質(zhì)量、他們?cè)谥袊硟?nèi)的 PoPs 位置以及我們將客戶引導(dǎo)至最近的 PoP 的能力。隨著我們未來繼續(xù)與京東云合作增加更多容量和 PoPs，我們只希望我們的延遲指標(biāo)會(huì)變得更好。

動(dòng)態(tài)內(nèi)容

靜態(tài)內(nèi)容

DNS 響應(yīng)時(shí)間

期待并歡迎中國的新客戶

Cloudflare 與京東云合作，在中國持續(xù)進(jìn)行產(chǎn)品投資，與 2015 年首次推出的國內(nèi)網(wǎng)絡(luò)相比，性能和安全性有了顯著提升。

具體而言，DNS 和 DDoS 緩解技術(shù)的創(chuàng)新，以及改進(jìn)的網(wǎng)絡(luò)設(shè)計(jì)和 PoPs 分布，為我們的客戶帶來了更好的安全性，并將性能提升了至少 30%。

這個(gè)新網(wǎng)絡(luò)已開始營業(yè)，感興趣的客戶應(yīng)該聯(lián)系以了解更多信息。