對CIO們來說�����,聯(lián)網(wǎng)是一個(gè)常常變得難上加難的過程�����。企業(yè)網(wǎng)絡(luò)需要連接的東西太多了�����,而且每一個(gè)都需要以不同的方式進(jìn)行連接�����。
對CIO們來說�����,聯(lián)網(wǎng)是一個(gè)常常變得難上加難的過程�����。企業(yè)網(wǎng)絡(luò)需要連接的東西太多了�����,而且每一個(gè)都需要以不同的方式進(jìn)行連接:用戶設(shè)備需要通過安全Web網(wǎng)關(guān)進(jìn)行受管連接�����,辦公室需要使用公共互聯(lián)網(wǎng)或?qū)S眠B接進(jìn)行連接,數(shù)據(jù)中心需要使用自己的專用或公共連接進(jìn)行管理�����,除此以外�����,您還必須管理云連接�����!管理所有這些不同場景的連接性及其所有隱私和合規(guī)需求可能會(huì)令人沮喪�����,而您只不過希望以一種非侵入性的方式讓用戶私密�����、安全地訪問其資源�����。
Cloudflare通過Cloudflare One幫助簡化您的連接過程�����。今天�����,我們隆重推出通過Cloudflare Network Interconnect(CNI)對直接云互連的支持�����,讓Cloudflare成為您所有互連需求的一站式部署中心�����。
使用IBM Cloud�����、Google Cloud�����、Azure、Oracle Cloud Infrastructure和Amazon Web Services的客戶現(xiàn)在都可以從其私有云實(shí)例直接連接到Cloudflare�����。本文將介紹:為什么直接云互連如此重要�����,Cloudflare如何使其變得簡單�����,Cloudflare如何將直接云連接與我們現(xiàn)有的Cloudflare One產(chǎn)品集成�����,從而將您的企業(yè)網(wǎng)絡(luò)安全性提升到新的水平�����。
公共云中的隱私
公共云計(jì)算提供商的理念是�����,他們提供的計(jì)算能力可以被任何人使用:您的云VM和我的云VM可以在同一臺(tái)機(jī)器上相鄰運(yùn)行�����,而我們都不知情�����。對于進(jìn)出這些云的數(shù)據(jù)而言�����,情況同樣如此:您的數(shù)據(jù)和我的數(shù)據(jù)可能在同一線路上傳輸�����,彼此交錯(cuò)�����,我們誰也不知道正在發(fā)生這樣的情況�����。
這種忽略“所有權(quán)”的處理方式在某種程度上確實(shí)很“方便”�����,但同時(shí)也有可怕的一面:我們都不需要運(yùn)行物理機(jī)器,購買自己的連接�����,但我們不能確定我們的數(shù)據(jù)和計(jì)算過程如何或在哪里存在�����,唯一能確定的是它們與數(shù)百萬其他用戶一起存在于同一個(gè)數(shù)據(jù)中心�����。
對于許多企業(yè)來說�����,這是不可接受的:企業(yè)需要對自己的數(shù)據(jù)擁有唯一訪問權(quán)限�����。也許在公共云上運(yùn)行的是不能公開訪問用戶支付數(shù)據(jù)�����,必須要有專門的訪問權(quán)限設(shè)定�����;也許出于各地方政府合規(guī)性的要求�����,云中存儲(chǔ)的數(shù)據(jù)不能連接到公共網(wǎng)絡(luò)�����;也許用戶就是會(huì)不放心把數(shù)據(jù)存放在公共云或公共的網(wǎng)絡(luò)鏈接上-客戶需要一個(gè)只有自己才能訪問的私有云:虛擬私有云(VPC)�����。
為了幫助解決這個(gè)問題�����,并確保只有數(shù)據(jù)所有者才能訪問需要具備私密性保護(hù)的云計(jì)算�����,云提供商開發(fā)了專有云互連:從云到客戶端的直連線路�����。您可能知道這些產(chǎn)品的名稱:AWS的產(chǎn)品稱為DirectConnect,Azure的產(chǎn)品稱為ExpressRoute�����,GCP的產(chǎn)品稱為Cloud Interconnect�����,OCI的產(chǎn)品稱為FastConnect�����,IBM的產(chǎn)品稱為DirectLink�����。通過提供到客戶數(shù)據(jù)中心的專用云連接�����,云解決了客戶的主要痛點(diǎn):以專用方式提供計(jì)算�����。通過這些專用鏈路�����,VPC只能從接入的企業(yè)網(wǎng)絡(luò)訪問�����,提供了物理隔離的安全性�����,同時(shí)允許客戶將數(shù)據(jù)中心的運(yùn)營和維護(hù)移交給云�����。
公共互聯(lián)網(wǎng)上的隱私
但是�����,雖然VPC和直接云互連已經(jīng)解決了基礎(chǔ)設(shè)施遷移到云的問題�����,但隨著企業(yè)網(wǎng)絡(luò)脫離本地部署�����,云帶來了一個(gè)全新的挑戰(zhàn):如果要脫離連接所有資源的企業(yè)網(wǎng)絡(luò),我該如何繼續(xù)擁有安全的專用云連接�����?
讓我們通過一家連接數(shù)據(jù)中心�����、辦公室和Azure實(shí)例的示例公司說明�����。今天�����,這家公司可能有遠(yuǎn)程用戶連接到駐留在數(shù)據(jù)中心�����、辦公室或云實(shí)例中的應(yīng)用程序�����。辦公室的用戶可以連接到云中的應(yīng)用程序�����,現(xiàn)在所有這些都由公司管理。為此�����,他們可能會(huì)使用VPN�����,在訪問必要的應(yīng)用程序之前將遠(yuǎn)程用戶通過隧道連接到數(shù)據(jù)中心或辦公室�����。辦公室和數(shù)據(jù)中心往往通過從連接供應(yīng)商租用的MPLS線路連接�����。然后還有通過IBM DirectLink連接的私有IBM實(shí)例?����,F(xiàn)在CIO已經(jīng)需要管理三個(gè)不同的連接服務(wù)提供商�����,我們甚至還沒有開始討論內(nèi)部應(yīng)用程序的安全訪問策略�����,連接不同辦公地點(diǎn)網(wǎng)絡(luò)的防火墻�����,以及在提供商基礎(chǔ)上實(shí)施MPLS路由�����。
Cloudflare One幫助簡化這一過程�����,允許企業(yè)將Cloudflare作為適用于所有不同連接選項(xiàng)的網(wǎng)絡(luò)�����。您需要做的就是管理到Cloudflare的連接�����,無需費(fèi)神處理跨地理位置和云之間的連接。
WARP為遠(yuǎn)程用戶管理連接�����,Cloudflare Network Interconnect提供從數(shù)據(jù)中心和辦公室到Cloudflare的專用連接�����,所有這些都可以通過監(jiān)管應(yīng)用程序的Access策略和Magic WAN來管理以提供路由�����,讓您的用戶到達(dá)他們需要去的地方�����。通過Cloudflare One�����,我們成功將連接過程簡化成如下的樣子:
在此之前�����,對于擁有私有云的用戶�����,要么將云實(shí)例暴露到公共互聯(lián)網(wǎng)上�����,要么通過將私有云實(shí)例連接到他們的數(shù)據(jù)中心而不是直接連接到Cloudflare來維持非最優(yōu)路由�����。這意味著�����,那些客戶必須維護(hù)直接到數(shù)據(jù)中心的專用連接�����,這為本應(yīng)更簡單的解決方案增加了艱辛:
現(xiàn)在CNI已經(jīng)支持云環(huán)境�����,該公司可打開一個(gè)直接到Cloudflare的專用云鏈路�����,而非接入其數(shù)據(jù)中心。這允許該公司使用Cloudflare作為其所有資源之間的真正中介�����,他們可以依靠Cloudflare管理所有資源的防火墻�����、訪問策略和路由�����,將需要管理的路由供應(yīng)商數(shù)目減少到一個(gè):Cloudflare�����!
在一切都直連到Cloudflare后�����,這家公司就可以通過Magic WAN管理他們的跨資源路由和防火墻�����,直接在Access中設(shè)置用戶策略�����,通過Gateway設(shè)置經(jīng)Cloudflare覆蓋的285個(gè)數(shù)據(jù)中心中的任何一個(gè)到公共互聯(lián)網(wǎng)的出口策略�����。所有辦公室和云都在一個(gè)密不透風(fēng)的網(wǎng)絡(luò)上相互通信�����,沒有公共訪問或公共共享的對等連接鏈路�����,最重要的是�����,所有這些安全和隱私努力對用戶是完全透明的�����。
讓我們來談?wù)勅绾巫屇脑婆c我們進(jìn)行連接�����。
快速云連接
云連接最重要的一點(diǎn)是它應(yīng)有的簡單程度:您不應(yīng)該花費(fèi)大量時(shí)間等待交叉連接出現(xiàn)、獲取LOA�����、監(jiān)視光級(jí)別以及在配置連接時(shí)通常會(huì)做的所有事情�����。從云提供商獲得連接應(yīng)該是云原生的:您應(yīng)該能夠直接從現(xiàn)有門戶配置云連接�����,并遵循現(xiàn)有的直接云連接步驟�����。
這就是為什么我們的全新云支持使連接到Cloudflare更加容易�����。我們現(xiàn)在支持與IBM�����、AWS�����、Azure�����、Google Cloud和OCI的直接云連接�����,這樣您就可以像連接數(shù)據(jù)中心一樣�����,從您的云提供商直接連接到Cloudflare�����。將專用連接轉(zhuǎn)移到Cloudflare意味著你不必再維護(hù)自己的基礎(chǔ)設(shè)施�����,Cloudflare成為你的基礎(chǔ)設(shè)施�����,這樣您不必考慮為設(shè)備訂購交叉連接,獲得LOA�����,或檢查光級(jí)別�����。讓我們通過一個(gè)使用Google Cloud的示例來演示這有多容易�����。
在任何云中配置連接的第一步是請求連接�����。對于Google Cloud�����,在VPC網(wǎng)絡(luò)詳情中選擇“專用服務(wù)連接”即可:
這將允許您選擇一個(gè)合作伙伴連接或直接連接�����。對于使用Cloudflare的情況�����,您應(yīng)該選擇一個(gè)合作伙伴連接�����。按照說明選擇連接區(qū)域和數(shù)據(jù)中心地點(diǎn)后�����,您會(huì)得到一個(gè)“連接ID”�����,Google Cloud和Cloudflare使用它來識(shí)別與您的VPC之間的專用連接:
在這個(gè)截圖中�����,您會(huì)注意到它提示您需要在合作伙伴端配置連接�����。在這種情況下�����,您可以使用這個(gè)key在一個(gè)現(xiàn)有鏈路上自動(dòng)配置一個(gè)虛擬連接。配置過程包括五個(gè)步驟:
1�����、為您的連接分配唯一的VLAN�����,以確保專用連接
2�����、為BGP點(diǎn)對點(diǎn)連接分配唯一的IP地址
3�����、在Cloudflare端配置BGP連接
4�����、將此信息傳回Google Cloud并創(chuàng)建連接
5�����、在VPC上接受連接并完成BGP配置
所有這些步驟是在幾秒內(nèi)自動(dòng)執(zhí)行的,因此在您獲得IP地址和VLAN時(shí)�����,Cloudflare已經(jīng)配置好我們這一端的連接�����。當(dāng)您接受和配置連接時(shí)�����,一切將已準(zhǔn)備就緒�����,可輕松開始通過Cloudflare私密地路由您的流量�����。
現(xiàn)在�����,您已經(jīng)完成了連接的設(shè)置�����。讓我們來談?wù)劦皆茖?shí)例的專用連接如何與您的所有Cloudflare One產(chǎn)品集成�����。
通過Magic WAN實(shí)現(xiàn)私有路由
Magic WAN與Cloud CNI高度集成�����,允許客戶將他們的VPC直接連接到用Magic WAN構(gòu)建的專用網(wǎng)絡(luò)�����。由于路由是私有的�����,您甚至可以發(fā)布為內(nèi)部路由保留的私有地址空間�����,例如10.0.0.0/8空間�����。
以前,您的云VPC需要是可公共尋址的�����。但是�����,通過Cloud CNI�����,我們分配一個(gè)點(diǎn)對點(diǎn)的IP范圍�����,您可向Cloudflare宣告您的內(nèi)部空間�����,Magic WAN將流量路由到您的內(nèi)部地址空間�����。
通過Access保護(hù)身份驗(yàn)證
許多客戶喜歡Cloudflare Tunnel和Access的結(jié)合,因?yàn)檫@提供了到云提供商托管身份認(rèn)證服務(wù)器的安全路徑�����。但是�����,如果您的身份驗(yàn)證服務(wù)器根本不需要公開可訪問呢?使用Access+Cloud CNI�����,您可以將自己的認(rèn)證服務(wù)連接到Cloudflare�����,然后Access將通過專用路徑將您的所有認(rèn)證流量路由回您的服務(wù)�����,不需要通過公共互聯(lián)網(wǎng)�����。
通過Gateway管理您的云出站流量
雖然您可能要保護(hù)您的云服務(wù)�����,不被任何不在您的網(wǎng)絡(luò)上的人訪問,但有時(shí)您的云服務(wù)仍需要與公共互聯(lián)網(wǎng)通信�����。幸運(yùn)的是�����,Gateway可以助您一臂之力�����。通過Cloud CNI�����,您可以獲得到Cloudflare的專用路徑�����,Cloudflare將管理您的所有出口策略�����,確保您可以在監(jiān)測其他所有離開網(wǎng)絡(luò)的流量的同一地方仔細(xì)觀察您的云服務(wù)出站流量�����。
Cloud CNI:安全�����、高性能�����、簡易
Cloudflare致力于讓Zero Trust和網(wǎng)絡(luò)安全變得簡易和低調(diào)�����。Cloud CNI是確保您實(shí)現(xiàn)便捷網(wǎng)絡(luò)部署的一個(gè)重要步驟�����,讓您無需費(fèi)心思考如何構(gòu)建您的網(wǎng)絡(luò)�����,讓您可以有更多精力去關(guān)注網(wǎng)絡(luò)上的流量狀況�����。
閩公網(wǎng)安備 35010202001226號(hào)
