Mit zunehmender Verlagerung von Workloads in die Cloud ist oft unklar, auf welche Weise Daten im Internet übertragen und in welchen Ländern sie verarbeitet werden. Umso mehr freuen wir uns, dass wir unseren Kunden nun ein Mitspracherecht einräumen können. Mit Regional Services geben wir Kunden die volle Kontrolle darüber, wo genau ihr Traffic verarbeitet wird.

Unser Netzwerk umfasst mehr als 200 Städte weltweit. In allen Rechenzentren laufen Server mit dem identischen Software-Stack. Dadurch können wir schnell und effizient unsere Kapazitäten dort erweitern, wo es nötig ist. Außerdem haben unsere Ingenieure so die Möglichkeit, Funktionen mühelos zu implementieren. Sind diese einmal installiert, stehen sie weltweit zur Verfügung.

Von diesem Vorteil profitieren auch unsere Kunden: Nach einer einmaligen Konfiguration wird die entsprechende Änderung überall binnen Sekunden umgesetzt – unabhängig davon, ob Sicherheitsfunktionen angepasst, DNS-Einträge hinzugefügt oder Quellcode enthaltende Cloudflare Workers bereitgestellt werden sollen.

Unter Routing-Gesichtspunkten ist ein homogenes Netzwerk eine feine Sache: Jedes Mal, wenn ein Nutzer eine HTTP-Anfrage stellt, wird dank des Anycast-Netzwerks von Cloudflare das Rechenzentrum ermittelt, das sich in geringster Entfernung befindet. BGP nimmt die Hops unter die Lupe, die von den Daten auf dem Weg zum nächstgelegenen Rechenzentrum passiert werden. Somit kann es durchaus vorkommen, dass der Traffic eines Nutzers, der sich in der Nähe der kanadischen Grenze (beispielsweise im US-Bundesstaat North Dakota) befindet, nicht an ein Rechenzentrum in den Vereinigten Staaten, sondern nach Winnipeg in Kanada weitergeleitet wird. In der Regel erwarten unsere Kunden einfach, dass wir ihren Traffic schnellstmöglich an sein Ziel bringen. Welche Regionen er dabei passiert, ist vielen gleichgültig.

Cloudflare TV

Manche Unternehmen wünschen sich jedoch ausdrücklich, die regionenbezogene Kontrolle über ihre Daten zu behalten. Die Gründe dafür sind vielfältig. So sind sie möglicherweise an Verträge gebunden, die sie mit ihren eigenen Kunden abgeschlossen haben und die ihnen geographische Beschränkungen hinsichtlich der Datenübertragung und -verarbeitung auferlegen. Daher wollen manche Kunden selbst darüber bestimmen können, wo ihr Webtraffic verarbeitet wird.

Regional Services gibt Kunden die Möglichkeit, das globale Edge-Netzwerk von Cloudflare zu nutzen, dabei jedoch regionale Beschränkungen zu berücksichtigen. Ab sofort können Enterprise-Kunden Regional Services in ihre Verträge aufnehmen. Mit Regional Services können sie entscheiden, welche Untergruppen von Rechenzentren Traffic auf HTTP-Ebene verarbeiten können. Unsere Netzwerkkapazitäten beschneiden wir deshalb aber nicht, denn das widerspräche unserer Firmenphilosophie. Wir ermöglichen es den Kunden, unser gesamtes Netzwerk für den DDoS-Schutz zu nutzen, begrenzen aber die Zahl der Rechenzentren, die Sicherheitsmaßnahmen auf der höheren Layer-7-Ebene und Performance-Funktionen wie WAF, Workers und Bot-Management einsetzen.

Der Traffic tritt wie gewohnt an dem Standort, der dem Kunden geografisch am nächsten ist, in unser globales Anycast-Netzwerk ein. Anschließend wird er an Rechenzentren innerhalb der von dem Kunden ausgewählten geografischen Region weitergeleitet. TLS-Schlüssel werden ausschließlich für die Handhabung des Datenverkehrs in der betreffenden Region gespeichert und eingesetzt. Der Kunde kann auf diese Weise von unserem weitreichenden, latenzarmen und leistungsfähigen Netzwerk profitieren, das selbst den größten DDoS-Angriffen standhält. Zugleich behält er lokal die Kontrolle, denn nur Rechenzentren innerhalb der bevorzugten Region eines Kunden verfügen über die erforderlichen Rechte für die Anwendung von Sicherheitsrichtlinien.

In dem folgenden Diagramm sind diese Abläufe dargestellt. Wenn sich Nutzer mit Cloudflare verbinden, geschieht das über das ihnen nächstgelegene Rechenzentrum unseres Anycast-Netzwerks. Dieses Rechenzentrum erkennt DDoS-Angriffe und wehrt sie ab. Legitimer Traffic wird an ein Rechenzentrum weitergeleitet, das sich an einem Standort in der von dem Kunden ausgewählten Region befindet. Innerhalb dieses Rechenzentrums wird der Datenverkehr auf Schicht 7 geprüft. Dann kommen HTTP-Produkte ins Spiel:

  • Inhalte können aus dem Cache zurückübermittelt und dort gespeichert werden
  • Die WAF prüft HTTP-Payloads auf Herz und Nieren
  • Verdächtige Aktivitäten werden vom Bot-Management erkannt und blockiert
  • Workers-Skripte werden ausgeführt
  • Zugangsrichtlinien werden angewandt
  • Load Balancer suchen nach dem Ursprungsserver, der für die Handhabung des Traffics am besten geeignet ist

Der heutige Launch beinhaltet vorkonfigurierte geographische Regionen; wir wollen dieses Angebot je nach Kundenbedarf künftig erweitern. Aktuell sind die USA und EU als Regionen direkt verfügbar. Das bedeutet, dass Layer-7 (HTTP)-Produkte so konfiguriert werden können, dass sie nur innerhalb dieser Regionen ausgeführt werden.

Unten sind die Karten der USA und der EU abgebildet. Die violetten Punkte stehen für Rechenzentren, die DDoS-Schutz und Netzwerkbeschleunigung einsetzen. Die orangenen stellen Rechenzentren dar, die Datenverkehr verarbeiten.

USA

EU

Es ist uns ein besonderes Anliegen, unseren Kunden neue Tools bereitzustellen, mit denen sie bestimmen können, welche unserer Rechenzentren HTTP-Funktionen einsetzen sollen. Wenn Sie gern mehr erfahren würden, schreiben Sie bitte an [email protected]