Dans un monde qui transfère de plus en plus les charges de travail vers le cloud, il n'est pas toujours facile de comprendre comment les données circulent sur Internet ni de savoir dans quel pays elles sont traitées. Nous nous réjouissons aujourd'hui d'annoncer à nos clients que nous leur confions les rênes. Grâce aux services régionaux, nos clients disposent en effet du contrôle total sur l'endroit exact où leur trafic est pris en charge.

Nous exploitons un réseau mondial couvrant plus de 200 villes. Chaque datacenter s'appuie sur des serveurs comportant exactement la même pile logicielle. Cette architecture permet à Cloudflare d'ajouter de la capacité en fonction des besoins locaux, rapidement et avec efficacité. Elle permet également à nos ingénieurs de déployer des fonctionnalités en toute simplicité : il suffit d'effectuer l'opération une seule fois pour qu'elles soient disponibles dans le monde entier.

Ce même avantage s'applique à nos clients : il leur suffit de configurer un système une seule fois pour que la modification se répercute partout dans le monde en quelques secondes, peu importe qu'il s'agisse d'une modification des fonctionnalités de sécurité, de l'ajout d'un enregistrement DNS ou du déploiement d'un système Cloudflare Workers contenant du code.

La possibilité de disposer d'un réseau homogène s'avère formidable du point de vue du routage : chaque fois qu'un utilisateur effectue une requête HTTP, le réseau Anycast de Cloudflare lui trouve le datacenter le plus proche. Le protocole BGP examine ensuite les sauts nécessaires pour rejoindre ce dernier. En suivant ce schéma, le trafic d'un utilisateur situé près de la frontière canadienne (disons, dans le Dakota du Nord) pourrait se voir dirigé vers Winnipeg (au Canada, donc) plutôt que vers un datacenter implanté aux États-Unis. Il s'agit généralement de ce que nos clients souhaitent et recherchent : trouver le moyen le plus rapide de diffuser du trafic, indépendamment de la situation géographique.

Cloudflare TV

Certaines entreprises, toutefois, ont exprimé une préférence envers la conservation du contrôle régional sur leurs données, et ce pour diverses raisons. Les accords conclus avec leurs propres clients peuvent, par exemple, les lier à certaines restrictions géographiques en matière de circulation ou de traitement des données. Certains clients ont donc demandé à garder le contrôle sur l'endroit où leur trafic est traité.

Les services régionaux permettent aux clients de s'adapter aux restrictions en vigueur dans une région, tout en continuant à utiliser le réseau mondial de Cloudflare. À la date d'aujourd'hui, les clients Enterprise peuvent ajouter ces services à leur contrat. Grâce aux services régionaux, les clients peuvent choisir le sous-ensemble de datacenters qui sera en mesure de traiter le trafic au niveau HTTP. Nous ne réduisons cependant pas la capacité réseau pour ce faire : ce serait contraire à l'approche Cloudflare. Nous permettons ainsi à nos clients d'utiliser l'intégralité de notre réseau à des fins de protection contre les attaques DDoS, mais nous limitons le nombre de datacenters qui appliquent des fonctionnalités d'amélioration de la sécurité et des performances de haut niveau en couche 7, comme le pare-feu WAF, Workers et la solution de gestion des bots.

Comme à l'habitude, le trafic est ingéré sur notre réseau Anycast mondial à l'endroit le plus proche du client, avant d'être transmis aux datacenters situés dans la région géographique choisie par le client. Les clés TLS ne sont stockées et utilisées que dans le cadre du traitement effectif du trafic au sein de cette région. Ce mode de fonctionnement permet à nos clients de bénéficier de l'utilisation de notre gigantesque réseau à faible latence et haut débit, capable de résister même aux plus grandes attaques DDoS, tout en leur accordant le contrôle local sur leurs données. Seuls les datacenters situés au sein de la région géographique de préférence du client disposeront de l'accès nécessaire pour appliquer des politiques de sécurité.

Le diagramme ci-dessous montre le fonctionnement de ce processus. Lorsque les utilisateurs se connectent à Cloudflare, ils le font via le datacenter le plus proche en vertu de la nature même de notre réseau Anycast. Ce datacenter détecte et atténue les attaques DDoS. Le trafic légitime est transmis à un datacenter situé au sein de la région géographique sélectionnée par le client. Le trafic est ensuite inspecté au niveau de la couche 7 du modèle OSI dans ce datacenter et les produits HTTP peuvent exercer leur magie :

  • Le contenu peut être renvoyé depuis le cache et stocké dans ce dernier.
  • Le pare-feu WAF examine les charges utiles HTTP.
  • La solution de gestion des bots détecte et bloque les activités suspectes.
  • Les scripts Workers s'exécutent.
  • Les politiques d'accès sont appliquées.
  • Les répartiteurs de charge cherchent la meilleure origine pour diffuser le trafic.

Le lancement d'aujourd'hui inclut des régions géographiques préconfigurées. Nous chercherons toutefois à en ajouter d'autres en fonction de la demande des clients. Les régions États-Unis et UE sont d'ores et déjà disponibles. Les produits de couche 7 (HTTP) peuvent être configurés pour ne s'appliquer qu'au sein de ces régions et pas en dehors.

Les régions États-Unis et UE sont matérialisées sur les cartes ci-dessous. Les points violets représentent les datacenters qui appliquent des mesures d'accélération réseau et de protection contre les attaques DDoS. Les points orange représentent les datacenters qui traitent le trafic.

États-Unis

UE

Nous sommes très enthousiastes à l'idée de proposer à nos clients de nouveaux outils qui leur permettront d'indiquer quels datacenters peuvent employer les fonctionnalités HTTP et lesquels ne le peuvent pas. Si vous souhaitez en savoir plus, n'hésitez pas à nous contacter à l'adresse suivante : [email protected]