订阅以接收新文章的通知:

利用专用 IP 和 Cloudflare Tunnel 提升负载平衡:实现高效流量分配的安全途径

2023-09-08

11 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutsch日本語한국어繁體中文版本。

在不断变化的现代应用世界中,高效的负载平衡在提供卓越的用户体验方面发挥着举足轻重的作用。客户通常会利用负载平衡,使他们能够以尽可能最好的方式高效地使用现有的基础设施资源。不过,负载平衡并不是适合每个人的“通用型开箱即用”的解决方案。随着您更深入了解流量调整需求的细节,以及您的体系结构变得更加复杂,通常需要不同类型的负载平衡来实现诸如以下的不同的目标:引导数据中心之间的公共流量、为使用专用 IP 的关键内部服务创建高可用性、在单个数据中心的不同服务器之间应用引导等等。我们非常高兴地宣布,我们的负载平衡解决方案又添新成员,它就是与 Zero Trust 深度集成的本地流量管理 (LTM)!

Elevate load balancing with Private IPs and Cloudflare Tunnels: a secure path to efficient traffic distribution

企业遇到的一个常见问题是,几乎没有一家供应商能满足所有这些要求,这导致管理不同数据源的供应商数量不断增加,以便清楚地了解流量管道的情况,同时还需要投资购买极其昂贵的硬件,并且这些硬件的设置和维护都非常复杂。倘若事情没有在理想的道路上运行,如果没有一个单一的真相来源来缩短“解决问题的时间”,也没有一个合作伙伴可及时施以援手,这可能就是主动型健康发展的企业与被动型不断灭火的企业的区别。后者可能导致开发令人惊叹的功能/服务的速度极度放缓、收入减少、品牌信任度受损、采用率下降等,诸如此类的问题不胜枚举!

八年来,我们为全球数千名客户提供了顶级的全球流量负载平衡 (GTM) 功能。但是,为什么我们保证的引导智能、故障转移和可靠性要止步于所选数据中心的前门,只在公共流量下运行呢?我们得出的结论是我们应该更进一步。今天是一系列新功能的开始,这些新功能允许在选择数据中心后在服务器之间进行流量引导、故障转移、会话持续存在、SSL/TLS 卸载等!现在,不是只依赖相对权重来确定应将流量发送到哪个服务器,您可以将相同的智能引导策略(例如最少未完成请求转向哈希引导)应用到您的众多数据中心中的任何一个。这也意味着您拥有一个负责所有负载平衡计划的合作伙伴,以及一个为企业决策提供信息的单一管理平台!Cloudflare 很高兴推出负载平衡专用 IP 支持与 Cloudflare Tunnel 和本地流量管理的强大组合,为客户提供融合了无与伦比的效率、安全性、灵活性和隐私性的解决方案。

什么是负载平衡器?

Cloudflare 负载平衡器会将用户的请求引导至数据中心内相应的源池

负载平衡——此功能在过去 30 年中一直存在,可帮助企业充分利用现有的基础设施资源。负载平衡的工作原理是主动引导流量避开不健康的源服务器,并且对于更先进的解决方案,会根据不同的引导算法智能分配流量负载。这一过程可确保不会向最终用户提供错误信息,并使企业能够将企业的总体目标与其流量行为紧密结合起来。Cloudflare Load Balancing 使您能够更简单、更轻松地跨越位于世界各地的多个数据中心安全可靠地管理流量。有了 Cloudflare Load Balancing,无论流量规模有多大,也无论流量从哪里来,都能通过可定制的引导、亲和性和故障转移功能可靠地引导流量。这显然比物理负载平衡器更有优势,因为它可以轻松配置,而且不必等到流量到达数据中心的某个位置后再路由到另一个位置,从而避免了单点故障和显著的延迟。与其他全球流量管理负载平衡器相比,Cloudflare Load Balancing 产品更易于设置,更易于理解,并且与 Cloudflare 平台完全集成为单个产品,可满足所有负载平衡需求。

Cloudflare Tunnel 是什么?

各种类型的源和服务器都可以使用 Cloudflare Tunnel 连接到 Cloudflare。用户还可以使用 WARP 确保流量安全,从而允许通过 Cloudflare 确保流量安全并进行端到端管理。

在 2018 年,Cloudflare 推出了 Cloudflare Tunnel,它是您的数据中心与 Cloudflare 之间的专用安全连接。传统上,从部署互联网资产的那一刻起,开发人员就会花费大量时间和精力,通过访问控制列表、轮换 IP 地址或更复杂的解决方案(如 GRE 隧道)来锁定它。我们创建了 Tunnel 来帮助减轻这一负担。有了 Tunnel,用户可以创建从他们的源服务器到 Cloudflare 的专用直接链接,因此您的服务不会直接向给公共互联网公开,也不允许在您的数据中心的防火墙中使用传入连接。取而代之,这种专用连接是通过在您的数据中心中运行一个轻量级守护进程 cloudflared 来建立的,它会创建一个只对外的安全连接。这意味着只有您已配置为可以通过 Cloudflare 的流量才能到达您的私有源。

通过 Cloudflare Tunnel 释放 Cloudflare Load Balancing 的潜力

Cloudflare Load Balancing 可以使用 Cloudflare Tunnel 轻松、安全地将用户请求引导至您的私有数据中心或公共云中的特定源

将 Cloudflare Tunnel 与 Cloudflare Load Balancing 结合使用,可以从数据中心撤销物理负载平衡器,让 Cloudflare 负载平衡器直接通过专用 IP 地址连接到服务器,并提供运行状况检查、引导和当前可用的所有其他负载平衡功能。您无需配置本地负载平衡器来公开每项服务,然后再更新 Cloudflare 负载平衡器,而是可以在一个位置配置所有服务。这意味着,从最终用户到处理请求的服务器,您的所有配置都可以在一个位置(即 Cloudflare 仪表板)中完成。此外,您还可以不用选择价格高达数十万美元的硬件设备,不用支付高得离谱的管理费用,也不用投资购买交付价值有时限的解决方案了。

Load Balancing 是在线服务的支柱,可确保在服务器或数据中心之间无缝分配流量。传统的负载平衡技术通常需要使用数据中心的公共 IP 地址公开服务,迫使企业创建复杂的配置,因此容易造成安全风险和潜在的数据泄露。通过结合运用针对 Load Balancing 的专用 IP 支持的强大功能和 Cloudflare Tunnel,Cloudflare 正在彻底改变企业保护和优化其应用程序的方式。通过安装 Cloudflared 代理的明确步骤,以通过 Cloudflare Tunnel 将您的专用网络连接到 Cloudflare 的网络,直接将流量安全地路由到您的数据中心变得前所未有的简单!

在私有数据中心中向公众公开服务很复杂

Web 访问者的请求会被全局流量管理 (GTM) 负载均衡器引导至数据中心,然后是防火墙,接着是局部流量管理 (LTM) 负载均衡器,最后是源点

私有数据中心中的负载平衡可能成本高昂且难以管理。既要保证安全第一,又要确保方便内部员工使用和灵活性,很难做到两全其美。这不但是如何安全地公开内部服务的问题,而且是如何在您的专用网络中单一位置处的服务器之间最好地平衡流量的问题!

在私有数据中心中,即使是非常简单的网站,在联网和配置方面也可能相当复杂。我们来举一个简单例子:客户设备连接到网站。客户设备执行企业网站的 DNS 查找,并接收与客户数据中心对应的 IP 地址。然后,客户向该 IP 地址发出 HTTPS 请求,并通过服务器名称指示 (SNI) 传递原始主机名。负载平衡器会将该请求转发给相应的源服务器,并将响应返回给客户设备。

这个示例没有任何先进的功能,而且堆栈已经很难配置:

  • 使用专用 IP 公开服务或服务器。

  • 配置数据中心的网络,使用公共 IP 或 IP 范围公开 LB。

  • 配置负载平衡器,将对该主机名和/或公共 IP 的请求转发到服务器的专用 IP。

  • 为您的域名配置 DNS 记录,使其指向负载平衡器的公共 IP。

在大型企业中,每项配置变更都可能需要多个利益相关者的批准,并通过不同的存储库、网站和/或专用 Web 接口进行修改。负载平衡器和网络配置通常以 Terraform、Chef、Puppet、Ansible 或类似基础设施即代码服务的复杂配置文件的形式进行维护。可能会对这些配置文件进行语法检查或测试,但很少在部署前进行彻底测试。每个部署环境通常都十分独特,考虑到进行彻底测试所需的时间和硬件要求,往往不可行。这意味着对这些文件的更改可能会对数据中心内的其他服务产生负面影响。此外,开放进入您的数据中心的入口会扩大各式各样的安全风险(如 DDoS 攻击 或灾难性数据泄露)的攻击面。更糟糕的是,每个供应商都有不同的接口或 API 用于配置他们的设备或服务。例如,一些注册服务机构只有 XML API,而另一些则有 JSON REST API。每种设备配置可能都有不同的 Terraform 提供商或 Ansible 手册。这就导致经过长期积累,配置越来越复杂,难以整合或标准化,从而不可避免地造成技术负累。

现在,我们来添加更多源。对于我们服务的每一个附加源,我们都必须去设置和公开该源,并配置物理负载平衡器以使用我们的新源。现在,我们再添加一个数据中心。现在,我们需要另一种解决方案以在我们的数据中心之间进行分配。这就形成了独立的全局流量管理系统和局部流量管理系统。过去,这些解决方案来自不同的供应商,而且必须以不同的方式进行配置,尽管它们应该达到相同的目的:负载平衡。这给 Web 流量管理带来了不必要的困难。为什么必须得在两个不同的负载平衡器中配置您的源?为什么不能在同一个位置管理一项服务的所有源的所有流量?

更简单且更好:结合使用 Load Balancing 和 Tunnel

Cloudflare Load Balancing 可以在一个位置管理所有办事处、数据中心、远程用户、公共云、私有云和混合云的流量

通过结合使用 Cloudflare Load Balancing 和 Cloudflare Tunnel,您可以在一个位置(即 Cloudflare 仪表板)管理所有公共源和专用源。通过使用 Cloudflare 仪表板或 Cloudflare API,可以轻松配置 Cloudflare 负载平衡器。无需使用 SSH,也无需打开远程桌面即可修改公共或专用服务器的负载平衡器配置。所有配置都可以通过仪表板用户界面或 Cloudflare API 完成,两者之间完全一致。

在您的数据中心设置并运行 Cloudflare Tunnel 后,一切都已准备就绪,随时可以将您的源服务器连接到 Cloudflare 网络和负载平衡器。您不需要为您的数据中心配置配置任何入口,因为 Cloudflare Tunnel 仅通过出站连接运行,并且可以安全地连接到您的数据中心内具有专用地址的服务。要向 Cloudflare 公开您的服务,您只需将您的专用 IP 范围设置为通过该隧道路由即可。然后,您可以创建一个 Cloudflare 负载平衡器,并将相应的专用 IP 地址和虚拟网络 ID 输入到您的源池中。之后,Cloudflare 会在您的私有服务器之间管理 DNS 和负载平衡。现在,您的源服务器只通过 Cloudflare Tunnel 接收流量,不再需要物理负载平衡器!

这种突破性的集成使企业能够在部署负载平衡器的同时,让其应用程序保持与公共互联网安全隔离。客户的流量通过 Cloudflare 数据中心传输,使客户能够继续充分利用 Cloudflare 高性能的安全服务。此外,通过利用 Cloudflare Tunnel,Cloudflare 和客户源之间的流量在可信网络内保持隔离,从而增强了私密性和安全性,使客户高枕无忧。

通过 Cloudflare Tunnel 使用专用 IP 支持的优势

Cloudflare Load Balancing 与 Cloudflare 提供的所有安全和隐私产品配合使用,包括 DDoS 防护、Web 应用程序防火墙和机器人管理

**全局和局部流量管理相结合:**属于全局流量管理的 Cloudflare Load Balancing 一部分的所有功能和易用性同样在局部流量管理中提供。您可以在一个仪表板中配置公共源和私有源,无需使用多个服务和供应商。现在,您所有的私有源都可以受益于让 Cloudflare Load Balancing 声名远播的功能:即时故障转移、数据中心之间可自定义的引导、易用性、自定义规则以及只需几秒钟就可以完成的配置更新。它们还将受益于我们较新的功能,包括最少连接引导、最少未完成请求引导和按报头划分的会话亲和性。这只是 Load Balancing 广泛功能中的一小部分。有关该产品的更多功能和详细信息,请参阅我们的开发文档

增强的安全性:通过结合使用专用 IP 支持与 Cloudflare Tunnels,企业可以强化其安全态势并保护敏感数据。借助专用 IP 地址和通过 Cloudflare Tunnel 建立的加密连接,未经授权的访问和潜在攻击的风险显著降低——流量保留在受信任的网络中。您还可以配置 Cloudflare Access,为您的应用程序添加单点登录支持,并将您的应用程序限制为授权用户的子集。此外,您仍可受益于防火墙规则、速率限制规则、机器人管理、DDoS 保护以及目前提供的所有其他 Cloudflare 产品,因此允许您进行全面的安全配置。

无懈可击的隐私保护:随着数据隐私问题不断受到重视,企业必须确保用户信息的保密性。Cloudflare 的专用 IP 支持和 Cloudflare Tunnel 使企业能够隔离应用,并将敏感数据保留在其私有网络边界内。自定义规则也允许您将特定设备的流量引导到特定的数据中心。例如,您可以使用自定义规则将来自东欧和西欧的流量引导到您的欧洲数据中心,这样您就可以轻松地将这些用户的数据保存在欧洲境内。这样一来,就可以最大限度地减少数据向外部实体公开,从而保护了用户隐私,并遵守不同地区严格的隐私法规。

灵活性和可靠性:扩展和适应性是运营良好的企业的一些主要基础。仅实施符合企业当前需求的解决方案是远远不够的。客户必须找到能够满足未来三年或更长时间需求的解决方案。在我们的 Zero Trust 解决方案中,结合了 Load Balancing 与 Cloudflare Tunnel,完美诠释了何谓灵活性和可靠性!对负载平衡器配置的更改可在数秒内传遍全球,因此负载平衡器是应对突发事件的有效方法。此外,即时故障转移、运行状况监控和引导策略全都有助于让应用程序保持高可用性,因此提供的可靠性可以达到用户期望。除此之外,还有业内领先的 Zero Trust 功能,例如(但不限于)以下功能:安全 Web 网关 (SWG)、远程浏览器隔离、网络日志、数据丢失防护。

简化的基础设施:企业可以整合其网络架构,并在分布式环境中建立安全的连接。这种统一减少了复杂性,降低了运营开销,促进了有效的资源分配。无论您是需要应用全局流量管理器来在私有网络内的数据中心之间智能引导流量,还是需要在数据中心选择完成后在特定服务器之间引导流量,现在都有了一个清晰的单一视角来管理全局和局部流量,无论流量的来源或目的地是公共网络还是私有网络。复杂性可能是实现和维护快速、灵活的业务部门的一大障碍。整合到一个提供安全性、可靠性和可观察性的单一提供商(如 Cloudflare)不仅可以节省大量成本,还可以让您的团队更快地行动起来,专注于发展业务、强化关键服务和开发令人难以置信的功能,而不是将几年后就可能无法使用的基础设施凑合在一起。将繁重的工作交给我们,让我们为您和您的团队助力,让你们可以专注于为您的员工和最终用户创造令人惊叹的体验。

用于局部流量管理的硬件设备缺乏敏捷性、灵活性和精益运营,根本看不出购买这些设备用去了数十万美元,而且还有管理 CPU、内存、电源、冷却等方面的庞大开销。取而代之,我们希望通过抽象化不必要的开销,帮助企业将这一逻辑转移到云中,让团队有更多精力专注于他们最擅长的工作,打造令人惊叹的体验,让 Cloudflare 做我们最擅长的工作,保护、加速和搭建更高的可靠性。请继续关注有关 Cloudflare 局部流量管理器的更多更新,以及它如何在降低架构复杂性的同时,为您的团队带来更多洞察力、安全性和控制力。同时,请查看我们新的白皮书

展望未来

作为 Zero Trust 解决方案的一部分,Load Balancing 的专用 IP 支持与 Cloudflare Tunnel 相结合形成的极具影响力的 Cloudflare 解决方案再次证明了我们提供着眼于安全性、隐私性和性能的尖端工具的承诺。通过利用专用 IP 地址和安全隧道,Cloudflare 使企业能够加强其网络基础设施,同时确保符合监管要求。借助增强的安全性、无懈可击的隐私保护和精简的基础设施,负载平衡成为高效、安全的公共或私有服务的强大驱动力。

随着企业发展壮大及其系统规模扩大,他们需要让 Cloudflare Load Balancing 声名远播的功能:运行状况监控、引导和故障转移。随着最终用户的需求和标准不断增长,可用性需求不断增加,客户可以添加运行状况检查,从而在不正常的服务器开始出现故障时,能够自动故障转移到正常的服务器。当企业开始接收来自世界各地的更多流量时,他们可以为不同地区创建新的池,并使用动态引导来减少用户和服务器之间的延迟。对于密集型或长时间运行的请求,如复杂的数据存储查询,客户可以利用最少未完成请求引导来减少每台服务器的并发请求数。以前,这一切都可以通过可公开寻址的 IP 来实现,但现在可用于具有公共 IP 的池和/或专用服务器。专用 IP 负载平衡和局部流量管理已上线并可立即使用!请查看我们的开发文档,了解如何开始使用。

敬请期待我们的下一个新增功能:结合使用 Cloudflare Tunnel 和专用 IP,为您的第 4 层流量添加针对 Spectrum 和 WARP 的新 Load Balancing 入口支持,使我们能够在您的私有数据中心支持 TCP 和 UDP 应用程序!

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Load BalancingCloudflare TunnelTraffic

在 X 上关注

Cloudflare|@cloudflare

相关帖子