我们在 2020 年宣布数据本地化套件,当时数据本地化的要求在欧盟已经非常重要。从那时起,我们见证了全球本土化的发展趋势。我们很高兴能将该服务的覆盖范围扩大到这些亚太地区国家,让更多的客户使用 Cloudflare,精确控制 Cloudflare 网络的哪些部分能够执行需要检查流量的 WAF 或机器人管理等高级功能。
区域服务概述
我们在 2020 年推出区域服务,这是客户使用 Cloudflare 的一种新方式。通过区域服务,客户可以限制哪些数据中心进行流量解密和检查操作。这样做之所以有用,是因为某些客户受到允许在哪些地区服务流量的法规约束。有些客户与_其_客户之间的协议明确规定可在哪里进行流量解密和检查。
正如一家德国银行告诉我们的那样:“我们可以查看规章制度,然后随心所欲地讨论它们。只要您向我保证,欧盟以外的任何机器都不会看到我某个客户的解密银行账号,我们很乐意以任何方式使用Cloudflare。”
在正常运行中,Cloudflare 使用其整个网络来执行所有功能。大多数客户想要的是:利用 Cloudflare 的所有数据中心,以便始终尽可能快地为用户服务流量。我们看到越来越多的客户希望严格限制为其流量服务的数据中心。通过区域服务,客户可以使用 Cloudflare 的网络,但会限制哪些数据中心执行实际解密。需要解密的产品,如 WAF、机器人管理和 Workers 将只会在这些数据中心内应用。
区域服务如何工作?
您可能会问:这究竟是怎样做到的?Cloudflare 不是运行一个任播网络吗?Cloudflare 是从零开始构建以利用任播(anycast )这种路由协议的。Cloudflare 的所有数据中心都通过边界网关协议(Border Gateway Protocol,BGP)广播相同的 IP 地址。从网络角度来看,离您最近的数据中心就是您要到达的数据中心。
这样做有两个好处。其一,数据中心距离越近,响应越快。其二,处理大型 DDoS 攻击时得心应手。容量耗尽型 DDoS 攻击会发送大量虚假流量,让网络不堪重负。通过将流量分散到整个网络,Cloudflare 的任播网络能很好地应对这些攻击。
任播并不理会地区边界,甚至不知道边界的存在。因此,在默认情况下,Cloudflare 不能保证某个国家/地区的流量也会在当地得到服务。尽管在通常情况下您的流量会到达所在国家/地区内的数据中心,但您的互联网服务提供商(ISP)很可能会将流量发送到一个网络,再由后者路由到另一个国家/地区。
区域服务解决了这个问题:开启后,每个数据中心都知道它在哪个区域运行。如果来自某个国家/地区的用户到达的数据中心不匹配客户所选的区域,我们将直接转发加密形式的原始 TCP 流量。一旦到达位于正确区域的数据中心,我们就会将其解密并应用所有第 7 层产品。其中包括 CDN、WAF、机器人管理和 Workers 等产品。
我们举一个例子。对于印度喀拉拉邦的一个用户,其互联网服务提供商确定,到我们其中一个数据中心的最快路径是斯里兰卡的科伦坡。在本例中,客户可能已经选择印度作为流量应被服务的唯一区域。科伦坡数据中心发现这些流量应该在印度地区接受服务。因此该数据中心不会执行解密,而是将其转发到印度境内最近的数据中心。在那里,我们将进行解密并应用 WAF 和 Workers 等产品,就像这些流量直接到达该数据中心一样。
将区域服务扩展到亚洲
一直以来,我们发现对区域服务的主要兴趣来自欧盟和美洲。然而,最近几年来,我们发现亚太地区也对此产生了浓厚的兴趣。根据客户反馈和对法规的分析,我们很快得出结论,我们需要支持三个关键地区:印度、日本和澳大利亚。我们很高兴地宣布,区域服务现已在这三个地区普遍可用。
但我们不会止步于此。我们意识到,还有很多客户需要针对其特定地区的本地化。我们期望在不久的将来增加更多区域,并在努力使支持更多区域变得更加容易。如果您有需要支持的区域,欢迎告诉我们!区域服务现已覆盖印度、日本和澳大利亚!如果有意使用数据本地化套件,请联系您的客户团队!