订阅以接收新文章的通知:

在 Cloudflare 自带 IP(BYOIP)

2020-07-30

4 分钟阅读时间
这篇博文也有 English日本語版本。

今天,我们很高兴宣布,我们的所有第 7 层产品以及 SpectrumMagic Transit 服务中将全面可用自带IP(BYOIP)。配置 BYOIP 后,Cloudflare 边缘将公告客户自己的 IP 前缀,并且这些前缀可用于我们的第 7 层服务、Spectrum 或 Magic Transit。如果您不熟悉这个术语,则 IP 前缀指的是一个 IP 地址范围。路由器创建一个可到达的前缀表(称为路由表),以确保数据包在互联网上正确传递。

作为本次宣布的一部分,我们会将 BYOIP 列在相关的产品页面开发者文档,以及用于控制您的前缀的 UI 支持中。以前的支持仅限于 API。

客户选择结合使用 BYOIP 和 Cloudflare 的原因有多种。或许,您的 IP 前缀已在许多重要地方列于白名单中,通过更新防火墙规则来同时允许 Cloudflare 地址空间可能在管理方面有巨大障碍。此外,您可能有数万甚至数百万最终用户通过 DNS 直接指向您的 IP,要让他们全部更新记录以指向 Cloudflare IP 将花费大量时间。

过去几个季度中,我们一直在构建工具和流程,以规模化支持客户自带 IP。在撰写本文时,我们已经成功引入了数百个客户 IP 前缀。其中 84% 用于 Magic Transit 部署,14% 用于第 7 层部署,另外 2% 则用于 Spectrum 部署。

当您在 Cloudflare 使用 BYOIP 时,我们会在全球 200 多个城市中公告您的 IP 空间,并将您的 IP 前缀与您选择的某个服务(或多个服务!)绑定在一起。您的 IP 空间会像 Cloudflare 自己的 IP 一样得到保护和加速。如果您因为技术和/或法律方面的要求(例如数据主权)而在可公告您前缀的位置上有所限制,我们也支持区域性部署 BYOIP。

您只需点击一个按钮,即可开启从 Cloudflare 边缘公告您的 IP,并在几分钟之内发布到全世界。

所有 BYOIP 客户会收到关于其前缀的网络分析。BYOIP 前缀中的所有 IP 也可被视为静态 IP。另外,将您的 IP 前缀用于 Cloudflare 提供的服务有着特定的优势。

Layer 7 + BYOIP:

Cloudflare 具有功能强大的第 7 层产品组合,例如 Bot Management、Rate Limiting、Web Application Firewall 和 Content Delivery 等产品。您可以选择将 BYOIP 与我们的第 7 层产品搭配,获得使用自己 IP 地址的所有好处。

对于第 7 层服务,我们可以支持各种 IP 到域的映射请求,包括在域之间共享 IP 或将域置于专门的 IP 上,这可以帮助满足诸如非 SNI 支持之类的要求。

如果您也是 SSL for SaaS 客户,那么使用 BYOIP 后,您可以在 IP 因为某种原因而不可用时,灵活地更改 custom_hostnames 的 IP 地址响应。

Spectrum + BYOIP:

Spectrum 是 Cloudflare 推出的一款解决方案,用于保护和加速运行任何 UDP 或 TCP 协议的应用程序。Spectrum API 现已支持 BYOIP。使用 BYOIP 的 Spectrum 客户可以通过 Spectrum 的 API 指定他们希望与 Spectrum 应用程序关联的 IP。

Magic Transit + BYOIP:

Magic Transit 是第 3 层安全服务,它通过公告您的 IP 地址并将该流量吸引到 Cloudflare 边缘进行处理来处理所有网络流量。Magic Transit 支持复杂的数据包过滤和防火墙配置。BYOIP 是使用 Magic Transit 服务的一项要求。由于 Magic Transit 是 IP 级别的服务,因此 Cloudflare 必须能够公告您的 IP 才能提供此服务。

在 Cloudflare 自带 IP:有何要求?

在 Cloudflare 可以公告您的前缀之前,我们需要一些文件来着手。首先是称为“授权书”(LOA)的文件,它要详细说明您的前缀的相关信息,以及您希望 Cloudflare 如何公告这个前缀。在置备您的前缀前,我们会将这一文件与我们的 1 级转接服务提供商共享。这个步骤是为了确保 1 级转接服务提供商知道我们有权公告您的前缀。

其次,我们需要您的互联网路由注册(IRR)记录是最新的,并在 LOA 中体现该数据。这通常意味着,确保您在地区注册表中的条目已得到更新(即 ARIN、RIPE、APNIC)。

文书发出之后,请与您的客户团队联络,了解您的前缀何时能做好公告准备。

我们还鼓励客户使用 RPKI ,也可针对客户前缀提供相应支持。我们已经发表了相关博客文章,也构建了广泛的工具,以方便客户采用这一协议。如果您对 BYOIP 加 RPKI 支持感兴趣,请告诉您的客户团队!

配置

每个客户前缀都可通过 UI 或 API 的“动态广告”切换开关来公告,这将导致 Cloudflare 边缘代表您公告或撤消前缀。只要客户团队告知您前缀已准备就绪,您就可以完成此项操作。

在 IP 做好公告准备后,您可能要为您的前缀设置“委派”。委派管理的是如何在多个 Cloudflare 帐户中使用这个前缀,根据前缀绑定到的具体服务,其影响略有不同。一个前缀只能归一个帐户所有,但委派可以将一部分前缀功能扩展到其他帐户。我们的开发者文档中也有相关陈述。如今,委派可以会影响到第 7 层和 Spectrum BYOIP 前缀。

第 7 层:如果您使用 BYOIP + 第 7 层产品,同时也使用 SSL for SaaS 服务,则委派至另一帐户将允许该帐户也可使用这个前缀来验证自定义主机名(即,不仅是拥有该前缀的原始帐户可以使用)。这意味着,多个帐户可以使用相同的 IP 前缀来提供自定义主机名流量。此外,您所有的 IP 都可以为自定义主机名提供流量;也就是说,如果某个 IP 由于任何原因被阻止,您都可以轻松地更改这些主机名的 IP 地址。

Spectrum:如果您通过 Spectrum API 使用 BYOIP + Spectrum,则可以在前缀中指定要用来创建 Spectrum 应用程序的 IP。如果您将前缀委派至另一个帐户,那么这个第二帐户也能够指定该前缀中的 IP 来创建应用。

如果您有兴趣了解在 Magic Transit、CDN 或 Spectrum 等服务中使用 BYOIP 的更多信息,您可以联系客户团队(现有客户)或 [email protected] (新的潜在客户)。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
产品新闻DNSMagic TransitSpectrum

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...