本日、Cloudflareネットワークインターコネクト(CNI)をご紹介できることを嬉しく思います。CNIにより、お客様は支社と本社の所在地に関係なく、Cloudflareと直接相互接続していただける上に、お客様の物理的なネットワークエッジでCloudflareの完全なネットワーク機能をご利用いただけるようになります。インターコネクトするためにCNIを使うと、Cloudflareに接続するためにパブリックインターネットを使う場合に比べ、セキュリティ、信頼性、パフォーマンスが提供されます。Cloudflareグローバルネットワークのリーチ範囲のため、インフラストラクチャの場所や従業員の所在地が世界のどこであっても、当社のネットワークとの接続は簡単です。
最も基本のレベルでも、インターコネクトは2つのネットワーク間のリンクです。現在、Cloudflareのネットワークと相互接続するお客様のために、次のオプションを提供しております。
プライベートネットワークインターコネクト(PNI)を経由する。2つのネットワークを接続する物理ケーブル(または、バーチャル「擬似ワイヤー」)。
インターネットエクスチェンジ(IX)を介す。複数のインターネットサービスプロバイダー(ISP)とインターネットワークが相互接続できる一般的なスイッチファブリック。
実際のアナロジーを使うと、長年にわたり、Cloudflareはインターネット全体でネットワークの「高速道路」を構築して、お客様のトラフィックをすべて処理してきました。そして今、こうした「高速道路」の専用入り口をお客様のオンプレミスネットワークに提供しています。
Cloudflareと相互接続する理由
CNIの利用により、高い信頼性、高速、プライベートを保護する接続が、みなさまのインフラストラクチャとCloudflareのインストラクチャ間で得られます。これは、当社製品すべてでご提供するサービスです。それでは、特定製品を例にして、どのように当社製品とCNIと組み合わせることができるかをご紹介しましょう。
Cloudflare Access:VPNの代わりに、Cloudflareのネットワークを使います。プライベートネットワークに内部ツールを置く代わりに、チームはハイブリッドモデルやマルチクラウドモデルなど、いかなる環境においてもデプロイでき、Cloudflareのネットワークで一貫性のある保護を実現します。CNIを利用して、みなさまのMPLSネットワークと当社のMPLSネットワークと一緒にすることで、従業員はどこからでも、ネットワークに安全に迅速に接続することができます。
CDN:CloudflareのCDNは訪問者により近いコンテンツを配置し、配信元の負荷を最小限に抑えつつサイトのスピードを向上します。CNIは、キャッシュフィルパフォーマンスを向上させ、コストを削減します。
Magic Transit:Magic Transitはデータセンターと支社ネットワーク望まない攻撃と悪意のあるトラフィックから保護します。Magic TransitとCNIの組み合わせは、ジッタを減少し、スループットの改善を促進し、攻撃に対してインフラストラクチャをさらに堅牢にします。
Cloudflare Workers:Workersは、Cloudflareのサーバーレスコンピューティングプラットフォームです。CNIとの統合により、パブリックインターネットを横断しないサーバーレスクラウドコンピューティングへのセキュアな接続ができるようになり、お客様は、ネットワークパフォーマンスの耐障害性が厳しくても、Cloudflare独自のWorkersサービスを用いることができます。
CNIがどのようにこうしたメリットをもたらすのか、話を進めていきましょう。
インターコネクションでパフォーマンスを向上する
CNIは、多くのCloudflare製品のパフォーマンスを高める優れた方法です。CNIを活用してCloudflareとインターコネクションを設定することで、お客様の配信元インフラストラクチャの場所に関係なく、お客様はパブリックトランジットプロバイダーを利用するよりも低価格でパフォーマンスとセキュリティを向上させることができます。
CNIで加速させる
Cloudflareのお客様にお届けするパフォーマンス向上ネットワークインターコネクトの例として、CloudflareのCDNとWAFを通過するHTTPアプリケーションの処理負荷を考えてみてください。多くのお客様がHTTPアプリケーションの応答性を高めるために、当社のCDNを頼りにしてくださっています。
最高のパフォーマンスを提供するために、Cloudflareはエンドユーザーに可能な限り近いところでコンテンツをキャッシュします。しかし、コンテンツがキャッシュにない場合、CloudflareのエッジPoPはキャッシュ可能なコンテンツを取得するために、配信元サーバーと通信する必要があります。これをキャッシュから直接提供する場合と比較すると、スピードが落ち、配信元サーバーでの負荷も高くなります。
CNIでは、こうしたオリジンプルは専用のリンクから完了できるため、スループットの向上とオリジンプルで必要な時間全体の短縮ができます。Argo Tiered Cacheを利用すると、お客様が階層型のキャッシュトポロジーの管理ができ、ネットワークインターコネクトが正常に機能するロケーションで対応する上部のキャッシュ階層を特定することができます。この方法でTiered Cacheを利用すると、配信元の負荷を下げ、キャッシュヒット率が上昇するため、パフォーマンスが改善されて配信元のインフラストラクチャのコストが下げられます。
ここに、実際のCloudflareのお客様から匿名でサンプリングされたデータがあります。このお客様は最近、当社のネットワークとご自分のネットワーク間でインターコネクションをプロビジョニングして、パフォーマンスを大きく改善しました。当社CDNのヘビーユーザーの方々は、複数のロケーションでPNIを追加して、配信元からのラウンドドリップタイム(RTT)の貴重なミリ秒を削ることができました。
たとえば、ポーランドのワルシャワで、プライベートネットワークインターコネクト(7.5ミリ秒から1ミリ秒)をプロビジョニングした結果として、90パーセンタイルのラウンドトリップタイムが、6.5ミリ秒短縮しました。これは、87%もパフォーマンスが向上したということです。リンクのジッタ(受信パケットの遅延におけるばらつき)が82.9から0.3へと短縮しました。これは、リンクの専用性と信頼性を示すものです。CNIは、高い信頼性と優れたパフォーマンスのネットワーク接続性を貴社のお客様と従業員に届けるお手伝いをいたします。
プライベート接続からセキュリティを強化する
大規模なオンプレミスネットワークを所有するお客様は、クラウドに移行したいとお考えです。理由は、その方が低コストで手間がかからず、オーバーヘッドと保守も少なくて済むからです。しかし、既存のセキュリティと脅威モデルも維持したいという希望もあります。
これまで、CIO(最高情報責任者)は次の2つステップを踏んで、自社のIPネットワークをインターネットに接続しようとしてきました。
トランジットプロバイダー(ISP)からインターネットへのソース接続。
ネットワーク機能特定のハードウェアアプライアンスの購入、運用、保守。ハードウェアLoad Balancer、ファイアウォール、DDoS対策設備、WAN Optimizationなどを考えてください。
CNIを使うと、CIOはパブリックインターネットを迂回する方法で、Cloudflareのセキュリティサービスがプロビジョンし、既存のネットワークをCloudflareに接続できます。Cloudflareは、オンプレミスネットワークとクラウドを統合するため、お客様は両方のネットワークでセキュリティポリシーを実施することも、一貫したセキュリティ境界を作成することもできます。
CNIは、プライベートの専用リンクをCloudflareネットワークに提供することで、クラウドとネットワークセキュリティを強化します。このリンクは、プロビジョニングするお客様のためだけに予約されたものなので、お客様のトラフィックは、分離されプライバシーが守られます。
CNI + Magic Transit:パブリックインターネットを回避する
製品固有の例を使いましょう。CNIとMagic Transitの統合を通じて、お客様はプライベート接続が活用できるようになり、自社ネットワークのパブリックインターネットへの露出を最小限にすることが可能になります。
Magic Transitは、BGP経由で当社のエッジからお客様のIPアドレスを広報することで、当社のデータセンターにお客様のIPトラフィックを引きつけます。トラフィックは到着すると、フィルタリングされてお客様のデータセンターに送信されます。CNIの前に、すべてのMagic Transitトラフィックが、インターネットからGeneric Routing Encapsulation(GRE)トンネルを経由して、Cloudflareからお客様へ送信されます。GREエンドポイントがパブリックにルーティングできるため、CloudflareのDDoS対策ツールとセキュリティツールを回避して、エンドポイントが検出され、攻撃を受けるリスクがあります。
CNIを利用すると、インターネットへの露出が避けられます。Magic TransitとCNIを一緒に使う利点とは:
脅威にさらされるリスクの減少。ネットワークセキュリティの強化のために企業が踏まなければならないステップはたくさんありますが、リスクに敏感な企業の中は、一切エンドポイントをパブリックインターネットにさらさないことを選ぶ企業もあります。CloudflareはCNIを用いることで、リスクを吸収し、完全にプライベートなインターフェースを通じてクリーンなトラフィックを(Magic Transit経由で)転送できます。
信頼性の向上。パブリックインターネットを経由するトラフィックは、中間ネットワークにおけるレイテンシーやパケットの損失など、自己管理できる範囲の外にある要因の影響を受けるものです。Cloudflareのネットワークとユーザーの間にあるステップを省くということは、Magic Transitがトラフィックを処理した後に、直接かつ確実にネットワークに転送することを意味します。
簡単な設定。近日中に、Magic Transit + CNIのお客様は、オンボーディングの際にMSS(最大セグメントサイズ)の変更をスキップするオプションが提示されるようになります。MSSの変更は、インターネット経由GREが必要になるステップであり、ダウンストリーム顧客のMSSを考慮する必要があるお客様(例:サービスプロバイダー)にとっては難しいことかもしれません。
導入例:Penguin Corpは、支社ネットワークとコアネットワーク、従業員の保護のために、Cloudflare for Teams、Magic Transit、CNIを利用しています。
Penguin Corp(架空の企業)は、完全にプライベートMPLSネットワークに接続しています。ネットワークの維持が難しく、ネットワークエンジニアの専門チームが取り組んでいます。現在、多額の費用をかけて、独自のプライベートクラウドを実行しています。コストを最小限にするために、ネットワークとエグレスポイントを世界で2か所に絞りました。これが、ユーザーに大きなパフォーマンス問題を引き起こし、ビットはPenguin社のネットワーク境界を通過しながら、基本的なタスクを達成するために長距離を移動しなければなりません。
そこで、SASE(セキュアアクセスサービスエッジ)モデルに注目しました。理論的には、従来のMPLSネットワークから遠ざかることができ、クラウドに移行することができるからです。SASEの導入によって、下図に示されるように、ネットワークエッジでファイアウォール、DDoS対策、暗号化サービスが提供され、サービスとしてのセキュリティがクラウドデプロイメントに提供されました。
CNIにより、Penguin社はCloudflareを本当のネットワークエッジとして用いて、支社オフィスのロケーションとデータセンターをインターネットから密封して保護できます。Penguin社は、パブリックインターネットと接触する可能性をゼロに保ちながら、SASEのようなモデルを採用しています。Cloudflare for Teamsを活用するために、カリフォルニア州のサンノゼにある支社オフィスからCloudflareのサンノゼロケーションへCloudflareでPNIを設置しています。そして、オースティンにあるコアコロケーション施設からCloudflareのダラスロケーションへとMagic Transitを使ってコアネットワークの保護を図っています。
Cloudflare for Teamsは、Magic Transitのように、従来のセキュリティハードウェアオンプレミスをCloudflareのグローバルネットワークに置き換えるものです。社内アプリケーションに到達するVPNアプライアンスに頼っていたお客様でも、その代わりにCloudflare Accessから安全に接続することができます。物理的Webゲートウェイボックスを維持する企業は、インターネット経由トラフィックをCloudflare Gatewayに送信し、フィルタリングとログインすることが可能です。
Cloudflare for Teamsサービスは、すべてのCloudflareデータセンターで実行し、フィルタリングと認証をユーザーとロケーションの近くに持っていくことで、パフォーマンスの低下を回避します。CNIはユーザーのオフィスからCloudflareまでの直接接続でさらに改善します。単純な設定変更によって、ブランチトラフィックすべてがCloudflare for Teams のポリシーが適用できるCloudflareのエッジに到達できます。このリンクは、ユーザーのためにスピードと確実性を向上し、集中型のフィルタリングアプライアンスにトラフィックをバックホールする必要をなくします。
この方法で相互接続すると、Penguin社のネットワークと従業員は2つのメリットに気がつくはずです。
Cloudflareのセキュリティサービス一式が使える上に、高額で一元化された物理的または仮想化ネットワークアプライアンスをプロビジョニングする必要がありません。
200以上の都市に広がるCloudflareのグローバルネットワーク全体で、セキュリティとパフォーマンスサービスを実行できます。これにより、セキュリティ機能をユーザーの近くに持っていくことで、パフォーマンスと利便性の向上ができます。
グローバルに拡張できて、柔軟性が高いインターコネクション
世界200以上の都市に広がるCloudflareのグローバルフットプリントの利点を生かし、CNIはお客様に大きなメリットをもたらします。支社オフィスとデータセンターインフラストラクチャがどこにあってもCloudflareに接続できるからです。
これには理由が2つあります。グローバルに分散したネットワークによって、お客様の支社やコアインフラストラクチャがどこにあろうとも、その地域で簡単に相互接続でき、グローバルに分散した社員·従業員が低レイテンシーで改善されたパフォーマンスの当社のエッジで、通信することができるからです。
お客様にとっては、ネットワークフットプリントを安全に拡張できるかという懸念は一切なくなります。それは、当社の仕事だからです。
現時点で、グローバル企業は世界中多くの地点で相互接続する必要があります。Cloudflareネットワークインターコネクトは、グローバル規模で料金が設定されています。法人顧客は、CNIのプロビジョンニングに一切料金がかかりません。他のお客様はインターコネクションプラットフォームへのアクセス、またはデータセンター交差接続に対して料金が発生するかもしれません。Cloudflareはご注文とプロビジョニングの手続きをできる限りスムーズに進めるために、みなさまと関係者と協力していきたいと考えております。
言い換えると、CNIの価格設定は、複雑な企業ネットワークトポロジーと最新のIT予算に対応するようにデザインされているということです。
相互接続するには
お客様は、次の3つの方法のうち1つを使ってCloudflareと相互接続できます。1つ目は、プライベートネットワークインターコネクト(PNI)から。2つ目は、IXを通じて。3つ目はインターコネクションプラットフォームのパートナーの1つを経由する方法です。当社はお客様の場所、希望に適合するため、世界中のパートナー達と緊密に連携しています。
プライベートネットワークコネクト
プライベートネットワークインターコネクトは、一覧表示されたプライベートピアリング施設のどこからでもご利用いただけます。Cloudflareとの物理的な接続の取得は簡単です。接続先、ポート速度、ターゲットVLANなどを特定します。そこから、当社が認証しますので、ご注文いただき、残りの作業をお任せください。お客様は、バーチャル接続またはIXを介した接続より高いスループットをご希望の場合、もしくはインターコネクトからできるだけ多くの中間者を除きたい場合、接続オプションとしてPNIを選択する必要があります。
インターネットエクスチェンジ
既存のインターネットエクスチェンジをご利用になりたいお客様も、当社が参加する235以上のインターネットエクスチェンジで当社と相互接続が可能です。IXの指示に従ってインターネットエクスチェンジ経由でCloudflareと接続すると、Cloudflareが当社側の接続をスピンアップします。お客様が既にIXでピアリング接続されている場合、またはインターコネクションプラットフォームが存在しない場所で相互接続したい場合、インターネットエクスチェンジを接続オプションとして選択する必要があります。
インターコネクションプラットフォームパートナー
Cloudflareは、Equinix、Megaport、PCCW ConsoleConnect、PacketFabric、Zayoと提携し、事実上、パートナーがサポートするどのロケーションにおいても簡単に接続できる方法を提供することができます。こちらのプロバイダーをすでにご利用の場合、またはセキュアなクラウド体験を迅速かつ簡単な方法でオンボードしたいとお考えの場合、お客様はインターネットコネクションプラットフォームと接続する必要があります。
詳細をさらにお読みになりたい場合は、こちらのブログ記事で、相互接続するための様々な方法についてご紹介しています。どうぞご覧ください。上記のインターコネクト方法すべてに関して、BGPセッションの確立とIPルーティングは同じです。1つ違う点は、他のネットワークとの物理的な相互接続方法だけです。
相互接続する最適な場所を見つける方法
当社のCNIに関連する製品ページには、当社と相互接続するネットワークに最適な場所について、よく理解するためのツールが記載されています。このデータを使うと、一般的に他のクラウドプロバイダーや他のISPと最良の接続性を持つ相互接続に最適な場所を見つけるのに役立ちます。
CNIとピアリングの違いは?
技術的な面では、ピアリングとCNIは似たようなメカニズムと技術的な実装を舞台裏で使っています。
Cloudflareは、何年も前から他のネットワークとオープンなピアリングポリシーを持っていて、そのポリシーを守り続けていくことにしています。ネットワークと相互接続し、インターネットの信頼性を高めることで、どなたにとっても良いインターネットを構築するお手伝いができると考えています。従来のネットワークは、インターコネクト/ピアリングを使って、コスト削減を進めながら、お客様のパフォーマンスと接続性を向上を図っています。当社のお客様にも同様のメリットをもたらすために、CNIを使ってインフラストラクチャを広げていきます。
もっと詳しく知りたい場合
CNIは、パブリックインターネットを使うより、高いパフォーマンス、信頼性、拡張性、セキュリティをお客様に提供します。お客様は現在、当社の物理的ロケーションのどこからでもCloudflareと相互接続できます。Cloudflareとの専用リンクを取得すると、各インターコネクション地点を通じて、セキュリティにおける利点や、さらに安定したレイテンシー、ジッタ、利用可能な帯域幅を得ることができます。
Cloudflareネットワークインターコネクトをご利用中のサービスに追加する場合は、企業セールスチームまでお問い合わせください。