喜訊！Cloudflare中國網(wǎng)絡升級，性能與安全再上新臺階！

來源： Cloudflare

作者：Cloudflare

時間：2021-10-08

Cloudflare 的使命是幫助構建更好的互聯(lián)網(wǎng)，我們的核心使命是讓我們的客戶能夠輕松地提高其數(shù)字資產的性能、安全性和可靠性，無論他們身在何處。這包括中國大陸。

Cloudflare 的使命是幫助構建更好的互聯(lián)網(wǎng)，我們的核心使命是讓我們的客戶能夠輕松地提高其數(shù)字資產的性能、安全性和可靠性，無論他們身在何處。這包括中國大陸。自 2015 年以來，Cloudflare 在中國就有客戶使用我們的服務，最近，我們通過與中國互聯(lián)網(wǎng)巨頭京東的云部門京東云合作，擴大了我們在中國的業(yè)務。幾年來，我們還在北京設立了當?shù)剞k事處，這讓我們對中國互聯(lián)網(wǎng)格局以及當?shù)乜蛻粲辛松钊氲牧私狻?/span>

與京東云合作建立的新 Cloudflare 中國網(wǎng)絡已上線數(shù)月，與之前的國內網(wǎng)絡相比，性能和安全性有了顯著提升?，F(xiàn)在，我們很高興地介紹我們對 DNS 和 DDoS 系統(tǒng)所做的改進，并提供數(shù)據(jù)來證明客戶所看到的性能提升。所有獲準在中國運營的客戶現(xiàn)在都可以從這些創(chuàng)新中受益，只需單擊 Cloudflare Dashboard 中的按鈕或通過 API。

在中國境內服務 DNS

我們是最大的 DNS 提供商，互聯(lián)網(wǎng)上超過 14% 的域使用 Cloudflare 的名稱服務器。此外，我們一直以成為最快的權威名稱服務器而自豪，平均每秒回答約 1200 萬次 DNS 查詢（2021 年第二季度）。我們通過在 100 多個國家/地區(qū)的 200 多個城市的全局網(wǎng)絡上運行我們的 DNS 平臺來實現(xiàn)這種規(guī)模和性能。

借助基于京東云基礎結構的全新中國網(wǎng)絡產品，客戶現(xiàn)在可以在中國大陸為其 DNS 提供服務。這意味著 DNS 查詢由京東云入網(wǎng)點 (PoPs) 之一直接回答，從而加快響應時間并提高可靠性。

一旦用戶注冊了一個域并選擇在中國為其 DNS 提供服務，我們將從以下三個域中的兩個域中分配兩個名稱服務器：

cf-ns.com
cf-ns.net
cf-ns.tech

我們選擇這些頂級域名 (TLD) 是因為它們在中國大陸提供了最佳性能。它們被選擇為始終與使用它們的域的 TLD 不同。例如，example.com 將使用 .tech 和 .net TLD 分配名稱服務器。這為我們提供了客戶名稱服務器的“無膠委托”，允許我們動態(tài)返回名稱服務器 IP 地址而不是靜態(tài)粘合記錄。

“粘合記錄”（或簡稱 “粘合”）是名稱服務器和 IP 之間的映射，由 Registrar 添加，用于在域使用具有相同 TLD 的域名服務器時打破循環(huán)查找依賴性。

通過使用不同的 TLD，我們不需要依賴客戶名稱服務器的粘合記錄。通過這種方式，我們可以確保始終從最近的入網(wǎng)點 (PoP) 回答查詢，從而實現(xiàn)更快的 DNS 響應。提供動態(tài)名稱服務器 IP 的另一個優(yōu)勢是能夠在不同的 PoP 之間分發(fā)查詢，這有助于更有效地分散負載并緩解攻擊。

減輕中國境內的 DDoS 攻擊

在除中國和印度之外的世界任何地方，我們都使用一種稱為 Anycast 路由的技術來分發(fā) DDoS 攻擊，并將其吸收到盡可能靠近流量源的數(shù)據(jù)中心。但正如我們在 2015 年首次寫道，中國互聯(lián)網(wǎng)的運作方式與世界其他地區(qū)略有不同，因此基于 Anycast 的緩解措施不是一種選擇：

與網(wǎng)絡路由開放的世界其他大部分地區(qū)不同，中國的核心互聯(lián)網(wǎng) Access 主要由兩個 ISP 控制：中國電信和中國聯(lián)通。[今天這份名單還包括中國移動。] 這些 ISP 控制著國內的 IP 地址分配和路由。即使是中國互聯(lián)網(wǎng)巨頭也很少擁有自己的 IP 地址分配，或者使用 BGP 來控制中國互聯(lián)網(wǎng)上的路由。這使得 BGP Anycast 和我們在 Cloudflare 網(wǎng)絡中使用的許多其他路由技術在中國境內無法實現(xiàn)。

中國缺乏 Anycast 需要采用不同的方法來緩解攻擊，我們與京東云的擴展促使我們進一步改進我們今年早些時候撰寫的基于邊緣的緩解系統(tǒng)。最重要的是，我們將應用程序 (L7) 攻擊的檢測和緩解推到了邊緣，通過消除對其他核心數(shù)據(jù)中心指令的依賴，減少了緩解和提高系統(tǒng)彈性的時間。在 2021 年第一季度，我們緩解了 81% 的邊緣 L7 攻擊。

對于更大的基于網(wǎng)絡 (L3/L4) 的攻擊，我們與京東云密切合作，通過向中國電信、中國聯(lián)通和中國移動發(fā)送遠程信號來增強我們的數(shù)據(jù)中心內保護。當我們需要來自 ISP 的上游過濾幫助時，這些集成允許我們能夠遠程—和自動地—從我們的基于邊緣的緩解系統(tǒng)發(fā)出信號。在邊緣緩解攻擊比依賴集中式數(shù)據(jù)中心更快，在 2021 年第一季度，98.6% 的 L3/4 DDoS 攻擊在沒有集中式通信的情況下得到緩解。超過特定 Thresholds 的攻擊也可以重新路由到大型清理中心，這種技術在 Anycast 世界中沒有意義，但在 unicast 是唯一選擇時很有用。

除了改進的緩解控制之外，我們還開發(fā)了新的流量工程流程，將流量從過載的數(shù)據(jù)中心轉移到具有更多備用資源的位置。這些控制措施已經(jīng)在中國境外使用，但在中國境內使用需要與我們的 DNS 系統(tǒng)集成。

最后，由于我們所有的數(shù)據(jù)中心都運行相同的軟件堆棧，我們?yōu)楦倪M中國境內 DDoS 檢測和緩解系統(tǒng)的底層組件所做的工作已經(jīng)回到了我們在中國境外的數(shù)據(jù)中心。

提高性能

京東云上的 Cloudflare 比我們之前的國內網(wǎng)絡快得多，這允許我們能夠加快客戶在中國的 Web 屬性的交付。

為了比較京東云上的 Cloudflare PoPs 與我們之前的國內網(wǎng)絡，我們部署了一個測試區(qū)來模擬兩個中國網(wǎng)絡上的客戶網(wǎng)站。我們使用相同的兩個 Origin 網(wǎng)絡測試了每個網(wǎng)站。這兩個 Origin 都是常用的公共云提供商。一個站點位于美國西北部地區(qū)，另一個位于西歐。

對于這兩個區(qū)域，我們在中國分配了 DNS 名稱服務器，以減少 DNS 查找期間產生的國外延遲（更多詳細信息見下文 DNS）。為了測試我們的 Caching，我們使用監(jiān)控和基準測試服務，在 36 小時的過程中，每 15 分鐘下載 100 KB、1 兆字節(jié)和 10 兆字節(jié)的文件，其中包含中國各個城市和省份的各種客戶端。

通過從客戶端到我們的京東云 PoPs 的往返時間 (RTT) 衡量，延遲在所有文件大小的測試中至少減少了 30%。這隨后減少了我們的首字節(jié)時間 (TTFB) 指標。減少延遲—并使其更加一致，即改善抖動—對其他性能指標的影響最大，因為延遲和慢啟動過程是絕大多數(shù) TCP 連接的瓶頸。

我們減少延遲的原因在于京東云網(wǎng)絡的質量、他們在中國境內的 PoPs 位置以及我們將客戶引導至最近的 PoP 的能力。隨著我們未來繼續(xù)與京東云合作增加更多容量和 PoPs，我們只希望我們的延遲指標會變得更好。