Cloud CNI將您的云私密地連接到Cloudflare

來源:Cloudflare
作者:Cloudflare
時間:2023-02-27
1335
對CIO們來說,聯網是一個常常變得難上加難的過程。企業(yè)網絡需要連接的東西太多了,而且每一個都需要以不同的方式進行連接。

640.png

對CIO們來說,聯網是一個常常變得難上加難的過程。企業(yè)網絡需要連接的東西太多了,而且每一個都需要以不同的方式進行連接:用戶設備需要通過安全Web網關進行受管連接,辦公室需要使用公共互聯網或專用連接進行連接,數據中心需要使用自己的專用或公共連接進行管理,除此以外,您還必須管理云連接!管理所有這些不同場景的連接性及其所有隱私和合規(guī)需求可能會令人沮喪,而您只不過希望以一種非侵入性的方式讓用戶私密、安全地訪問其資源。

Cloudflare通過Cloudflare One幫助簡化您的連接過程。今天,我們隆重推出通過Cloudflare Network Interconnect(CNI)對直接云互連的支持,讓Cloudflare成為您所有互連需求的一站式部署中心。

使用IBM Cloud、Google Cloud、Azure、Oracle Cloud Infrastructure和Amazon Web Services的客戶現在都可以從其私有云實例直接連接到Cloudflare。本文將介紹:為什么直接云互連如此重要,Cloudflare如何使其變得簡單,Cloudflare如何將直接云連接與我們現有的Cloudflare One產品集成,從而將您的企業(yè)網絡安全性提升到新的水平。

公共云中的隱私

公共云計算提供商的理念是,他們提供的計算能力可以被任何人使用:您的云VM和我的云VM可以在同一臺機器上相鄰運行,而我們都不知情。對于進出這些云的數據而言,情況同樣如此:您的數據和我的數據可能在同一線路上傳輸,彼此交錯,我們誰也不知道正在發(fā)生這樣的情況。

這種忽略“所有權”的處理方式在某種程度上確實很“方便”,但同時也有可怕的一面:我們都不需要運行物理機器,購買自己的連接,但我們不能確定我們的數據和計算過程如何或在哪里存在,唯一能確定的是它們與數百萬其他用戶一起存在于同一個數據中心。

對于許多企業(yè)來說,這是不可接受的:企業(yè)需要對自己的數據擁有唯一訪問權限。也許在公共云上運行的是不能公開訪問用戶支付數據,必須要有專門的訪問權限設定;也許出于各地方政府合規(guī)性的要求,云中存儲的數據不能連接到公共網絡;也許用戶就是會不放心把數據存放在公共云或公共的網絡鏈接上-客戶需要一個只有自己才能訪問的私有云:虛擬私有云(VPC)。

為了幫助解決這個問題,并確保只有數據所有者才能訪問需要具備私密性保護的云計算,云提供商開發(fā)了專有云互連:從云到客戶端的直連線路。您可能知道這些產品的名稱:AWS的產品稱為DirectConnect,Azure的產品稱為ExpressRoute,GCP的產品稱為Cloud Interconnect,OCI的產品稱為FastConnect,IBM的產品稱為DirectLink。通過提供到客戶數據中心的專用云連接,云解決了客戶的主要痛點:以專用方式提供計算。通過這些專用鏈路,VPC只能從接入的企業(yè)網絡訪問,提供了物理隔離的安全性,同時允許客戶將數據中心的運營和維護移交給云。

公共互聯網上的隱私

但是,雖然VPC和直接云互連已經解決了基礎設施遷移到云的問題,但隨著企業(yè)網絡脫離本地部署,云帶來了一個全新的挑戰(zhàn):如果要脫離連接所有資源的企業(yè)網絡,我該如何繼續(xù)擁有安全的專用云連接?

讓我們通過一家連接數據中心、辦公室和Azure實例的示例公司說明。今天,這家公司可能有遠程用戶連接到駐留在數據中心、辦公室或云實例中的應用程序。辦公室的用戶可以連接到云中的應用程序,現在所有這些都由公司管理。為此,他們可能會使用VPN,在訪問必要的應用程序之前將遠程用戶通過隧道連接到數據中心或辦公室。辦公室和數據中心往往通過從連接供應商租用的MPLS線路連接。然后還有通過IBM DirectLink連接的私有IBM實例?,F在CIO已經需要管理三個不同的連接服務提供商,我們甚至還沒有開始討論內部應用程序的安全訪問策略,連接不同辦公地點網絡的防火墻,以及在提供商基礎上實施MPLS路由。

640 (1).png

Cloudflare One幫助簡化這一過程,允許企業(yè)將Cloudflare作為適用于所有不同連接選項的網絡。您需要做的就是管理到Cloudflare的連接,無需費神處理跨地理位置和云之間的連接。

WARP為遠程用戶管理連接,Cloudflare Network Interconnect提供從數據中心和辦公室到Cloudflare的專用連接,所有這些都可以通過監(jiān)管應用程序的Access策略和Magic WAN來管理以提供路由,讓您的用戶到達他們需要去的地方。通過Cloudflare One,我們成功將連接過程簡化成如下的樣子:

640 (2).png

在此之前,對于擁有私有云的用戶,要么將云實例暴露到公共互聯網上,要么通過將私有云實例連接到他們的數據中心而不是直接連接到Cloudflare來維持非最優(yōu)路由。這意味著,那些客戶必須維護直接到數據中心的專用連接,這為本應更簡單的解決方案增加了艱辛:

640 (3).png

現在CNI已經支持云環(huán)境,該公司可打開一個直接到Cloudflare的專用云鏈路,而非接入其數據中心。這允許該公司使用Cloudflare作為其所有資源之間的真正中介,他們可以依靠Cloudflare管理所有資源的防火墻、訪問策略和路由,將需要管理的路由供應商數目減少到一個:Cloudflare!

640 (4).png

在一切都直連到Cloudflare后,這家公司就可以通過Magic WAN管理他們的跨資源路由和防火墻,直接在Access中設置用戶策略,通過Gateway設置經Cloudflare覆蓋的285個數據中心中的任何一個到公共互聯網的出口策略。所有辦公室和云都在一個密不透風的網絡上相互通信,沒有公共訪問或公共共享的對等連接鏈路,最重要的是,所有這些安全和隱私努力對用戶是完全透明的。

讓我們來談談如何讓您的云與我們進行連接。

快速云連接

云連接最重要的一點是它應有的簡單程度:您不應該花費大量時間等待交叉連接出現、獲取LOA、監(jiān)視光級別以及在配置連接時通常會做的所有事情。從云提供商獲得連接應該是云原生的:您應該能夠直接從現有門戶配置云連接,并遵循現有的直接云連接步驟。

這就是為什么我們的全新云支持使連接到Cloudflare更加容易。我們現在支持與IBM、AWS、Azure、Google Cloud和OCI的直接云連接,這樣您就可以像連接數據中心一樣,從您的云提供商直接連接到Cloudflare。將專用連接轉移到Cloudflare意味著你不必再維護自己的基礎設施,Cloudflare成為你的基礎設施,這樣您不必考慮為設備訂購交叉連接,獲得LOA,或檢查光級別。讓我們通過一個使用Google Cloud的示例來演示這有多容易。

在任何云中配置連接的第一步是請求連接。對于Google Cloud,在VPC網絡詳情中選擇“專用服務連接”即可:

640 (5).png

這將允許您選擇一個合作伙伴連接或直接連接。對于使用Cloudflare的情況,您應該選擇一個合作伙伴連接。按照說明選擇連接區(qū)域和數據中心地點后,您會得到一個“連接ID”,Google Cloud和Cloudflare使用它來識別與您的VPC之間的專用連接:

640 (6).png

在這個截圖中,您會注意到它提示您需要在合作伙伴端配置連接。在這種情況下,您可以使用這個key在一個現有鏈路上自動配置一個虛擬連接。配置過程包括五個步驟:

1、為您的連接分配唯一的VLAN,以確保專用連接

2、為BGP點對點連接分配唯一的IP地址

3、在Cloudflare端配置BGP連接

4、將此信息傳回Google Cloud并創(chuàng)建連接

5、在VPC上接受連接并完成BGP配置

所有這些步驟是在幾秒內自動執(zhí)行的,因此在您獲得IP地址和VLAN時,Cloudflare已經配置好我們這一端的連接。當您接受和配置連接時,一切將已準備就緒,可輕松開始通過Cloudflare私密地路由您的流量。

現在,您已經完成了連接的設置。讓我們來談談到云實例的專用連接如何與您的所有Cloudflare One產品集成。

通過Magic WAN實現私有路由

Magic WAN與Cloud CNI高度集成,允許客戶將他們的VPC直接連接到用Magic WAN構建的專用網絡。由于路由是私有的,您甚至可以發(fā)布為內部路由保留的私有地址空間,例如10.0.0.0/8空間。

以前,您的云VPC需要是可公共尋址的。但是,通過Cloud CNI,我們分配一個點對點的IP范圍,您可向Cloudflare宣告您的內部空間,Magic WAN將流量路由到您的內部地址空間。

通過Access保護身份驗證

許多客戶喜歡Cloudflare Tunnel和Access的結合,因為這提供了到云提供商托管身份認證服務器的安全路徑。但是,如果您的身份驗證服務器根本不需要公開可訪問呢?使用Access+Cloud CNI,您可以將自己的認證服務連接到Cloudflare,然后Access將通過專用路徑將您的所有認證流量路由回您的服務,不需要通過公共互聯網。

通過Gateway管理您的云出站流量

雖然您可能要保護您的云服務,不被任何不在您的網絡上的人訪問,但有時您的云服務仍需要與公共互聯網通信。幸運的是,Gateway可以助您一臂之力。通過Cloud CNI,您可以獲得到Cloudflare的專用路徑,Cloudflare將管理您的所有出口策略,確保您可以在監(jiān)測其他所有離開網絡的流量的同一地方仔細觀察您的云服務出站流量。

Cloud CNI:安全、高性能、簡易

Cloudflare致力于讓Zero Trust和網絡安全變得簡易和低調。Cloud CNI是確保您實現便捷網絡部署的一個重要步驟,讓您無需費心思考如何構建您的網絡,讓您可以有更多精力去關注網絡上的流量狀況。

立即登錄,閱讀全文
原文鏈接:點擊前往 >
文章來源:Cloudflare
版權說明:本文內容來自于Cloudflare,本站不擁有所有權,不承擔相關法律責任。文章內容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權,請聯系管理員(zzx@kchuhai.com)刪除!
優(yōu)質服務商推薦
更多
掃碼登錄
打開掃一掃, 關注公眾號后即可登錄/注冊
加載中
二維碼已失效 請重試
刷新
賬號登錄/注冊
小程序
快出海小程序
公眾號
快出海公眾號
商務合作
商務合作
投稿采訪
投稿采訪
出海管家
出海管家