對CIO們來說����,聯(lián)網(wǎng)是一個常常變得難上加難的過程���。企業(yè)網(wǎng)絡(luò)需要連接的東西太多了�,而且每一個都需要以不同的方式進行連接����。
對CIO們來說,聯(lián)網(wǎng)是一個常常變得難上加難的過程����。企業(yè)網(wǎng)絡(luò)需要連接的東西太多了,而且每一個都需要以不同的方式進行連接:用戶設(shè)備需要通過安全Web網(wǎng)關(guān)進行受管連接����,辦公室需要使用公共互聯(lián)網(wǎng)或?qū)S眠B接進行連接���,數(shù)據(jù)中心需要使用自己的專用或公共連接進行管理���,除此以外�,您還必須管理云連接����!管理所有這些不同場景的連接性及其所有隱私和合規(guī)需求可能會令人沮喪,而您只不過希望以一種非侵入性的方式讓用戶私密����、安全地訪問其資源。
Cloudflare通過Cloudflare One幫助簡化您的連接過程�����。今天��,我們隆重推出通過Cloudflare Network Interconnect(CNI)對直接云互連的支持�����,讓Cloudflare成為您所有互連需求的一站式部署中心�。
使用IBM Cloud、Google Cloud、Azure���、Oracle Cloud Infrastructure和Amazon Web Services的客戶現(xiàn)在都可以從其私有云實例直接連接到Cloudflare���。本文將介紹:為什么直接云互連如此重要,Cloudflare如何使其變得簡單�����,Cloudflare如何將直接云連接與我們現(xiàn)有的Cloudflare One產(chǎn)品集成�,從而將您的企業(yè)網(wǎng)絡(luò)安全性提升到新的水平。
公共云中的隱私
公共云計算提供商的理念是����,他們提供的計算能力可以被任何人使用:您的云VM和我的云VM可以在同一臺機器上相鄰運行,而我們都不知情�����。對于進出這些云的數(shù)據(jù)而言��,情況同樣如此:您的數(shù)據(jù)和我的數(shù)據(jù)可能在同一線路上傳輸����,彼此交錯��,我們誰也不知道正在發(fā)生這樣的情況。
這種忽略“所有權(quán)”的處理方式在某種程度上確實很“方便”�,但同時也有可怕的一面:我們都不需要運行物理機器,購買自己的連接����,但我們不能確定我們的數(shù)據(jù)和計算過程如何或在哪里存在,唯一能確定的是它們與數(shù)百萬其他用戶一起存在于同一個數(shù)據(jù)中心��。
對于許多企業(yè)來說����,這是不可接受的:企業(yè)需要對自己的數(shù)據(jù)擁有唯一訪問權(quán)限。也許在公共云上運行的是不能公開訪問用戶支付數(shù)據(jù)����,必須要有專門的訪問權(quán)限設(shè)定;也許出于各地方政府合規(guī)性的要求�,云中存儲的數(shù)據(jù)不能連接到公共網(wǎng)絡(luò);也許用戶就是會不放心把數(shù)據(jù)存放在公共云或公共的網(wǎng)絡(luò)鏈接上-客戶需要一個只有自己才能訪問的私有云:虛擬私有云(VPC)����。
為了幫助解決這個問題,并確保只有數(shù)據(jù)所有者才能訪問需要具備私密性保護的云計算��,云提供商開發(fā)了專有云互連:從云到客戶端的直連線路。您可能知道這些產(chǎn)品的名稱:AWS的產(chǎn)品稱為DirectConnect����,Azure的產(chǎn)品稱為ExpressRoute,GCP的產(chǎn)品稱為Cloud Interconnect����,OCI的產(chǎn)品稱為FastConnect,IBM的產(chǎn)品稱為DirectLink�����。通過提供到客戶數(shù)據(jù)中心的專用云連接�,云解決了客戶的主要痛點:以專用方式提供計算。通過這些專用鏈路�����,VPC只能從接入的企業(yè)網(wǎng)絡(luò)訪問���,提供了物理隔離的安全性����,同時允許客戶將數(shù)據(jù)中心的運營和維護移交給云����。
公共互聯(lián)網(wǎng)上的隱私
但是���,雖然VPC和直接云互連已經(jīng)解決了基礎(chǔ)設(shè)施遷移到云的問題,但隨著企業(yè)網(wǎng)絡(luò)脫離本地部署��,云帶來了一個全新的挑戰(zhàn):如果要脫離連接所有資源的企業(yè)網(wǎng)絡(luò)���,我該如何繼續(xù)擁有安全的專用云連接?
讓我們通過一家連接數(shù)據(jù)中心����、辦公室和Azure實例的示例公司說明。今天���,這家公司可能有遠程用戶連接到駐留在數(shù)據(jù)中心�、辦公室或云實例中的應(yīng)用程序�����。辦公室的用戶可以連接到云中的應(yīng)用程序����,現(xiàn)在所有這些都由公司管理���。為此,他們可能會使用VPN����,在訪問必要的應(yīng)用程序之前將遠程用戶通過隧道連接到數(shù)據(jù)中心或辦公室。辦公室和數(shù)據(jù)中心往往通過從連接供應(yīng)商租用的MPLS線路連接��。然后還有通過IBM DirectLink連接的私有IBM實例?��,F(xiàn)在CIO已經(jīng)需要管理三個不同的連接服務(wù)提供商�,我們甚至還沒有開始討論內(nèi)部應(yīng)用程序的安全訪問策略��,連接不同辦公地點網(wǎng)絡(luò)的防火墻����,以及在提供商基礎(chǔ)上實施MPLS路由。
Cloudflare One幫助簡化這一過程����,允許企業(yè)將Cloudflare作為適用于所有不同連接選項的網(wǎng)絡(luò)。您需要做的就是管理到Cloudflare的連接��,無需費神處理跨地理位置和云之間的連接�。
WARP為遠程用戶管理連接����,Cloudflare Network Interconnect提供從數(shù)據(jù)中心和辦公室到Cloudflare的專用連接���,所有這些都可以通過監(jiān)管應(yīng)用程序的Access策略和Magic WAN來管理以提供路由��,讓您的用戶到達他們需要去的地方��。通過Cloudflare One����,我們成功將連接過程簡化成如下的樣子:
在此之前��,對于擁有私有云的用戶��,要么將云實例暴露到公共互聯(lián)網(wǎng)上�����,要么通過將私有云實例連接到他們的數(shù)據(jù)中心而不是直接連接到Cloudflare來維持非最優(yōu)路由���。這意味著,那些客戶必須維護直接到數(shù)據(jù)中心的專用連接��,這為本應(yīng)更簡單的解決方案增加了艱辛:
現(xiàn)在CNI已經(jīng)支持云環(huán)境,該公司可打開一個直接到Cloudflare的專用云鏈路�����,而非接入其數(shù)據(jù)中心�。這允許該公司使用Cloudflare作為其所有資源之間的真正中介,他們可以依靠Cloudflare管理所有資源的防火墻�����、訪問策略和路由����,將需要管理的路由供應(yīng)商數(shù)目減少到一個:Cloudflare!
在一切都直連到Cloudflare后����,這家公司就可以通過Magic WAN管理他們的跨資源路由和防火墻,直接在Access中設(shè)置用戶策略��,通過Gateway設(shè)置經(jīng)Cloudflare覆蓋的285個數(shù)據(jù)中心中的任何一個到公共互聯(lián)網(wǎng)的出口策略����。所有辦公室和云都在一個密不透風的網(wǎng)絡(luò)上相互通信����,沒有公共訪問或公共共享的對等連接鏈路�,最重要的是,所有這些安全和隱私努力對用戶是完全透明的�����。
讓我們來談?wù)勅绾巫屇脑婆c我們進行連接�。
快速云連接
云連接最重要的一點是它應(yīng)有的簡單程度:您不應(yīng)該花費大量時間等待交叉連接出現(xiàn)、獲取LOA�、監(jiān)視光級別以及在配置連接時通常會做的所有事情。從云提供商獲得連接應(yīng)該是云原生的:您應(yīng)該能夠直接從現(xiàn)有門戶配置云連接����,并遵循現(xiàn)有的直接云連接步驟���。
這就是為什么我們的全新云支持使連接到Cloudflare更加容易��。我們現(xiàn)在支持與IBM����、AWS�����、Azure、Google Cloud和OCI的直接云連接����,這樣您就可以像連接數(shù)據(jù)中心一樣,從您的云提供商直接連接到Cloudflare�����。將專用連接轉(zhuǎn)移到Cloudflare意味著你不必再維護自己的基礎(chǔ)設(shè)施�����,Cloudflare成為你的基礎(chǔ)設(shè)施��,這樣您不必考慮為設(shè)備訂購交叉連接��,獲得LOA����,或檢查光級別。讓我們通過一個使用Google Cloud的示例來演示這有多容易����。
在任何云中配置連接的第一步是請求連接。對于Google Cloud,在VPC網(wǎng)絡(luò)詳情中選擇“專用服務(wù)連接”即可:
這將允許您選擇一個合作伙伴連接或直接連接�。對于使用Cloudflare的情況,您應(yīng)該選擇一個合作伙伴連接��。按照說明選擇連接區(qū)域和數(shù)據(jù)中心地點后���,您會得到一個“連接ID”����,Google Cloud和Cloudflare使用它來識別與您的VPC之間的專用連接:
在這個截圖中����,您會注意到它提示您需要在合作伙伴端配置連接。在這種情況下����,您可以使用這個key在一個現(xiàn)有鏈路上自動配置一個虛擬連接。配置過程包括五個步驟:
1�、為您的連接分配唯一的VLAN��,以確保專用連接
2����、為BGP點對點連接分配唯一的IP地址
3、在Cloudflare端配置BGP連接
4、將此信息傳回Google Cloud并創(chuàng)建連接
5����、在VPC上接受連接并完成BGP配置
所有這些步驟是在幾秒內(nèi)自動執(zhí)行的,因此在您獲得IP地址和VLAN時��,Cloudflare已經(jīng)配置好我們這一端的連接�。當您接受和配置連接時,一切將已準備就緒���,可輕松開始通過Cloudflare私密地路由您的流量��。
現(xiàn)在��,您已經(jīng)完成了連接的設(shè)置��。讓我們來談?wù)劦皆茖嵗膶S眠B接如何與您的所有Cloudflare One產(chǎn)品集成����。
通過Magic WAN實現(xiàn)私有路由
Magic WAN與Cloud CNI高度集成�����,允許客戶將他們的VPC直接連接到用Magic WAN構(gòu)建的專用網(wǎng)絡(luò)���。由于路由是私有的����,您甚至可以發(fā)布為內(nèi)部路由保留的私有地址空間,例如10.0.0.0/8空間����。
以前,您的云VPC需要是可公共尋址的��。但是���,通過Cloud CNI�,我們分配一個點對點的IP范圍����,您可向Cloudflare宣告您的內(nèi)部空間�,Magic WAN將流量路由到您的內(nèi)部地址空間���。
通過Access保護身份驗證
許多客戶喜歡Cloudflare Tunnel和Access的結(jié)合���,因為這提供了到云提供商托管身份認證服務(wù)器的安全路徑。但是��,如果您的身份驗證服務(wù)器根本不需要公開可訪問呢?使用Access+Cloud CNI,您可以將自己的認證服務(wù)連接到Cloudflare��,然后Access將通過專用路徑將您的所有認證流量路由回您的服務(wù)����,不需要通過公共互聯(lián)網(wǎng)��。
通過Gateway管理您的云出站流量
雖然您可能要保護您的云服務(wù),不被任何不在您的網(wǎng)絡(luò)上的人訪問�,但有時您的云服務(wù)仍需要與公共互聯(lián)網(wǎng)通信��。幸運的是����,Gateway可以助您一臂之力�����。通過Cloud CNI,您可以獲得到Cloudflare的專用路徑�,Cloudflare將管理您的所有出口策略��,確保您可以在監(jiān)測其他所有離開網(wǎng)絡(luò)的流量的同一地方仔細觀察您的云服務(wù)出站流量。
Cloud CNI:安全����、高性能�、簡易
Cloudflare致力于讓Zero Trust和網(wǎng)絡(luò)安全變得簡易和低調(diào)���。Cloud CNI是確保您實現(xiàn)便捷網(wǎng)絡(luò)部署的一個重要步驟,讓您無需費心思考如何構(gòu)建您的網(wǎng)絡(luò)�,讓您可以有更多精力去關(guān)注網(wǎng)絡(luò)上的流量狀況��。
閩公網(wǎng)安備 35010202001226號
