Cloud CNI将您的云私密地连接到Cloudflare

对CIO们来说，联网是一个常常变得难上加难的过程。企业网络需要连接的东西太多了，而且每一个都需要以不同的方式进行连接：用户设备需要通过安全Web网关进行受管连接，办公室需要使用公共互联网或专用连接进行连接，数据中心需要使用自己的专用或公共连接进行管理，除此以外，您还必须管理云连接！管理所有这些不同场景的连接性及其所有隐私和合规需求可能会令人沮丧，而您只不过希望以一种非侵入性的方式让用户私密、安全地访问其资源。

Cloudflare通过Cloudflare One帮助简化您的连接过程。今天，我们隆重推出通过Cloudflare Network Interconnect（CNI）对直接云互连的支持，让Cloudflare成为您所有互连需求的一站式部署中心。

使用IBM Cloud、Google Cloud、Azure、Oracle Cloud Infrastructure和Amazon Web Services的客户现在都可以从其私有云实例直接连接到Cloudflare。本文将介绍：为什么直接云互连如此重要，Cloudflare如何使其变得简单，Cloudflare如何将直接云连接与我们现有的Cloudflare One产品集成，从而将您的企业网络安全性提升到新的水平。

公共云中的隐私

公共云计算提供商的理念是，他们提供的计算能力可以被任何人使用：您的云VM和我的云VM可以在同一台机器上相邻运行，而我们都不知情。对于进出这些云的数据而言，情况同样如此：您的数据和我的数据可能在同一线路上传输，彼此交错，我们谁也不知道正在发生这样的情况。

这种忽略“所有权”的处理方式在某种程度上确实很“方便”，但同时也有可怕的一面：我们都不需要运行物理机器，购买自己的连接，但我们不能确定我们的数据和计算过程如何或在哪里存在，唯一能确定的是它们与数百万其他用户一起存在于同一个数据中心。

对于许多企业来说，这是不可接受的：企业需要对自己的数据拥有唯一访问权限。也许在公共云上运行的是不能公开访问用户支付数据，必须要有专门的访问权限设定；也许出于各地方政府合规性的要求，云中存储的数据不能连接到公共网络；也许用户就是会不放心把数据存放在公共云或公共的网络链接上-客户需要一个只有自己才能访问的私有云：虚拟私有云（VPC）。

为了帮助解决这个问题，并确保只有数据所有者才能访问需要具备私密性保护的云计算，云提供商开发了专有云互连：从云到客户端的直连线路。您可能知道这些产品的名称：AWS的产品称为DirectConnect，Azure的产品称为ExpressRoute，GCP的产品称为Cloud Interconnect，OCI的产品称为FastConnect，IBM的产品称为DirectLink。通过提供到客户数据中心的专用云连接，云解决了客户的主要痛点：以专用方式提供计算。通过这些专用链路，VPC只能从接入的企业网络访问，提供了物理隔离的安全性，同时允许客户将数据中心的运营和维护移交给云。

公共互联网上的隐私

但是，虽然VPC和直接云互连已经解决了基础设施迁移到云的问题，但随着企业网络脱离本地部署，云带来了一个全新的挑战：如果要脱离连接所有资源的企业网络，我该如何继续拥有安全的专用云连接？

让我们通过一家连接数据中心、办公室和Azure实例的示例公司说明。今天，这家公司可能有远程用户连接到驻留在数据中心、办公室或云实例中的应用程序。办公室的用户可以连接到云中的应用程序，现在所有这些都由公司管理。为此，他们可能会使用VPN，在访问必要的应用程序之前将远程用户通过隧道连接到数据中心或办公室。办公室和数据中心往往通过从连接供应商租用的MPLS线路连接。然后还有通过IBM DirectLink连接的私有IBM实例。现在CIO已经需要管理三个不同的连接服务提供商，我们甚至还没有开始讨论内部应用程序的安全访问策略，连接不同办公地点网络的防火墙，以及在提供商基础上实施MPLS路由。

Cloudflare One帮助简化这一过程，允许企业将Cloudflare作为适用于所有不同连接选项的网络。您需要做的就是管理到Cloudflare的连接，无需费神处理跨地理位置和云之间的连接。

WARP为远程用户管理连接，Cloudflare Network Interconnect提供从数据中心和办公室到Cloudflare的专用连接，所有这些都可以通过监管应用程序的Access策略和Magic WAN来管理以提供路由，让您的用户到达他们需要去的地方。通过Cloudflare One，我们成功将连接过程简化成如下的样子：

在此之前，对于拥有私有云的用户，要么将云实例暴露到公共互联网上，要么通过将私有云实例连接到他们的数据中心而不是直接连接到Cloudflare来维持非最优路由。这意味着，那些客户必须维护直接到数据中心的专用连接，这为本应更简单的解决方案增加了艰辛：

现在CNI已经支持云环境，该公司可打开一个直接到Cloudflare的专用云链路，而非接入其数据中心。这允许该公司使用Cloudflare作为其所有资源之间的真正中介，他们可以依靠Cloudflare管理所有资源的防火墙、访问策略和路由，将需要管理的路由供应商数目减少到一个：Cloudflare！

在一切都直连到Cloudflare后，这家公司就可以通过Magic WAN管理他们的跨资源路由和防火墙，直接在Access中设置用户策略，通过Gateway设置经Cloudflare覆盖的285个数据中心中的任何一个到公共互联网的出口策略。所有办公室和云都在一个密不透风的网络上相互通信，没有公共访问或公共共享的对等连接链路，最重要的是，所有这些安全和隐私努力对用户是完全透明的。

让我们来谈谈如何让您的云与我们进行连接。

快速云连接

云连接最重要的一点是它应有的简单程度：您不应该花费大量时间等待交叉连接出现、获取LOA、监视光级别以及在配置连接时通常会做的所有事情。从云提供商获得连接应该是云原生的：您应该能够直接从现有门户配置云连接，并遵循现有的直接云连接步骤。

这就是为什么我们的全新云支持使连接到Cloudflare更加容易。我们现在支持与IBM、AWS、Azure、Google Cloud和OCI的直接云连接，这样您就可以像连接数据中心一样，从您的云提供商直接连接到Cloudflare。将专用连接转移到Cloudflare意味着你不必再维护自己的基础设施，Cloudflare成为你的基础设施，这样您不必考虑为设备订购交叉连接，获得LOA，或检查光级别。让我们通过一个使用Google Cloud的示例来演示这有多容易。

在任何云中配置连接的第一步是请求连接。对于Google Cloud，在VPC网络详情中选择“专用服务连接”即可：

这将允许您选择一个合作伙伴连接或直接连接。对于使用Cloudflare的情况，您应该选择一个合作伙伴连接。按照说明选择连接区域和数据中心地点后，您会得到一个“连接ID”，Google Cloud和Cloudflare使用它来识别与您的VPC之间的专用连接：

在这个截图中，您会注意到它提示您需要在合作伙伴端配置连接。在这种情况下，您可以使用这个key在一个现有链路上自动配置一个虚拟连接。配置过程包括五个步骤：

1、为您的连接分配唯一的VLAN，以确保专用连接

2、为BGP点对点连接分配唯一的IP地址

3、在Cloudflare端配置BGP连接

4、将此信息传回Google Cloud并创建连接

5、在VPC上接受连接并完成BGP配置

所有这些步骤是在几秒内自动执行的，因此在您获得IP地址和VLAN时，Cloudflare已经配置好我们这一端的连接。当您接受和配置连接时，一切将已准备就绪，可轻松开始通过Cloudflare私密地路由您的流量。

现在，您已经完成了连接的设置。让我们来谈谈到云实例的专用连接如何与您的所有Cloudflare One产品集成。

通过Magic WAN实现私有路由

Magic WAN与Cloud CNI高度集成，允许客户将他们的VPC直接连接到用Magic WAN构建的专用网络。由于路由是私有的，您甚至可以发布为内部路由保留的私有地址空间，例如10.0.0.0/8空间。

以前，您的云VPC需要是可公共寻址的。但是，通过Cloud CNI，我们分配一个点对点的IP范围，您可向Cloudflare宣告您的内部空间，Magic WAN将流量路由到您的内部地址空间。

通过Access保护身份验证

许多客户喜欢Cloudflare Tunnel和Access的结合，因为这提供了到云提供商托管身份认证服务器的安全路径。但是，如果您的身份验证服务器根本不需要公开可访问呢?使用Access+Cloud CNI，您可以将自己的认证服务连接到Cloudflare，然后Access将通过专用路径将您的所有认证流量路由回您的服务，不需要通过公共互联网。

通过Gateway管理您的云出站流量

虽然您可能要保护您的云服务，不被任何不在您的网络上的人访问，但有时您的云服务仍需要与公共互联网通信。幸运的是，Gateway可以助您一臂之力。通过Cloud CNI，您可以获得到Cloudflare的专用路径，Cloudflare将管理您的所有出口策略，确保您可以在监测其他所有离开网络的流量的同一地方仔细观察您的云服务出站流量。

Cloud CNI：安全、高性能、简易

Cloudflare致力于让Zero Trust和网络安全变得简易和低调。Cloud CNI是确保您实现便捷网络部署的一个重要步骤，让您无需费心思考如何构建您的网络，让您可以有更多精力去关注网络上的流量状况。

相关推荐: AdMob或AdSense账号遇到无效流量警告，我该做些什么呢？

导语 当开发者和网站发布商在账号后台的政策中心发现了因无效流量导致限制广告流量的警告，这是不是一个无解的情况呢？尤其对于刚刚使用AdMob或AdSense的用户来说，应该如何正确处理和理解此类情况的前因后果？本期文章，我们来集中谈谈“限流”警告政策以及如何修正…