Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor.com . Запуск сайта через несколько минут.

Этот пост также доступен на 简体中文, 日本語 и испанском языках.

Cloud CNI приватно подключает ваши облака к Cloudflare

Для ИТ-директоров сетевое взаимодействие — сложный процесс, который часто усложняют. В корпоративных сетях так много вещей, которые необходимо соединить, и каждое из них должно быть подключено по-разному: пользовательские устройства нуждаются в управляемом подключении через безопасный веб-шлюз, офисы должны быть подключены через общедоступный Интернет или выделенное подключение, центры обработки данных должны управляться с помощью их собственного частного или общедоступного подключения, а затем вам нужно управлять подключением к облаку вдобавок ко всему этому! Управлять подключением для всех этих различных сценариев и всеми их требованиями к конфиденциальности и соответствию требованиям может быть утомительно, когда все, что вы хотите сделать, это предоставить вашим пользователям доступ к своим ресурсам конфиденциально, безопасно и ненавязчивым образом.

Cloudflare помогает упростить историю подключения с помощью Cloudflare One. Сегодня мы рады объявить, что мы поддерживаем прямое облачное соединение с нашим сетевым соединением Cloudflare, что позволяет Cloudflare быть вашим универсальным магазином для всех ваших потребностей в соединении.

Клиенты, использующие IBM Cloud, Google Cloud, Azure, Oracle Cloud Infrastructure и Amazon Web Services, теперь могут открывать прямые подключения из своих частных облачных экземпляров к Cloudflare. В этом блоге мы поговорим о том, почему важно прямое облачное соединение, как Cloudflare упрощает его и как Cloudflare интегрирует прямое облачное соединение с нашими существующими продуктами Cloudflare One, чтобы обеспечить новый уровень безопасности ваших корпоративных сетей, построенных на вершине. из Cloudflare.

Конфиденциальность в общедоступном облаке

Поставщики общедоступных облачных вычислений основаны на идее, что вычислительная мощность, которую они предоставляют, может использоваться кем угодно: ваша облачная виртуальная машина и моя облачная виртуальная машина могут работать рядом друг с другом на одном компьютере, и никто из нас не узнает об этом. То же самое справедливо и для битов по проводу, входящих и исходящих из этих облаков: ваши и мои биты могут течь по одному и тому же проводу, перемежаясь друг с другом, и никто из нас не узнает, что это происходит.

Абстракция и отказ от собственности утешительны с одной стороны, но могут быть пугающими с другой: ни одному из нас не нужно запускать физическую машину и покупать собственное подключение, но у нас нет никаких гарантий относительно того, как и где живут наши данные и вычисления, за исключением того, что они живет в центре обработки данных с миллионами других пользователей.

Для многих предприятий это неприемлемо: предприятиям нужны вычислительные ресурсы, доступ к которым есть только у них. Возможно, вычисление в облаке хранит платежные данные, которые не могут быть общедоступными, и доступ к ним должен осуществляться через частное соединение. Возможно, у клиента облака есть требования соответствия из-за правительственных ограничений, которые требуют, чтобы облако было недоступно для общедоступного Интернета. Возможно, клиент просто не доверяет общедоступным облакам или общедоступному Интернету и хочет максимально ограничить воздействие. Клиентам нужно частное облако, доступ к которому имеют только они: виртуальное частное облако или VPC.

Чтобы помочь решить эту проблему и гарантировать, что только владельцы вычислений могут получить доступ к облачным вычислениям, которые должны оставаться конфиденциальными, облака разработали частные облачные соединения: прямые кабели от облаков к своим клиентам. Вы можете знать их по названиям продуктов: AWS называет их DirectConnect, Azure называет их ExpressRoute, Google Cloud называет их Cloud Interconnect, OCI называет их FastConnect, а IBM называет их Direct Link. Предоставляя частное облако для подключения к центру обработки данных клиента, облака удовлетворяют основные проблемы своих клиентов: предоставление вычислений в частном порядке. Благодаря этим частным каналам VPC доступны только из корпоративных сетей, к которым они подключены, что обеспечивает полную безопасность и позволяет клиентам передать операции и обслуживание центров обработки данных в облака.

Конфиденциальность в общедоступном Интернете

Но в то время как VPC и прямое подключение к облаку решили проблему переноса инфраструктуры в облако, по мере того как корпоративные сети переходят из локальных развертываний, облако ставит совершенно новую задачу: как сохранить подключения к частному облаку, если я получаю избавиться от моей корпоративной сети, которая соединяет все мои ресурсы вместе?

Возьмем в качестве примера компанию, которая объединяет центр обработки данных, офис и экземпляр Azure. Сегодня у этой компании могут быть удаленные пользователи, которые подключаются к приложениям, размещенным либо в центре обработки данных, либо в офисе, либо в облачном экземпляре. Пользователи в офисе могут подключаться к приложениям в облаке, и сегодня всем этим управляет компания. Для этого они могут использовать виртуальные частные сети, которые туннелируют удаленных пользователей в центр обработки данных или офис перед доступом к необходимым приложениям. Офис и центр обработки данных часто соединяются через линии MPLS, которые арендуются у поставщиков услуг связи. А еще есть частный экземпляр IBM, подключенный через IBM Direct Link. Это три разных провайдера подключения, которыми должны управлять ИТ-директора, и мы даже не начали говорить о политиках доступа для внутренних приложений, брандмауэрах для сети между зданиями и реализации маршрутизации MPLS поверх подложки провайдера.

Cloud CNI приватно подключает ваши облака к Cloudflare

Cloudflare One помогает упростить это, позволяя компаниям вставлять Cloudflare в качестве сети для всех различных вариантов подключения. Вместо того, чтобы запускать соединения между зданиями и облаками, все, что вам нужно сделать, это управлять своими соединениями с Cloudflare.

WARP управляет подключением для удаленных пользователей, Cloudflare Network Interconnect обеспечивает частное подключение из центров обработки данных и офисов к Cloudflare, и всем этим можно управлять с помощью политик доступа для приложений контроля и Magic WAN для обеспечения маршрутизации, которая доставит ваших пользователей туда, куда им нужно. идти. Когда мы выпустили Cloudflare One, мы смогли упростить историю подключения, чтобы она выглядела следующим образом:

Cloud CNI приватно подключает ваши облака к Cloudflare

Раньше пользователям частных облаков приходилось либо открывать свои облачные экземпляры в общедоступном Интернете, либо поддерживать неоптимальную маршрутизацию, оставляя свои частные облачные экземпляры подключенными к своим центрам обработки данных вместо прямого подключения к Cloudflare. Это означает, что эти клиенты должны поддерживать свои частные подключения непосредственно к своим центрам обработки данных, что усложняет решение, которое должно быть проще:

Cloud CNI приватно подключает ваши облака к Cloudflare

Теперь, когда CNI поддерживает облачные среды, эта компания может открыть ссылку на частное облако непосредственно в Cloudflare, а не в свой центр обработки данных. Это позволяет компании использовать Cloudflare в качестве настоящего посредника между всеми своими ресурсами, и они могут полагаться на Cloudflare для управления брандмауэрами, политиками доступа и маршрутизацией для всех своих ресурсов, сокращая количество поставщиков, которыми они должны управлять для маршрутизации. к одному: просто Cloudflare!

Cloud CNI приватно подключает ваши облака к Cloudflare

Как только все напрямую подключено к Cloudflare, эта компания может управлять маршрутизацией между ресурсами и межсетевыми экранами через Magic WAN, они могут устанавливать свои пользовательские политики непосредственно в Access, а также устанавливать политики выхода в общедоступный Интернет через любой из 250 Cloudflare. + дата-центры через Gateway. Все офисы и облака взаимодействуют друг с другом в герметично закрытой сети без публичного доступа или общедоступных пиринговых ссылок, и, что наиболее важно, все эти усилия по обеспечению безопасности и конфиденциальности выполняются полностью прозрачно для пользователя.

Итак, давайте поговорим о том, как мы можем подключить ваше облако к нам.

Быстрое подключение к облаку

Самое важное в подключении к облаку — это то, насколько простым оно должно быть: вам не нужно тратить много времени на ожидание кросс-соединений, получение LOA, мониторинг уровней освещенности и выполнение всего, что вы обычно делаете, когда предоставление возможности подключения. Подключение от вашего облачного провайдера должно быть облачным: вы должны просто иметь возможность предоставлять облачное подключение непосредственно из существующих порталов и следовать существующим шагам, изложенным для прямого облачного подключения.

Вот почему наша новая облачная поддержка еще больше упрощает подключение к Cloudflare. Теперь мы поддерживаем прямое подключение к облаку с IBM, AWS, Azure, Google Cloud и OCI, чтобы вы могли предоставлять подключения напрямую от вашего облачного провайдера к Cloudflare, как если бы вы подключались к центру обработки данных. Перемещение частных подключений в Cloudflare означает, что вам больше не нужно поддерживать собственную инфраструктуру, Cloudflare становится вашей инфраструктурой, поэтому вам не нужно беспокоиться о заказе кросс-соединений на ваши устройства, получении LOA или проверке уровней освещенности. Чтобы показать вам, насколько это просто, давайте рассмотрим пример того, как просто это сделать с помощью Google Cloud.

Первым шагом к обеспечению подключения в любом облаке является запрос на подключение. В Google Cloud вы можете сделать это, выбрав «Подключение частной службы» в деталях сети VPC:

Cloud CNI приватно подключает ваши облака к Cloudflare

Это позволит вам выбрать партнерское соединение или прямое соединение. В случае с Cloudflare вам следует выбрать партнерское соединение. Следуйте инструкциям, чтобы выбрать регион подключения и сайт центра обработки данных, и вы получите так называемый идентификатор подключения, который используется Google Cloud и Cloudflare для идентификации частного подключения к вашему VPC:

Cloud CNI приватно подключает ваши облака к Cloudflare

Вы заметите на этом снимке экрана, что вам нужно настроить соединение на стороне партнера. В этом случае вы можете взять этот ключ и использовать его для автоматической подготовки виртуального соединения поверх уже существующей ссылки. Процесс подготовки состоит из пяти шагов:

  1. Назначение уникальных VLAN для вашего соединения, чтобы обеспечить частное соединение
  2. Назначение уникальных IP-адресов для двухточечного соединения BGP
  3. Инициализация соединения BGP на стороне Cloudflare
  4. Передача этой информации обратно в Google Cloud и создание соединения
  5. Принятие подключения и завершение подготовки BGP на вашем VPC

Все эти шаги выполняются автоматически за считанные секунды, так что к тому времени, когда вы получите свой IP-адрес и VLAN, Cloudflare уже предоставит наш конец соединения. Когда вы примете и настроите соединение, все будет готово к работе, и вы легко сможете начать частную маршрутизацию своего трафика через Cloudflare.

Теперь, когда вы закончили настройку подключения, давайте поговорим о том, как частное подключение к вашим облачным экземплярам может интегрироваться со всеми вашими продуктами Cloudflare One.

Частная маршрутизация с Magic WAN

Magic WAN очень хорошо интегрируется с Cloud CNI, позволяя клиентам напрямую подключать свои VPC к частной сети, созданной с помощью Magic WAN. Поскольку маршрутизация является частной, вы даже можете объявить свои частные адресные пространства, зарезервированные для внутренней маршрутизации, например, ваше пространство 10.0.0.0/8.

Раньше ваш облачный VPC должен был быть общедоступным. Но с помощью Cloud CNI мы назначаем диапазон IP-адресов «точка-точка», и вы можете объявить свои внутренние пространства обратно в Cloudflare, а Magic WAN направит трафик на ваши внутренние адресные пространства!

Безопасная аутентификация с помощью Access

Многие клиенты любят Cloudflare Tunnel в сочетании с Access за безопасные пути к серверам аутентификации, размещенным у облачных провайдеров. Но что, если ваш сервер аутентификации вообще не должен быть общедоступным? С Access + Cloud CNI вы можете подключить свои службы аутентификации к Cloudflare, и Access направит весь ваш трафик аутентификации через частный путь обратно в вашу службу, не нуждаясь в общедоступном Интернете.

Управляйте выходом из облака с помощью Gateway

Хотя вы можете захотеть защитить свои облачные службы от доступа посторонних лиц за пределами вашей сети, иногда вашим облачным службам необходимо общаться с общедоступным Интернетом. К счастью для вас, Gateway вас покрывает, а с помощью Cloud CNI вы можете получить частный путь к Cloudflare, который будет управлять всеми вашими исходящими политиками, гарантируя, что вы сможете внимательно отслеживать исходящий трафик облачных сервисов из того же места, где вы отслеживаете весь остальной исходящий трафик. ваша сеть.

Облачный CNI: безопасный, производительный, простой

Cloudflare стремится сделать нулевое доверие и сетевую безопасность простыми и ненавязчивыми. Cloud CNI — это еще один шаг к тому, чтобы вашей сетью было так же легко управлять, как и всем остальным, чтобы вы могли перестать сосредотачиваться на том, как построить свою сеть, и начать фокусироваться на том, что происходит поверх нее.

Если вы заинтересованы в Cloud CNI, свяжитесь с нами сегодня, чтобы подключиться к удобному и простому миру Zero Trust.