Cloudflare 最近推出了自定义区域,这是对其区域服务的一次扩展,让客户可以精确定义数据在哪些地方被处理。通过按国家或地区选择特定的数据中心组合,客户可以确保 TLS 终止和应用层处理始终发生在指定的地理范围内,从而满足合规和数据控制需求。
这个新功能要求客户完成三件事:定义区域成员范围、将流量路由到区域内的目标节点,以及在边缘侧强制执行这些限制。Cloudflare 的系统工程师 Andrew Berglund 和产品负责人 Erik Engstrom 表示:
虽然我们预定义的 35 个区域已经能满足很多客户的需求,但数字世界并不是“一刀切”的。我们听到了大家的反馈:你们希望指定某个国家、组合多个国家,甚至从一个区域中排除某些国家。
根据官方介绍,自定义区域可以通过任意地理组合来定义。例如,一个区域可以包含北美(加拿大、美国和墨西哥),也可以排除这三个国家。甚至还可以基于一些“非传统”的标准来划分,比如所有使用华氏温度的国家(包括美国、巴哈马、开曼群岛、马绍尔群岛和利比里亚)。Berglund 和 Engstrom 补充说:
区域服务的核心其实很简单:TLS 终止和第 7 层处理只会发生在你指定的区域内。而自定义区域则进一步扩展了这个能力,让你可以自定义“区域”本身的定义方式。
在区域流量处理上,Cloudflare 的思路和 Azure、AWS 不太一样。传统云厂商通常是“以区域为中心”(region-first),在固定地理区域内的一部分数据中心部署资源;而 Cloudflare 是“以边缘为中心”(edge-first),在全球边缘网络上运行工作负载。不过,对于需要满足区域合规或希望控制数据驻留范围的客户,Cloudflare 仍然支持在指定区域内处理流量。
Cloudflare 对区域边界的执行方式是这样的:流量会先在离用户最近的数据中心接入并进行基础防护(包括全局接入和三层或四层的 DDoS 防护),然后系统会判断该请求是否属于配置的区域。如果属于,就在本地处理;如果不属于,就转发到符合条件的数据中心,在那里完成 TLS 终止和第 7 层处理。
虽然开发者通常很喜欢 Cloudflare“默认全球化”的简单体验,但这种引入区域限制的能力,往往被视为一种为了满足合规要求而做的权衡。在领英上,R5 Inteligência Digital 评论道:
当合规和延迟都变得重要时,细粒度的区域边界正在成为董事会层面的需求。自定义区域有助于团队把“策略意图”转化为可执行的运行控制。
来源:Cloudflare 博客
Custom Regions 的配置流程基于三个核心步骤:定义区域成员范围、选择区域内的目标节点,以及在边缘执行边界控制。
与 Cloudflare 管理的预定义区域不同,自定义区域通过表达式来定义区域成员。例如,可以使用 country_code(数据中心所在国家的 ISO 代码)来写规则。工程师可以定义包含规则,比如:country_code == "TR" 或 country_code in ["DE", "FR", "NL"]。也可以定义排除规则,比如:!(country_code in ["US", "CA", "MX"]) 。系统会根据这些表达式,对数据中心的元数据进行匹配,从而确定区域范围。
在选择区域内最佳目标节点时,Cloudflare 会在一组预先允许的数据中心中进行筛选,并结合每个入口点的实时网络质量、容量和健康状态等指标,选出最优的处理位置。
目前,这项新功能还不支持自助开通,客户需要联系对应的账户团队才能使用。
