今天我们很高兴宣布Cloudflare Magic Transit。Magic Transit为互联网提供安全、高效、可靠的IP连接。现成的Magic Transit部署在您的本地网络前面，可保护其免受DDoS攻击，并支持提供全套虚拟网络功能，包括高级数据包过滤、负载平衡和流量管理工具。Magic Transit基于您熟悉的标准和网络原语构建，但它是从Cloudflare的全球边缘网络作为服务提供的。通过anycast和BGP，Cloudflare网络接收流量，公布公司的IP地址空间，并在全球范围内扩展您的网络。今天，我们的anycast edge网络遍布全球90多个国家的193个城市。一旦数据包到达我们的网络，流量将被检查是否有攻击，过滤，引导，加速，并发送到源站。Magic Transit将通过通用路由封装（GRE）隧道、专用网络互连（PNI）或其他形式的对等方式连接回您的原始基础设施。在部署IP网络服务时，企业常常被迫在性能和安全性之间做出选择。Magic Transit的设计初衷是为了最大限度地减少这些权衡：性能和安全性在一起会更好。Magic Transit在我们的整个全球网络中部署IP安全服务。这意味着不再将流量转移到少量的远程"清理中心"或依赖内部硬件来减轻对您的基础设施。我们自从2010年Cloudflare成立以来，就一直在为Magic Transit打下基础。Cloudflare所构建的IP网络的扩展和安全性需要一些工具，而这些工具本来是不可能购买的，或者价格过高。所以我们自己制造工具！我们成长在软件定义的网络和网络功能虚拟化的时代，这些现代概念背后的原则贯穿于我们的一切做。什么时候我们与管理内部网络的客户交谈时，经常听到一些事情：建立和管理他们的网络既昂贵又痛苦，而且这些内部网络不会很快消失。传统上，首席信息官们试图将他们的IP网络连接到互联网上，这是分两次完成的步骤：源连接从运输供应商（ISP）到Internet。购买、操作和维护网络功能特定的硬件设备。想想硬件负载平衡器、防火墙、DDoS缓解设备、WAN优化，以及更多。每个人这些盒子需要花费时间和金钱来维护，更不用说需要熟练、昂贵的人来正确操作它们。链中每增加一个环节，网络就更难管理。这个我们听上去都很熟悉。我们有一个啊哈！时刻：我们在管理为我们所有产品提供动力的数据中心网络时遇到了同样的问题，我们花了大量的时间和精力来构建这些问题的解决方案。九年后的今天，我们有了一套强大的工具，我们可以把它变成我们自己的产品顾客。魔术Transit旨在将传统的数据中心硬件模型引入云端，将Transit与您可能需要保持网络快速、可靠和安全的所有网络"硬件"打包在一起。一旦部署，Magic Transit就可以无缝地提供虚拟化网络功能，包括路由、DDoS缓解、防火墙、负载平衡和流量加速服务。魔术Transit是您的网络通向Internet的入口Magic Transit通过充当"前端"提供其连接性、安全性和性能优势你的IP网络之门。这意味着它接受发往你的网络的IP包，处理它们，然后把它们输出到你的源站基础设施。连接通过Cloudflare接入互联网有许多好处。从最基本的开始，Cloudflare是Internet上连接最广泛的网络之一。我们与世界各地的运营商、互联网交换和对等合作伙伴合作，以确保我们网络中的一部分能够快速可靠地到达目的地，无论目的地部署示例：acmecorplet介绍了客户如何部署Magic Transit。客户Acme Corp.拥有IP前缀203.0.113.0/24，他们使用该前缀来处理在自己的物理数据中心运行的一系列硬件。Acme目前公布了从他们的客户设备（CPE，也就是数据中心外围的路由器）到互联网的路由，告诉世界203.0.113.0/24可以从他们的自治系统号AS64512获得。Acme已启用DDoS缓解和防火墙硬件设备-前提。极致希望连接到Cloudflare网络以提高其自身网络的安全性和性能。具体地说，他们一直是分布式拒绝服务攻击的目标，他们希望在晚上睡得安稳，而不依赖内部硬件。这就是Cloudflare的来历正在部署他们网络前面的神奇过境点是简单：Cloudflare使用边界网关协议（BGP）宣布Acme的203.0.113.0/24前缀来自Cloudflare的edge，用Acme的许可。Cloudflare开始摄取发往Acme IP的包前缀。魔法Transit对网络流量应用DDoS缓解和防火墙规则。它被Cloudflare网络摄取后，从HTTPS缓存和WAF检查中获益的流量可以"升级"到我们的第7层HTTPS管道，而不需要额外的网络啤酒花。极致希望Cloudflare使用通用路由封装（GRE）将流量从Cloudflare网络传输回Acme的数据中心。GRE隧道从anycast端点发起，返回Acme的前提。通过anycast的魔力，隧道不断地同时连接到数百个网络位置，确保隧道具有高度的可用性和对网络故障的弹性，这些故障会导致传统的GRE崩溃隧道。云闪在这些GRE隧道上，出口包裹到达顶点。让我们深入了解一下Magic Transit中如何包含DDoS缓解好的。魔法传输保护网络免受DDoS攻击部署Cloudflare Magic Transit的客户可以立即访问过去9年来保护Cloudflare网络的同一IP层DDoS保护系统。这是同一个缓解系统，阻止了942Gbps的攻击，在几秒钟内就死掉了。在1.3Tbps的攻击摧毁Github之前的几天，这个缓解系统就知道如何阻止memcached的放大攻击，Github没有Cloudflare做后盾。这是我们每天都信任的保护Cloudflare的缓解措施，现在它保护了您的网络。Cloudflare在OSI层模型的所有层都保护了第7层HTTP和HTTPS应用程序免受攻击。我们的客户已经了解和喜爱的DDoS保护依赖于多种技术的混合，但可以分成几个互补的部分防御：选播和我们的网络遍布全球193个城市，使我们的网络能够接近用户和攻击者，允许我们吸收靠近源的流量，而不会产生明显的延迟。30+Tbps的网络容量允许我们在靠近源的地方吸收大量流量。Cloudflare的网络比Akamai Prolexic、Imperva、Neustar和Radware具有更大的阻止DDoS攻击的能力-合并。我们的HTTPS反向代理通过终止连接并重新建立到源站的连接来吸收L3（IP层）和L4（TCP层）攻击。这就阻止了大多数虚假的数据包传输接近客户的来源服务器层7缓解和速率限制阻止HTTPS应用程序的洪水层。看仔细看上面的描述，你可能会注意到：我们的反向代理服务器通过终止连接来保护我们的客户，但我们的网络和服务器仍然受到我们代表客户停止的L3和4攻击的猛烈攻击。我们如何保护我们自己的基础设施免受这些攻击？进入Gatebot！Gatebot是一套软件，运行在我们运营的193个城市的每个数据中心内的每台服务器上，不断分析并阻止攻击流量。Gatebot的一个优点是它简单的体系结构；它静默地等待数据包从网卡传递到内核并进入用户空间。Gatebot没有学习或热身期。一旦检测到攻击，它就会指示正在运行的机器的内核丢弃数据包，记录其决策，然后移动在历史上，如果您想保护您的网络免受DDoS攻击，您可能已经购买了一块专门的硬件来安装在网络的外围。这个硬件箱（我们称之为"DDoS防护箱"）将非常昂贵，看起来很漂亮（就像2U硬件箱一样漂亮），并且需要大量重复性的努力和资金来维持它的运转，保持其许可证的最新性，并保持其攻击检测系统的准确性和训练有素。首先，它必须被仔细监视，以确保它停止了攻击，但没有阻止合法的流量。另一方面，如果攻击者设法产生足够的流量，使您的数据中心到Internet的传输链路饱和，那么您就走运了；数据中心内没有一个设备可以保护您免受攻击，该攻击产生的流量足以阻塞从外部到数据中心的链路本身。很早在上，Cloudflare考虑购买DDoS保护箱来保护我们的各个网络位置，但很快就排除了这种可能性。购买硬件将产生巨大的成本和复杂性。此外，购买、跟踪和管理专用硬件使网络难以扩展。一定有更好的办法。我们着手解决这个问题，从第一原则和现代技术。到为了使我们的现代DDoS抵御方法发挥作用，我们必须发明一套工具和技术，以便在