转自:http://www.jfh.com/jfperiodical/article/1054
原文地址:https://blog.cloudflare.com/how-we-extended-cloudflares-performance-and-security-into-mainland-china/
原文作者:Matthew Prince
译者:杰微刊-张迪
CloudFlare是五年前研发的。在推出的第一年,最让我们意外的是全球对它的迫切需求。几乎从一开始,中国就成为我们网络流量来源的第二大国家,仅次于美国。
追溯过去,其实也没有什么好奇怪的。在2010年,我们正式推出CloudFlare的时候,中国已经有34%的人,或者说是4亿5千万人在上网了。如今,中国近半数的人都上网了。换句话说,中国有7亿的人在上网,中国的用户代表了全球四分之一的互联网用户。如果你的任务就像CloudFlare的那样,是帮助互联网变得更好,中国是一个不可忽略的国家。
因此,从2011年起,我们就开始调查CloudFlare如何能为中国互联网服务。四年后,我们高兴地宣布:CloudFlare的性能和安全平台已经成功拓展到了中国大陆。这就是我们的故事。
一、面临的挑战
将CloudFlare业务扩展到中国大陆面临3个方面主要的挑战:技术、经济和监管。
1、技术
从技术角度来看,尽管中国互联网相比世界其他地方的互联网也存在许多相似之处,但还有很大不同。与世界其它大多数地方网络不同,中国的路由是不开放的。中国的核心互联网接入在很大程度上是由两个互联网服务提供商提供:中国电信和中国联通。这些互联网服务提供商控制了整个国家的IP地址分配和内部路由。即使是中国互联网巨头也不能拥有自己的IP地址分配,或者使用BGP(边界网关协议)来控制整个中国的互联网路由。这使得我们通过CloudFlare的网络使用BGP
Anycast(任播)和许多其他路由技术的办法在中国都是行不通的。
与此同时,中国国内的互联网服务提供商内部和他们之间也存在瓶颈。例如,中国电信在很多省份经营很多不同的网络,其中有许多是独立运作的。这些网络之间的互连点,互联网服务提供商本身,都因为太多的流量与太少的容量之间的矛盾变得拥堵。不同的互联网服务提供商在不同省份之间的连接可以变得如此紧张,以至于有时,用跨越第三方网络后再返回来的方式,来管理境外流量会更高效一些。
2、经济
对一个服务提供商来说,中国互联网的技术挑战抬高了做生意的成本。由于互联网服务供应商之间在当地的市场动态、带宽的成本,尤其是Anycast带宽,是世界上费用最昂贵的宽带之一。此外,为了获得合适的性能,绕过拥挤,你需要大量的分布在全国的数据中心。一个新的、非中国本土的企业进入这个市场,不是一件容易的事。
一些非中国本土的云计算供应商都表示,在中国提供高质量的服务并不像在北京建立一个单点定位那么简单。事实上,当我们测试那些其他非中国本土的,声称已经在中国大陆占有一席之地的云提供商的产品性能时,我们惊奇地发现,中国网络流量往往是被发送到境外,通过美国的西海岸后再被传输回国(这就是所谓网络的转接)。这必然给每个请求增加了数百毫秒的响应时间,具有讽刺意味的是,常常可能使内容永远不被传输到。
要充分服务一个国家,就要有高成本的带宽,有大量数据中心节点,这都使得在中国境内提供服务非常昂贵。这些费用进一步增加了从境外进口设备进入这个国家的困难。
3、监管
和许多国家一样,中国法律禁止某些类型的内容在国内传播。虽然这些国家之间的政策差异很大,但为了维护当地操作,我们必须在操作过程中遵守每个国家当地的所有法律法规。在中国,任何一个想要在国内经营一个网站的组织都需要一个由中国工业和信息化部(工信部)颁发的互联网内容提供商(ICP)许可证。我们做了一个调查,内容是CloudFlare是否可能获得一个能覆盖我们所有客户的ICP许可证,结果确定的是,许可证需要签发在一个网站的基础上。这引入了大量的管理复杂性。
另一个技术和政策挑战涉及到要确定什么样的内容在中国可以用,什么样的内容不能用。在CloudFlare上,我们根本不认为自己应该作为成为一个互联网审查者。我们严格遵守当地法规的同是时,我们为能呈现一个自由和开放的互联网而小心翼翼地进行操作。虽然我们可能无法传播中国的某些内容,或任何其他国家都可能会禁止的某些内容,我们还是会继续让它在其他互联网上存在。
做完客户群的调查后,我们认为,超过99%的客户的网站在中国本地是可用的。这为我们提供了一个巨大的机会,那就是去为了中国7亿互联网用户,增加数以百万个网站的性能和安全。与此同时,那些不符合我们的客户允许的服务将继续在中国境外的网络上服务,其性能和安全性的水平既不会更好也不会更坏。
二、寻求合作
这些挑战明确表明,我们无法靠自己的力量进入中国市场。怎样将CloudFlare的性能和安全引进中国大陆?寻找合作伙伴,将自己的服务转售进入中国。这种方法的问题是,除了增加费用,也增加了重要的复杂性。当地服务商的平台和我们不同,意味着我们的客户不能依赖统一的平台来提供全球化的性能和安全,用户体验也会不好。
但令我们很惊讶的是,即使我们还没有业务在中国大陆,也已经有中国企业络绎不绝地注册了CloudFlare的服务。通过回访得知,他们这样做有两个主要原因:1)与任何竞争对手相比,我们能更好地抵御DDoS(分布式拒绝服务)攻击(这是中国企业面临的一个巨大问题);2)这些用户有境外的用户,并且想要访问我们的全球网络,即使这意味着他们的做法在国内是被不被允许的。
到了2013年的夏天,CloudFlare在中国的市场份额开始引起该地区几家互联网公司的注意。尽管实际上已经有几个与CloudFlare有类似的特性的服务如雨后春笋般出现在中国,CloudFlare还是迅速地成为市场占有率的领导者。夏季伊始,我们开始与潜在合作伙伴会面,讨论合作方式。
三、合作的模式
传统意义上,当一家科技公司以他们这种方式,与伙伴一起进入中国市场,就形成了所谓的合资企业。我们研究了各种其他科技公司已经成立了的合资企业,得到一个结论:他们大多不成功。重复性出现的错误似乎是因为非中国本土的科技公司经常采取强硬措施,假设在境外能够做的在中国也可以实施。
我们的结论是,如果合作可以实施,我们需要以一个前提为开始,这个前提是它是CloudFlare的真正合作伙伴,并提供技术、访问我们的全球网络,合作伙伴还要贡献中国本土知识和操作。这意味着选择正确的合作伙伴是至关重要的。
四、与百度合作
在我们收到的合作提案中,百度脱颖而出。百度是中国搜索引擎的领导者。就我们所知,百度团队架构很清晰,他们的任务和精神与我们高度一致。此外,作为中国互联网巨头之一,他们有专业知识和资源来帮助我们克服前面提到的技术、经济和监管方面的挑战。
今天,我们自豪地宣布,与百度合作推出了横跨中国大陆的17个数据中心。其中包括青岛、福州、衡阳、东莞、沈阳、洛阳、杭州、嘉兴、天津、广州、成都、廊坊、西安、南宁、郑州、石家庄、佛山。在未来几个月,我们将继续扩大我们的足迹,预计到2016年底,中国大陆上将会有比如今所有其他CloudFlare的网络节点更多的节点。
现在在全球范围内,CloudFlare的网络拓展有62个数据中心节点:
百度的监管经验也帮助解决一个对于我们来说似乎是不可克服的难题。他们开发了一个以ICP许可的应用程序为凭借的进程,这个进程可以自动代表CloudFlare的客户进行报请。这消除了个人客户浏览当地许可要求的负担。
为了进一步让中国成为CloudFlare的客户,我们还与百度合作,推出他们自己的服务:Yunjiasu(百度云加速),也可以翻译为“快速云”。百度云加速网络的中国客户能享受到同CloudFlare一样的性能和安全优势,包括访问CloudFlare的全球网络。百度云加速在2014年12月推出之后发展迅速。使用的这个服务的顾客已经成千上万,总浏览页数量达到570亿每月。CloudFlare和百度云加速合作之后,我们将激励中国超过60%的网站使用这个性能和安全服务。
五、性能
我们的性能优势在中国的扩张性是惊人的。我们现在能够将一个从中国境外发来的请求的响应时间缩短超过200毫秒。在一天之内,通过CloudFlare和百度云加速,中国境内的请求响应时间加起来节省了超过240年。这样,中国的互联网用户就不必为网站下载等待了。此外,中国网络上网站的可用性几乎翻了一番。随着我们通过中国网络为更多的客户服务,这些好处只会增加。
举一个有意义的例子,我们通过中国网络服务的第一个客户是TechCrunch。CloudFlare与TechCrunch的团队有着密切的关系,CloudFlare就是我们在他们2010年的Disrupt大会上推出的。我们都乐于向他们学习,因为TechCrunch的中国本地化版就像它在美国一样受到广泛关注。在TechCrunch.cn上线到CloudFlare的中国网络之前,它在中国大陆的平均页面加载用时是17秒,现在平均用时2.5秒。
类似的提高增加了网站的可用性。使CloudFlare的中国网络之前,TechCrunch.cn只有大约50%的时间在中国大陆是可用的。现在该网站平均近100%的时间都能使用。
六、安全
网络在中国大陆的好处不仅仅是性能。鉴于其庞大的互联网用户人口,中国和其他国家一样,有很多活跃的僵尸网络。这些僵尸网络可以用来启动大规模的DDoS攻击。在我们看到来,其中一些最大的攻击来自在中国境内有大量节点的僵尸网络。通过中国境内网络,CloudFlare现在能够在这些攻击离开中国之前就更好地坑袭。这意味着来自中国境内的攻击流量不太可能给这个区域之外的客户造成中断。
七、保护客户数据的完整性
随着我们的网络在中国的拓展,我们也采取了很多措施确保客户数据的安全性和完整性。CloudFlare运营中国境外的所有服务,百度运营中国境内的所有服务。没有CloudFlare的客流量能通过中国网络,除非客户明确地选择加入到服务。来自中国境外的客户流量和日志数据也绝不会发送到中国。对于想要加入境内服务的客户来说,只需要填写客户的身份信息,如电子邮件地址、密码散列和计费信息,这些信息是永远不会存储在中国网络,或与我们的合作伙伴共享的。
其他潜在的敏感信息的安全与隐私也会被严格维护。例如,CloudFlare的无键SSL技术允许我们为那些选择中国网络的客户提供加密流量,客户无需存在中国网络储私有SSL的密钥。这让CloudFlare的每一个客户都能享受到全套服务的好处,即使他们选择中国境外的密钥存储。
这同样适用于百度云加速的客户,他们得到CloudFlare的全球网络的好处,我们同样会与百度合作,确保个人信息的保存在百度,而绝不会与CloudFlare共享。
作为这一伙伴关系的一部分,CloudFlare从来没有被要求或自愿地将我们任何用户的数据提供给中国、美国,或任何其他政府机构。如果这是作为进入一个地区的条件,我们将会放弃这个机会。
八、加速你的中国性能
现有的和新的CloudFlare客户请求可以通过下面的网址填写: https://www.cloudflare.com/china
刚开始,中国企业客户网络将是有限的。随着时间的推移,我们能够更好地实施新客户管理,我们希望将好处扩展到所有计划。
这个声明是四年前发表的。我们为已经建立了唯一的真正意义上的全球性的性能和安全平台而感到高兴。然而,中国是世界上最大的国家,但直到今天,她都没有一个CloudFlare的数据中心,这是这个庞然大物缺少的一部分。请继续关注,很快这即将改变。