最近,Cloudflare正式推出了“自定义区域”功能,这是对其现有区域服务的一次重大扩展。该功能允许客户以极高的精细度定义数据处理的地理位置,通过按需选择国家或地区的数据中心组合,确保TLS终止及应用层处理严格发生在预设的地理边界内,从而精准满足日益复杂的合规性及数据驻留控制需求。
打破“一刀切”:自定义区域的诞生
新的自定义区域功能要求客户完成三项核心操作:定义区域的成员范围、将流量路由至区域内指定的节点,并在网络边缘强制执行这些地理边界限制。
Cloudflare 的系统工程师 Andrew Berglund 和产品负责人 Erik Engstrom 解释道:
“虽然我们预设的 35 个区域已能满足多数需求,但数字世界并非‘一刀切’的。我们听到了用户的呼声:大家希望指定某个国家、组合多个国家,甚至从某个区域中排除特定国家。”
这意味着,你可以自由定义任何地理组合来创建一个“区域”。例如,一个区域可以包含整个北美(加拿大、美国和墨西哥),也可以将这三个国家全部排除。更有趣的是,你甚至可以基于“非传统”标准来划分,比如将所有使用华氏温度的国家(美国、巴哈马、开曼群岛、马绍尔群岛和利比里亚)划为一个区域。对此,Berglund 和 Engstrom 补充道:
“区域服务的核心逻辑很简单:TLS 终止和 L7 层处理仅在你指定的区域内进行。自定义区域进一步扩展了这一能力,让你可以自行定义‘区域’本身。”
区域流量的处理哲学:边缘优先与传统云模式有何不同?
在处理区域流量时,Cloudflare 的思路与 Azure、AWS 等传统云厂商存在显著差异。传统模式是“以区域为中心”(region-first),即在固定的地理区域内部署资源。而 Cloudflare 则采用“以边缘为中心”(edge-first)的策略,在全球分布的边缘网络上运行工作负载。尽管如此,对于有严格区域合规要求或希望控制数据驻留范围的客户,Cloudflare 依然提供了将流量处理限定在指定区域的能力。
那么,Cloudflare 如何强制执行这些区域边界呢?其流程如下:
- 用户流量首先进入距离最近的数据中心,进行基础防护(如全局接入、L3/L4 层 DDoS 防护)。
- 系统随后判断该请求的元数据是否符合所配置的区域定义。
- 如果符合,就在本地数据中心处理;如果不符合,则会将请求转发到符合条件的其他数据中心,在那里完成 TLS 终止和 L7 层处理。
尽管开发者通常青睐 Cloudflare “默认全球化”带来的简单体验,但这种引入区域限制的能力,常被视为在便利性与合规性之间的一种必要权衡。在领英上,R5 Inteligência Digital 的评论一针见血:
“当合规要求和网络延迟都变得至关重要时,细粒度的区域边界正成为董事会级别的需求。自定义区域有助于技术团队将‘策略意图’转化为可实际执行的运行时控制。”
(图片来源:Cloudflare 博客)
自定义区域配置的三步走
配置自定义区域主要基于以下三个核心步骤:
-
定义区域成员范围:与 Cloudflare 管理的预定义区域不同,自定义区域允许你通过表达式来定义成员资格。例如,使用 country_code(数据中心所在国家的 ISO 代码)编写规则。
- 包含规则示例:
country_code == "TR"
或
country_code in ["DE", "FR", "NL"]
- 排除规则示例:
!(country_code in ["US", "CA", "MX"])
系统会将这些表达式与数据中心的元数据进行匹配,从而动态确定区域的地理范围。
-
选择区域内目标节点:在定义了区域范围后,Cloudflare 会在一组预先允许的数据中心中,结合每个入口点的实时网络质量、可用容量和健康状态等多维度指标,智能选出最优的流量处理位置。
-
在边缘执行边界控制:最后,配置的规则将在全球边缘网络中被强制执行,确保所有流量处理都严格遵守预设的地理策略。
目前,这项新功能尚未开放自助开通。有需求的客户需要联系其 Cloudflare 账户团队以申请使用。对于面临 GDPR、数据主权法等合规挑战的企业而言,这项功能无疑提供了更灵活、更精细的控制手段,是构建全球化应用时不可或缺的工具之一。想了解更多类似的云原生技术与最佳实践,欢迎来 云栈社区 交流讨论。 | 
发表于 前天 08:58
|
查看: 9|
回复: 0
