今天，我們很高興地宣布?Cloudflare Network Interconnect（CNI）上線運營。CNI 使我們的客戶無論身在何處都可以將分支機構和總部直接與 Cloudflare 互連，將 Cloudflare 的全套網絡功能引入他們的物理網絡邊緣。與使用公共互聯網連接到 Cloudflare 相比，使用 CNI 進行互連具有安全性、可靠性和性能上的優勢。此外，由于 Cloudflare 的網絡覆蓋世界各地，無論您的基礎設施和員工位于地球上的哪個地方，都可以輕松連接到我們的網絡。

　　在最基本的層面上，互連是兩個網絡之間的一條鏈路�，F階段，我們為客戶提供如下選項與 Cloudflare 網絡進行互連：

　　通過專用網絡互連（PNI）。連接兩個網絡的物理電纜（或虛擬“偽線”；稍后會詳細介紹）。

　　通過互聯網交換中心（IX）。即供多家 Internet 服務提供商（ISP）與 Internet 網絡進行互連的通用交換網絡。

　　我們使用一個現實世界中的類比：Cloudflare 花費數年在互聯網上建設了一個高速公路網，用來處理我們所有客戶的流量�，F在，我們提供專門的匝道供客戶將內部部署網絡接入這些高速公路。

　　為什么與 Cloudflare 互連？

　　CNI 在您的基礎設施和 Cloudflare 之間提供更加可靠、更加快速、更加私密的連接，讓您享受我們全套產品的好處。下面舉例說明一些具體的產品，以及如何將它們與 CNI 結合使用：

　　Cloudflare Access：Cloudflare Access 用 Cloudflare 的網絡來取代企業 VPN。團隊不必將內部工具放到專用網絡中，可以將它們部署到任何環境（包括混合模型或多云模型），并使用Cloudflare 的網絡來一致地保護它們。CNI 使您能夠將自己的 MPLS 網絡與我們的網絡相連；這樣，無論您的員工身在何處，都能安全、快速地連接您的網絡。

　　CDN：Cloudflare 的 CDN 將內容放置在更靠近訪問者的地方，不僅加快了網站速度，還將源站的負擔降至最低。CNI 可以提高緩存填充性能并降低成本。

　　Magic Transit：Magic Transit 為數據中心和分支網絡提供保護，使其免受網絡攻擊和惡意流量的危害。配套使用 Magic Transit 和 CNI，可以減少抖動并提高吞吐量，進一步增強基礎設施對攻擊的防御能力。

　　CloudflareWorkers：Workers 是 Cloudflare 的無服務器計算平臺。與 CNI 集成后，客戶無需穿越公共互聯網就能安全地連接無服務器云計算，使用 Cloudflare 一系列獨特的 Workers 服務，并獲得更嚴格的網絡性能容限。

　　我們繼續談談 CNI 如何帶來這些好處。

　　通過互連提高性能

　　CNI 可以有效提升許多現有 Cloudflare 產品的性能。通過利用 CNI 并且設置與 Cloudflare 互連，無論客戶的原始基礎設施位于哪里，客戶都能在性能和安全性方面得到提升，成本也要比使用公共轉接服務提供商低。

　　CNI 讓一切如快馬加鞭

　　我們舉例來說明網絡互連如何為Cloudflare 客戶提供性能改進。想象一個流經 Cloudflare 的 CDN 和 WAF 的 HTTP 應用程序工作負載。許多客戶依靠我們的 CDN 來加快其 HTTP 應用程序的響應速度。

　　Cloudflare 將內容緩存在非常接近最終用戶的位置，以提供最佳的性能。但是，如果內容不在緩存中，那么 Cloudflare 邊緣 PoP 必須與源站服務器聯系以檢索可緩存的內容。這可能會比較慢，而且給源站服務器造成的負擔也要比直接從緩存中提供內容大。

　　有了 CNI，這些源站拉取可以通過專用鏈路完成，從而提高吞吐量并減少源站拉取所需的總時間。使用 Argo Tiered Cache，客戶可以管理分層緩存拓撲，并指定與部署有網絡互連的位置相對應的上游緩存層。以這種方式使用分層緩存可減輕源站負載并提高緩存命中率，從而提升性能并降低源站基礎設施的成本。

　　這里有來自 Cloudflare 真實客戶的匿名樣本數據，該客戶最近在我們雙方的網絡之間建立了互連，以進一步提升性能。作為我們 CDN 的重度用戶，他們可以通過在多個地點添加 PNI，從原始往返時間（RTT）中省下寶貴的幾毫秒。

　　比如，由于置備了專用網絡互連，他們在波蘭華沙的往返時間有 90% 縮短了 6.5ms（從 7.5ms 縮短到 1ms），在性能方面增強了 87％！鏈路上的抖動（數據包接收的延遲變化）從 82.9 降低到 0.3，而這證明了鏈路的專用性和可靠性。CNI 有助于為您的客戶和員工提供可靠的高性能網絡連接。

　　通過專用連接增強安全性

　　具有大型內部部署網絡的客戶希望遷移到云，因為價格實惠、麻煩較少，開銷和維護也比較少。不過，客戶也希望保留其現有的安全與威脅模型。

　　在傳統上，將其 IP 網絡連入互聯網的 CIO 通過兩個步驟來實現這個目標：

　　1.通過轉接服務提供商（ISP）連入互聯網。

　　2.購買、運營和維護具有特定網絡功能的硬件設備，如硬件負載平衡器、防火墻、DDoS 緩解設備、WAN 優化，等等。

　　CNI 允許 CIO 在Cloudflare 上置備安全防護服務，并以繞過公共互聯網的方式將現有網絡連接到 Cloudflare。由于 Cloudflare 與內部部署網絡和云集成，因此客戶可以這兩個網絡上實施安全策略，并且創建一致的安全邊界。

　　CNI 提供專用鏈路來連接 Cloudflare 網絡，從而增強云和網絡的安全性。由于此鏈路保留給置備該鏈路的客戶專用，客戶的流量得到了隔離，確保了私密性。

　　CNI + Magic Transit：不必向公共互聯網暴露

　　我們舉一個產品相關的例子：借助 CNI 與 Magic Transit 的集成，客戶可以利用專用連接來最大程度地降低其網絡對公共互聯網的暴露程度。

　　Magic Transit 透過 BGP 從我們的邊緣公告 IP 地址，從而將客戶的 IP 流量吸收到我們的數據中心。流量到達后接受過濾，再發送到客戶的數據中心。在使用 CNI 之前，所有 Magic Transit 流量都是通過互聯網上的通用路由封裝（GRE）隧道從 Cloudflare 發送到客戶的。由于 GRE 端點是可公開路由的，因此存在避開 Cloudflare 的 DDoS 緩解和安全工具而發現和攻擊這些端點的風險。

　　使用 CNI 消除了這種對互聯網的暴露。結合使用 CNI 與 Magic Transit 有以下優勢：

　　減少威脅暴露。公司可以采取許多措施來提高網絡安全性，但一些對風險敏感的組織還是選擇徹底不將端點開放給公共互聯網。CNI 使Cloudflare 能夠化解這種風險，并通過真正私密的接口（利用 Magic Transit）僅轉發干凈流量。

　　提高可靠性。通過公共互聯網傳輸的流量會受到您無法控制的因素的影響，這包括中間網絡造成的延遲和數據包丟失。消除 Cloudflare 網絡與您的網絡之間的步驟意味著，Magic Transit 在處理流量后會將其直接可靠地轉發到您的網絡。

　　簡化配置。不久之后，Magic Transit + CNI 客戶將能夠選擇在引入服務時跳過對 MSS（最大分段大�。┑母�改，這是 GRE-over-Internet 所必需的步驟，也是需要同時考慮下游客戶 MSS 的客戶面臨的一個挑戰（例如，服務提供商）。

　　示例部署：Penguin Corp 使用 Cloudflare for Teams、Magic Transit 和 CNI 來保護分支和核心網絡以及員工。

　　假設有一家虛構的公司 Penguin Corp，他們擁有連接完善的專用 MPLS 網絡。維護其網絡并非易事，他們組建了一個網絡工程師團隊來專門負責這項工作。他們目前投入了大量資金來運行自己的私有云。為最大程度降低成本，他們將其網絡出口點限制為兩個。這給用戶造成一個嚴重的性能問題，他們的數據必須傳輸很長一段路才能完成基本任務，同時仍然要穿越 Penguin 的網絡邊界。

　　SASE（安全訪問服務邊緣）模型對他們來說頗有吸引力，因為從理論上講，他們可以告別傳統的 MPLS 網絡并向云端遷移。SASE 部署在網絡邊緣提供防火墻、DDoS 緩解和加密服務，并將安全防護作為服務引入到云部署中，如下圖所示：

　　借助 CNI，Penguin 可以將 Cloudflare 用作真正的網絡邊緣，使其分支辦事處和數據中心與互聯網徹底隔離開。Penguin 可以適應一種類 SASE 模型，同時確保向公共互聯網的暴露保持為零。Penguin 建立了與 Cloudflare 的 PNI：將其位于圣何塞的分支機構與 Cloudflare 的圣何塞地點連接，以利用Cloudflare for Teams 的優勢；同時，將其位于奧斯汀的核心托管設施與 Cloudflare 的達拉斯地點連接，以使用 Magic Transit 來保護其核心網絡。

　　與 Magic Transit 一樣，Cloudflare for Teams 用Cloudflare 的全球網絡取代內部部署的傳統安全硬件。以前依靠 VPN 設備訪問內部應用程序的客戶，現在可以通過 Cloudflare Access 安全地進行連接。保留物理 Web 網關設備的組織可以將發往互聯網的流量發送到 CloudflareGateway 進行過濾和記錄。

　　Cloudflare for Teams 服務在每個 Cloudflare 數據中心中運行，從而使過濾和身份驗證更接近您的用戶和地點，不給性能造成不利影響。CNI 將您的辦公室直接與 Cloudflare 連接，為您帶來進一步的改善。只需簡單更改一下配置，所有分支辦公室就能與 Cloudflare 的邊緣相連，并在那里應用 Cloudflare for Teams 策略。這種鏈路不僅提高了用戶的速度和可靠性，還免除了將流量回傳到集中式過濾設備的必要。

　　以這種方式互連后，Penguin 的網絡和員工就能獲得兩大好處：

　　1.他們可以使用 Cloudflare 的全套安全服務，無需置備昂貴的集中式物理或虛擬網絡設備。

　　2.他們的安全和性能服務在遍布 200 多個城市的Cloudflare 的全球網絡中運行。這樣一來，安全防護功能與用戶更加接近，為用戶帶來性能和可用性方面的改進。

　　覆蓋全球并可擴展的靈活互連選項

　　CNI 為客戶帶來了巨大的好處，因為它使客戶能夠利用我們遍布 200 多個城市的全球網絡：不論他們的分支機構和數據中心基礎設施位于哪里，都可以連接到 Cloudflare。

　　這有兩個方面的重要性：我們的全球分布式網絡使客戶能夠更加輕松地進行互連，不論他們的分支機構和核心基礎設施位于哪里，同時分散于世界各地的員工能夠以較低的延遲和更高的性能與我們的邊緣網絡交互。

　　客戶不必為如何安全地擴展其網絡覆蓋范圍而操心，那由我們負責。

　　在這一點上，全球公司需要在世界各地多個點上進行互連。Cloudflare網絡互連按照全球網絡規模來定價：Cloudflare 不向企業客戶收取置備 CNI 的費用�？蛻艨赡苄枰�支付使用互連平臺或數據中心交叉連接的費用。我們將與您和所有其他相關方通力合作，讓訂購和置備過程盡可能順暢無礙。

　　換句話說，CNI 的定價旨在適應復雜的企業網絡拓撲和現代 IT 預算。

　　如何互連

　　客戶可以通過以下三種方式之一與 Cloudflare 互連：專用網絡互連（PNI）、互聯網交換中心（IX），或我們的某一家互連平臺合作伙伴。我們與全球合作伙伴建立了緊密合作，根據我們客戶所在的地點和具體的要求來滿足他們的各項需求。

　　專用網絡互連

　　我們列出的所有專用對等連接設施都提供專用網絡互連。與 Cloudflare 建立物理連接非常簡單：指定要連接的地點、端口速度和目標 VLAN。之后，我們會進行授權，您再下達訂單，然后由我們完成其余的工作。如果客戶想要比虛擬連接或通過 IX 連接更高的吞吐量，或者希望從互連中剔除盡可能多的中介，那么客戶應選擇 PNI 作為其連接選項。

　　互聯網交換中心

　　如果客戶想要使用現有的互聯網交換中心（IX），可以在我們參與的超過 235 個互聯網交換中心的任何一處與我們互連。要通過 IX 與 Cloudflare互連，只需按照 IX 的說明進行連接，Cloudflare 會在我們這一邊開啟連接。如果客戶已在 IX 建立了對等連接，或者想要與沒有互連平臺的地方進行互連，那么客戶應選擇互聯網交換中心作為其連接選項。

　　互連平臺合作伙伴

　　Cloudflare 有幸與 Equinix、Megaport、PCCW ConsoleConnect、PacketFabric 和 Zayo?建立了合作關系，攜手為您提供多種便利的方式，協助您在任何合作伙伴支持的地點與我們建立虛擬互連。如果客戶已經在使用這些提供商，或者想要一種快速簡便的方法來獲得安全的云體驗，那么應該選擇通過互連平臺進行連接。

　　若有興趣了解更多信息，請參閱這篇博客文章來了解所有不同的互連方式。對于上述所有互連方法，BGP 會話建立和 IP 路由都是相同的。唯一的區別是我們與其他網絡互連的物理方式。

　　如何找到最佳的互連位置？

　　我們的 CNI?產品頁面上提供了工具，可以協助您更好地了解我們雙方網絡互連的恰當位置�？蛻艨梢允褂么藬祿�來幫助確定最優的互連位置，從總體上最佳化與其他云提供商及其他 ISP 的連接。

　　CNI 和對等連接之間有何區別？

　　從技術上講，對等連接和 CNI 在幕后使用類似的機制和技術實施。

　　多年來，我們對任何網絡都抱持開放的對等連接政策，并且將繼續秉持這項政策：如此，我們能夠將不同網絡互連在一起，從而面向所有人建設更加美好的互聯網，使互聯網變得更加可靠。傳統網絡使用互連/對等技術為客戶提供更好的性能和連接性，同時降低成本。通過 CNI，我們對外開放自己的基礎設施，讓我們的客戶也享受到同樣的優勢。

　　如何了解更多信息？

　　與使用公共互聯網相比，CNI 能為客戶提供更好的性能、可靠性、可擴展性和安全性�？蛻衄F在可以在我們的任何物理地點與Cloudflare 互連，從而獲得與 Cloudflare連接的專用鏈路，這些鏈路可帶來安全優勢，并通過每個互連點提供更穩定的延遲、抖動和可用帶寬。

　　歡迎您與我們的企業銷售團隊聯系，商討將 CloudflareNetwork Interconnect 添加到您現有的產品中。