DIY BYOIP:将自有IP前缀引入Cloudflare的新方式
当客户希望将IP地址空间引入Cloudflare时,传统上必须联系客户团队提交请求。该请求随后会被发送至多个Cloudflare工程团队——包括地址分配和网络工程团队,以及客户希望使用该前缀的特定服务团队(如CDN、Magic Transit、Spectrum、Egress)。此外,如果客户对IP前缀没有主要所有权,还需要与自己的法律团队甚至其他组织合作,通过层层审批获取授权书(LOA)。这个过程复杂、手动且耗时,有时根据不同的审批要求需要4-6周。
但现在不再如此!今天我们很高兴宣布推出自助式BYOIP API,使客户能够自行上架和设置他们的BYOIP前缀。
通过自助服务,我们为您处理官僚程序。我们使用路由安全的黄金标准——资源公钥基础设施(RPKI)自动化了这一过程。同时,基于我们新所有权验证过程的安全保证,我们继续代表客户生成LOA,确保服务质量。这确保客户路由在互联网的每个角落都能被接受。
Cloudflare非常重视整个互联网的安全性和稳定性。RPKI是一种加密强度高的授权机制,我们相信它比依赖人工审查扫描文档的常见做法更可靠。然而,某些RPKI签名工件(如AS路径授权对象)的部署和可用性仍然有限,因此我们将自助服务上架的初始范围限制为源自Cloudflare自治系统编号(ASN)AS 13335的BYOIP前缀。通过这样做,我们只需要依赖广泛可用的路由起源授权(ROA)对象的发布。这种方法既对互联网安全,又能满足大多数BYOIP客户的需求。
今天,我们在为客户提供更全面的IP地址管理平台方面迈出了一大步。通过最近支持在单个BYOIP前缀上启用多个服务的更新,以及通过API实现自助服务上架的最新进展,我们希望客户能够掌控他们在我们网络上的IP。
Cloudflare BYOIP的演进
我们希望Cloudflare感觉像是您基础设施的延伸,这就是为什么我们在2020年首次推出了自带IP。快速回顾:自带IP顾名思义——它允许客户将自己的IP空间带到Cloudflare。客户选择BYOIP有多种原因,但主要原因是控制性和可配置性。IP前缀是一个IP地址范围或块。路由器创建一个可达前缀表,称为路由表,以确保数据包在互联网上正确传递。当客户的Cloudflare服务配置为使用客户自己的地址(作为BYOIP上架到Cloudflare)时,具有相应目的地址的数据包将通过互联网路由到Cloudflare的全球边缘网络,在那里接收和处理。BYOIP可与我们的第7层服务、Spectrum或Magic Transit一起使用。
深入了解:工作原理
当今前缀验证的世界
让我们退一步看看当前BYOIP世界的状况。假设客户拥有某个IP地址范围的权限,并希望将它们带到Cloudflare。我们要求客户向我们提供授权书,并具有与其前缀和ASN匹配的互联网路由注册记录。一旦我们获得这些,就需要Cloudflare工程师进行手动审查。这个过程存在几个问题:
- 不安全:LOA只是一份文件——一张纸。这种方法的安全性完全取决于审查文件的工程师的尽职程度。如果审查无法检测到文件是欺诈或不准确的,则可能发生前缀或ASN被劫持的情况。
- 耗时:生成单个LOA并不总是足够。如果您租赁IP空间,我们还会要求您提供确认该关系的文档,以便我们可以看到从原始地址分配或分配到您的清晰授权链。获取所有纸质文档来验证此所有权链,再加上等待手动审查,可能导致部署前缀需要等待数周!
自动化信任:Cloudflare如何在几分钟内验证您的BYOIP前缀所有权
转向自助服务模式使我们能够重新思考进行前缀所有权检查的方式。我们自问:如何快速、安全、自动地证明您有权使用您的IP前缀并打算通过Cloudflare路由它?
我们最终一石二鸟,这要归功于我们涉及创建RPKI ROA(意图验证)和修改IRR或rDNS记录(所有权验证)的两步过程。自助服务不仅能够更快地、无需人工干预上架前缀,而且比简单的扫描文档执行更严格的所有权检查。虽然并非100%万无一失,但这是我们验证所有权方式的重大改进。
利用权威机构
地区互联网注册管理机构是负责分发和管理互联网号码资源(如IP地址)的组织。它们由在世界不同地区运营的5个不同实体组成。最初从互联网号码分配局分配地址空间,它们又将该IP空间分配和分配给本地互联网注册管理机构(如ISP)。
这个过程基于RIR政策,通常考虑法律文件、现有数据库/注册记录、技术联系人和BGP信息等因素。最终用户可以从LIR获取地址,或者在某些情况下直接通过RIR获取。随着IPv4地址变得越来越稀缺,已经启动了经纪服务,允许从原始受让人那里租赁地址固定期限。
互联网路由注册是一个专注于路由而非地址分配的独立系统。许多组织运营IRR实例并允许发布路由信息,包括所有五个RIR。虽然大多数IRR实例对发布路由数据几乎没有障碍,但由RIR运营的那些能够将发布路由信息的能力与相应地址已分配到的组织联系起来。我们相信,能够修改以这种方式保护的IRR记录提供了一个良好的信号,表明用户有权使用前缀。
包含验证令牌的路由对象示例(使用仅用于文档的地址192.0.2.0/24):
|
|
对于那些不想经历基于IRR的验证过程的人,反向DNS被提供为另一种安全的验证方法。要管理前缀的rDNS——无论是创建PTR记录还是安全TXT记录——您必须获得最初分配IP块的实体(通常是您的ISP或RIR)的授权。
这种权限通过以下两种方式之一证明:
- 直接通过IP所有者经过身份验证的客户门户。
- IP所有者通过为您的反向区域设置NS记录,将权限委托给您的第三方DNS提供商。
使用dig命令的反向域名查找示例(使用仅用于文档的地址192.0.2.0/24):
|
|
那么具体如何修改这些记录呢?这就是验证令牌发挥作用的地方。一旦您选择IRR或反向DNS方法,我们会提供一个唯一的、一次性使用的验证令牌。您必须将此令牌添加到相关记录的内容中,无论是在IRR中还是在DNS中。我们的系统随后查找令牌的存在,作为请求是由有权进行请求修改的人发出的证据。如果找到令牌,验证完成,您的所有权得到确认!
数字护照🛂
所有权只是成功的一半;我们还需要确认您授权Cloudflare播发您前缀的意图。为此,我们依赖路由安全的黄金标准:资源私钥基础设施,特别是路由起源授权对象。
ROA是一种加密签名的文档,指定哪个自治系统编号有权发起您的IP前缀。您可以将ROA视为前缀所有者的经过认证、签名和公证的合同的数字等价物。
依赖方可以使用RPKI验证ROA中的签名。您只需创建一个指定Cloudflare的ASN作为授权发起者的ROA,并安排对其进行签名。我们的许多客户通过RIR门户提供的托管RPKI系统完成此操作。当我们的系统检测到这种签名授权时,您的路由意图立即得到确认。
许多其他支持BYOIP的公司需要复杂的工作流程,包括创建自签名证书和手动修改RDAP记录——这是一项繁重的管理工作。通过接受IRR对象修改和反向DNS TXT记录的选择,结合RPKI,我们为现有网络运营商提供了更熟悉和直接的验证过程。
全球可达性保证
虽然新的自助服务流程摒弃了对"恐龙遗物"LOA的需求,但世界各地的许多网络运营商仍然依赖它作为接受来自其他网络前缀的过程的一部分。
为了帮助确保您的前缀被全球相邻网络接受,Cloudflare自动代表您生成一份文档以代替LOA分发。该文档提供了我们为确认我们有权发起客户前缀而进行的检查信息,并确认存在有效的ROA以授权我们发起它。通过这种方式,我们能够支持我们连接到的依赖LOA的网络运营商的工作流程,而我们的客户无需承担生成它们的负担。
避免黑洞
设计自助服务API时的一个关注点是在给予客户灵活性与实施必要保障措施之间的权衡,以确保IP前缀在没有匹配服务绑定的情况下永远不会被播发。如果发生这种情况,Cloudflare将播发一个前缀,却不知道在接收到流量时该如何处理!我们称之为"黑洞"流量。为了解决这个问题,我们引入了默认服务绑定的要求——即一个跨越上架IP前缀整个范围的服务绑定。
客户随后可以通过多个服务绑定在其默认服务绑定之上分层不同的服务绑定,例如在默认Spectrum服务绑定之上添加CDN。通过这种方式,前缀永远不会在没有服务绑定的情况下被播发,从而避免客户流量被黑洞。
开始使用
查看我们的开发人员文档,了解有关如何通过我们的API上架、播发和向您的IP前缀添加服务的最新文档。请记住,上架可能很复杂,如果您希望我们为您完成,请随时提问或联系我们的专业服务团队。
网络控制的未来
将BYOIP管理脚本化和集成到现有工作流程中的能力对现代网络运营来说是改变游戏规则的,而我们才刚刚开始。在接下来的几个月里,期待在仪表板中看到自助式BYOIP,以及自助式BYOIP下架,为客户提供更多控制。
Cloudflare的自助式BYOIP API上架使客户能够对其IP资产拥有前所未有的控制力和灵活性。这种自动化上架的转变有助于增强安全态势,摆脱手动审查PDF并推动RPKI的采用。通过使用这些API调用,组织可以自动化复杂的网络任务,简化迁移,并构建更具弹性和敏捷性的网络基础设施。
Cloudflare的连接云保护整个企业网络,帮助客户高效构建互联网规模应用程序,加速任何网站或互联网应用程序,抵御DDoS攻击,阻止黑客,并可以帮助您完成零信任之旅。