TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cloudflare ได้ประกาศออกผลิตภัณฑ์ใหม่ด้าน Software-define Networking ที่ชื่อ ‘Magic Transit’ ซึ่งได้ช่วยให้องค์กรสามารถตอบโจทย์ด้านการส่งทราฟฟิคระหว่างองค์กรและ Cloudflare ได้อย่างมั่นใจทั้งในด้าน Security และ Perfomance
อย่างที่เราทราบกันดีอยู่แล้วว่า Cloudflare มีชื่อเสียงในด้าน Proxy Service และบริการรับมือกับการโจมตีแบบ DDoS เพราะเซิร์ฟเวอร์มีอยู่กว่า 193 เมืองใน 90 ประเทศ โดย Magic Transit ที่ Cloudflare ได้นำเสนอมีหัวใจสำคัญอยู่ 2 ส่วนหลักดังนี้
1.Network namespace เพื่อสร้าง Customer-defined Network Function
Namespace คือ Kernel Linux Feature ที่สามารถสร้าง Lightweight Virtual Instance ของทรัพยากรในระบบเพื่อแชร์ระหว่างโปรเซส ถ้าใครคุ้นๆ คงจะพอนึกออกได้ว่ามันคือหัวใจของ Containerization นั่นเอง ทั้งนี้ในส่วนของ Network Namespace จะใช้แบ่งแยกทรัพยากรในด้าน Network บน Linux ขึ้นมาต่างหากได้ เช่น Interface, Routing Table, Netfilter, Configuration และอื่นๆ
ด้วยเหตุนี้เองทำให้ Cloudflare จึงสามารถสร้าง Customer-defined Network ของตัวเองได้ (ลูกค้าอยากทำอะไรก็ทำไม่เกี่ยวกับคนอื่น) โดยสำหรับลูกค้าที่ใช้ Magic Transit จะมี Network Namespace ของตัวเองในระดับ Edge และมีการสร้าง Virtual Ethernet โดยกลไกภายในสามารถอ้างอิงได้จากรูปด้านบนซึ่งจะมี Daemon อ่านค่า Config เกี่ยวกับ Firewall และ Routing มาจากส่วนกลาง (Quicksilver) ทั้งนี้สิ่งที่ Cloudflare จัดการให้อีกตัวหนึ่งก็คือดูแลตัว iptable ให้แยกไปยัง Magic Transit Routing Table และข้อดีอีกข้อคือ Default Routing ของทีม Cloudflare จะไม่กระทบกับลูกค้า Magic Transit ด้วย
2.Reliability
เมื่อข้อมูลพร้อมส่งกลับไปหาลูกค้าทาง Cloudflare ได้ทำ Tunneling เพื่อให้สามารถ Route Packet ไปสู่ปลายทางผ่าน Public Network ได้จริง โดยภายในได้ทำการ Encapsulation แพ็กเกจด้วย Generic Routing Encapsulation (GRE) ตามรูปด้านล่าง ซึ่งเมื่อมาถึงจุดนี้อาจมีคำถามว่า Cloudflare จะใช้ประโยชน์อย่างไรกับเซิร์ฟเวอร์มากมายของตนการทำ Tunnel นี้ไม่ให้เป็นการเชื่อมต่อจากเซิร์ฟเวอร์เพียงตัวเดียว
คำตอบคือ Cloudflare ได้ประยุกต์ใช้ Anycast IP กับ GRE Tunnel เพื่อแก้ปัญหาดังกล่าวทำให้เซิร์ฟเวอร์ใดๆ ของตนสามารถทำหน้าที่ Encapsulation / Decapsulation ได้ เนื่องจากโปรโตคอล GRE เป็น Stateless ทำให้สามารถประมวลผลแพ็กเกจแยกจากกันได้และไม่ต้อง Negotiate ใดๆ กับฝั่ง Endpoint ประกอบกับข้อจำกัดของ Tunnel อยู่ที่ IP ไม่ได้ยึดติดกับอุปกรณ์ ตั้งนั้นเซิร์ฟเวอร์ต่างๆ จึงสามารถร่วมด้วยช่วยกันได้ ตามรูปด้านล่าง ด้วยเหตุนี้เองจึงเป็นที่มาของเรื่อง Reliability เพราะปราศจาก Single point of failure
ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่ Magic Transit
ที่มา : https://blog.cloudflare.com/magic-transit-network-functions/ และ https://thenextweb.com/dd/2019/08/13/cloudflares-magic-transit-lets-you-push-your-entire-ip-traffic-through-its-servers/
