　　12月4日，UCloud（優(yōu)刻得）胡志明市數(shù)據(jù)中心正式上線。作為全球第29個數(shù)據(jù)中心，胡志明市數(shù)據(jù)中心以覆蓋越南本地用戶為主，相較新加坡遠程覆蓋，網(wǎng)絡(luò)延遲降低52%；提供主機、VPC網(wǎng)絡(luò)、EIP、數(shù)據(jù)庫、云內(nèi)存、分布式消息系統(tǒng)Kafka等多款云產(chǎn)品。

　　海外數(shù)據(jù)中心節(jié)點

　　穩(wěn)定云服務(wù)平臺，輕松獲取本地化資源

　　根據(jù)越南18年6月通過的網(wǎng)絡(luò)安全法，規(guī)定在越南境內(nèi)提供的互聯(lián)網(wǎng)相關(guān)服務(wù)的國內(nèi)外企業(yè)，需將用戶信息數(shù)據(jù)存儲設(shè)置越南境內(nèi)。法規(guī)將在2019年1月1日開始實行。采用本地服務(wù)部署后，相對遠程覆蓋，本地網(wǎng)絡(luò)延遲更低、穩(wěn)定性更佳，APP手機應(yīng)用或PC端服務(wù)將更快速流暢。

　　調(diào)研了解，目前越南共有10個數(shù)據(jù)中心，2個海底光纜登陸點和6條海底電纜。UCloud胡志明節(jié)點選擇和當?shù)匚ㄒ灰患彝ㄟ^Uptime認證的Tier3級機房FPT合作。機房可用性承諾99.982%，網(wǎng)絡(luò)運營商接入VNPT、FPT，距離胡志明新山機場40分鐘車程，距市中心25分鐘車程。UCloud用戶可以通過控制臺服務(wù)（Console）輕松獲取當?shù)貎?yōu)質(zhì)的IDC和網(wǎng)絡(luò)資源。

　　截止目前，UCloud已經(jīng)在尼日利亞、巴西、印度、泰國、印尼、中國臺灣、俄羅斯等多個本地化地域成功落地。通過UCloud服務(wù)平臺實現(xiàn)海外業(yè)務(wù)部署，可以規(guī)避因數(shù)據(jù)中心選擇帶來的潛在業(yè)務(wù)風險。另外，我們提供的云主機彈性擴容、高可用數(shù)據(jù)庫、高性能SSD 云盤存儲、分布式消息系統(tǒng)等產(chǎn)品，助力用戶快速完成部署、業(yè)務(wù)容災(zāi)、數(shù)據(jù)分析等需求場景。

　　數(shù)據(jù)中心外景

　　全球Anycast分布式安全清洗服務(wù)

　　高強度DDoS攻擊一直是數(shù)據(jù)中心外網(wǎng)網(wǎng)絡(luò)面對的最大挑戰(zhàn)，能否有效防護高流量攻擊，直接影響用戶業(yè)務(wù)可用性和穩(wěn)定性。DDoS攻擊來自全球范圍，伴隨UCloud海外云服務(wù)平臺不斷深入本地化覆蓋，從全球范圍規(guī)劃、抵抗高強度流量攻擊成為UCloud協(xié)助出海企業(yè)拓展業(yè)務(wù)愈加清晰的能力集成。

　　在追求用戶最佳防護體驗的目標下，安全團隊以強化自主研發(fā)的本地清洗服務(wù)為重心。不斷打磨本地清洗防護策略后，順勢升級為Anycast分布式清洗方案。通過Anycast公網(wǎng)路由就近選路原則，實現(xiàn)攻擊流量的就近分流、清洗，以此抵抗100G以上的高強度流量攻擊。

　　全球Anycast分布式清洗，生效前后示意

　　強化本地清洗防護能力

　　攻擊發(fā)起的時間、地點、規(guī)模有極大的不確定性，會非常迅速、直接影響到網(wǎng)絡(luò)穩(wěn)定。而數(shù)據(jù)中心能夠快速檢測、自動化完成惡意流量的清洗對保障用戶業(yè)務(wù)可用性至關(guān)重要。與其被動“等待“攻擊，UCloud網(wǎng)絡(luò)安全工程師采取主動從海外、國內(nèi)等不同地方模擬DDoS攻擊流量的方式，周期性壓測機房的安全服務(wù)可靠性，及時檢查、發(fā)現(xiàn)本地服務(wù)可能存在的漏洞，跟進迭代檢測、清洗等安全防護環(huán)節(jié)，以此強化機房的防護能力。

　　本地安全清洗防護

　　同時，實戰(zhàn)演練的方式可以加深與關(guān)聯(lián)服務(wù)或部門的聯(lián)動配合，如物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)、技術(shù)支持等，提高安全事件處理效率。截止目前，本地安全清洗支持的如下類型的防護：

安全清洗防護策略
協(xié)議分層
清洗內(nèi)容
不合法報文清洗
連接耗盡
分片攻擊
異常標志位
分片攻擊
重復(fù)負載清洗
采用WAF進行專業(yè)防護
分布式擴展安全清洗防護

　　多節(jié)點路由就近選路情形下，以臺北某一款游戲項目為例。當來自不同城市的用戶訪問該款游戲時，路由選路自動選擇合適的UCloud就近機房，入口流量到相應(yīng)可用區(qū)，最后通過專線或公網(wǎng)隧道訪問臺北業(yè)務(wù)。

　　公網(wǎng)就近選路訪問臺北可用區(qū)

　　以上跨地域訪問場景同樣符合北美、南美或歐洲發(fā)起對臺北可用區(qū)的高強度DDoS攻擊場景特征�；谠撛恚斢脩袅髁康竭_就近機房的WBR網(wǎng)絡(luò)服務(wù)層，安全策略要求同時鏡像一份流量到安全檢測系統(tǒng)。根據(jù)預(yù)設(shè)的防護機制觸發(fā)安全策略，對異常流量引流封堵、清洗，最后將正常流量回注到WER服務(wù)，通過專線或公網(wǎng)隧道送至目標機房。

　　物理網(wǎng)絡(luò)實現(xiàn)方案動態(tài)展示

　　因此，當發(fā)生高流量DDOS攻擊時，攻擊源就近引流至多個機房的DDOS防護集群，進行分布式清洗，保障目標攻擊機房的業(yè)務(wù)穩(wěn)定性。安全防護過程中，用戶無需切換業(yè)務(wù)外網(wǎng)IP。相應(yīng)地，本地清洗能力越強壯、全球防護集群節(jié)點越多，全球Anycast防護能力也越強。

　　多集群分流清洗，臺北為例

　　用戶接入Anycast分布式清洗

　　目前，Anycast網(wǎng)絡(luò)方案已經(jīng)完成全球節(jié)點路由宣告，防護覆蓋歐洲、美洲、東南亞等。UCloud海外云平臺用戶綁定Anycast EIP即可接入分布式清洗防護服務(wù)，提供最高100G 清洗能力試用。

　　接入Anycast EIP后，用戶可以根據(jù)業(yè)務(wù)覆蓋區(qū)域以及歷史攻擊來源，調(diào)整各個分布防護節(jié)點的封堵、清洗策略。在默認清洗策略的基礎(chǔ)上，重新整合、匯聚提升目標節(jié)點的安全防護能力。同時，實現(xiàn)靈活地控制來自不同地域的流量訪問。獨享整段Anycast EIP用戶，我們提供客戶定義的路由宣告場景，不僅支持安全清洗防護，同時利用UCloud骨干網(wǎng)絡(luò)規(guī)避公網(wǎng)路由繞行，延遲過高的問題。