本地化深入覆盖，全球化安全防护 | UCloud胡志明市数据中心上线

12月4日，UCloud（优刻得）胡志明市数据中心正式上线。作为全球第29个数据中心，胡志明市数据中心以覆盖越南本地用户为主，相较新加坡远程覆盖，网络延迟降低52%；提供主机、VPC网络、EIP、数据库、云内存、分布式消息系统Kafka等多款云产品。

UCloud海外数据中心节点

稳定云服务平台，轻松获取本地化资源

根据越南18年6月通过的网络安全法，规定在越南境内提供的互联网相关服务的国内外企业，需将用户信息数据存储设置越南境内。法规将在2019年1月1日开始实行。采用本地服务部署后，相对远程覆盖，本地网络延迟更低、稳定性更佳，APP手机应用或PC端服务将更快速流畅。

调研了解，目前越南共有10个数据中心，2个海底光缆登陆点和6条海底电缆。UCloud胡志明节点选择和当地唯一一家通过Uptime认证的Tier3级机房FPT合作。机房可用性承诺99.982%，网络运营商接入VNPT、FPT，距离胡志明新山机场40分钟车程，距市中心25分钟车程。UCloud用户可以通过控制台服务（Console）轻松获取当地优质的IDC和网络资源。

截止目前，UCloud已经在尼日利亚、巴西、印度、泰国、印尼、中国台湾、俄罗斯等多个本地化地域成功落地。通过UCloud服务平台实现海外业务部署，可以规避因数据中心选择带来的潜在业务风险。另外，我们提供的云主机弹性扩容、高可用数据库、高性能SSD 云盘存储、分布式消息系统等产品，助力用户快速完成部署、业务容灾、数据分析等需求场景。

UCloud数据中心外景

02

 全球Anycast分布式安全清洗服务

高强度DDoS攻击一直是数据中心外网网络面对的最大挑战，能否有效防护高流量攻击，直接影响用户业务可用性和稳定性。DDoS攻击来自全球范围，伴随UCloud海外云服务平台不断深入本地化覆盖，从全球范围规划、抵抗高强度流量攻击成为UCloud协助出海企业拓展业务愈加清晰的能力集成。

在追求用户最佳防护体验的目标下，安全团队以强化自主研发的本地清洗服务为重心。不断打磨本地清洗防护策略后，顺势升级为Anycast分布式清洗方案。通过Anycast公网路由就近选路原则，实现攻击流量的就近分流、清洗，以此抵抗100G以上的高强度流量攻击 。

<iframe class="video_iframe" data-vidtype="2" data-cover="http%3A%2F%2Fvpic.video.qq.com%2F11748163%2Ff1354qk28z0.png" allowfullscreen="" frameborder="0" data-ratio="1.3333333333333333" data-w="648" data-src="http://v.qq.com/iframe/player.html?vid=f1354qk28z0&width=352&height=264&auto=0" width="352" height="264" data-vh="264" data-vw="352" style="display: none; width: 352px !important; height: 264px !important;"></iframe>播放

全球Anycast分布式清洗，生效前后示意

强化本地清洗防护能力

DDoS攻击发起的时间、地点、规模有极大的不确定性，会非常迅速、直接影响到网络稳定。而数据中心能够快速检测、自动化完成恶意流量的清洗对保障用户业务可用性至关重要。与其被动“等待“攻击，UCloud网络安全工程师采取主动从海外、国内等不同地方模拟DDoS攻击流量的方式，周期性压测机房的安全服务可靠性，及时检查、发现本地服务可能存在的漏洞，跟进迭代检测、清洗等安全防护环节，以此强化机房的防护能力。

本地安全清洗防护

同时，实战演练的方式可以加深与关联服务或部门的联动配合，如物理网络、虚拟网络、技术支持等，提高安全事件处理效率。截止目前，本地安全清洗支持的如下类型的防护：

协议分层

清洗内容

IP

不合法报文清洗

TCP

 syn flood 

 syn-ack flood 

 ack flood 

 fin/rst flood 

 连接耗尽 

分片攻击 

异常标志位

UDP

分片攻击 

 重复负载清洗

ICMP

icmp flood

HTTP

采用WAF进行专业防护

Anycast分布式扩展安全清洗防护

Anycast多节点路由就近选路情形下，以台北某一款游戏项目为例。当来自不同城市的用户访问该款游戏时，路由选路自动选择合适的UCloud就近机房，入口流量到相应可用区，最后通过专线或公网隧道访问台北业务。

Anycast 公网就近选路访问台北可用区

以上跨地域访问场景同样符合北美、南美或欧洲发起对台北可用区的高强度DDoS攻击场景特征。基于该原理，当用户流量到达就近机房的WBR网络服务层， 安全策略要求同时镜像一份流量到安全检测系统。根据预设的防护机制触发安全策略，对异常流量引流封堵、清洗，最后将正常流量回注到WER服务，通过专线或公网隧道送至目标机房。

Anycast 物理网络实现方案动态展示

因此，当发生高流量DDOS攻击时，攻击源就近引流至多个机房的DDOS防护集群，进行分布式清洗，保障目标攻击机房的业务稳定性。安全防护过程中，用户无需切换业务外网IP。相应地，本地清洗能力越强壮、全球防护集群节点越多，全球Anycast防护能力也越强。

Anycast多集群分流清洗，台北为例

用户接入Anycast分布式清洗

目前，Anycast网络方案已经完成全球节点路由宣告，防护覆盖欧洲、美洲、东南亚等。UCloud海外云平台用户绑定Anycast EIP即可接入分布式清洗防护服务，提供最高100G 清洗能力试用。

接入Anycast EIP后，用户可以根据业务覆盖区域以及历史攻击来源，调整各个分布防护节点的封堵、清洗策略。在默认清洗策略的基础上，重新整合、汇聚提升目标节点的安全防护能力。同时，实现灵活地控制来自不同地域的流量访问 。独享整段Anycast EIP用户，我们提供客户定义的路由宣告场景，不仅支持安全清洗防护，同时利用UCloud骨干网络规避公网路由绕行，延迟过高的问题。

UCloud控制台态势感知服务显示攻击源及其类型

03

UCloud云服务平台近期更新产品

以用户需求、提供产品价值为出发点，UCloud平台除了安全DDoS防护、SSD云盘产品的架构升级，在计算、网络、存储、数据分析等产品功能也有不断拓展延伸、迭代更新，详情参考下表：

—End—

热文回顾

1、我同事去非洲吃土搞矿，还干了一件正事儿

2、UCloud拉各斯节点上线 云服务尼日利亚首秀

3、国内游戏总量控制时代下 UCloud打造一站式游戏出海解决方案

4、下一站，上海 | UCloud用户大会来了

扫码上图中的二维码或点击“阅读原文”，领取价值399元活动门票，亲临UCloud用户大会出海分会场现场，进一步了解UCloud出海云服务的全球基础设施、生态资源及成功应用案例。