Cloudflareって IPアドレスどうなってる？

Cloudflareって IPアドレスどうなってる？ @appare45 UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京

自己紹介 @appare45 ● 筑波大学情報科学類 1年生 ● 全代会IPC UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 2

通常の接続 ユーザ端末 行き先の サーバ 行き先: サーバIP 送り主: クライアント 行き先: サーバ 送り主: クライアント UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 3

Cloudflareとは？ ● Cloudflareはでかいプロキシ/CDN Edge Server ユーザ端末 近所の 近所の Cloudflare 近所の Cloudflare ユーザに近い Cloudflare Cloudflare 行き先の サーバ （Origin） 行き先: Cloudflare 送り主: クライアント 行き先: 行き先のサーバ 送り主: Cloudflare 行き先: 行き先のサーバ 送り主: Cloudflare Ingress UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 Egress 4

ユーザに近いCloudflareというが CloudflareのIPってどこにあるの？ UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 5

ところで逆はないのか？ ● この逆に注目して、プライバシーを守ろう！と考えたのがApple ユーザ端末 ISP モバイルキャリア 行き先の サーバ 行き先: サーバアドレス 送り主: クライアントアドレス 行き先: サーバアドレス 送り主: クライアントアドレス 行き先: サーバアドレス 送り主: クライアントアドレス Fingerprinting UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 6

ところで逆はないのか？ ● この逆に注目して、プライバシーを守ろう！と考えたのがApple ユーザ端末 ISP モバイルキャリア Private Relay 行き先の サーバ 行き先: Private Relay 送り主: クライアントアドレス 行き先: Private Relay 送り主: クライアントアドレス 行き先: 行き先のサーバ 送り主: Private Relay 行き先: サーバアドレス 送り主: Private Relay UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 7

IP Anycast Anycastは一つIPを複数のサーバに処理させることができる IPアドレス管理の簡略化 Cloudflare IP 東京 ロンドン サンフランシ スコ ニューヨーク ユーザ端末 Ingress UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 一番近いところに接続 8

IP Anycast 付近のASにBGPを使ってIPを伝えることで最も近くに接続が可能 Cloudflare IP アナウンス アナウンス 東京 ロンドン 日本の AS サンフランシ スコ アナウンス ニューヨーク イギリ スの AS アメリ カの AS アナウンス アメリ カの UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 AS 9

Cloudflare IP （104.16.132.229) 筑波大学 最短の Cloudflare IPは… ニューヨーク ユーザ端末 IIJ AS13335 UTINS （筑波大学） AS37913 SINET 学術情報 ネットワーク AS2907 東京 ロンドン UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 violet03:~$ traceroute -A 104.16.132.229 traceroute to 104.16.132.229 (104.16.132.229), 30 hops max, 60 byte packets 1 _gateway (130.158.231.254) [AS37917] 2 130.158.231.253 (130.158.231.253) [AS37917] 3 130.158.9.109 (130.158.9.109) [AS37917] 4 130.158.3.217 (130.158.3.217) [AS37917] 5 150.99.189.193 (150.99.189.193) [AS2907] 6 150.99.8.45 (150.99.8.45) [AS2907] 7 210.171.224.134 (210.171.224.134) [*] 8 172.70.120.2 (172.70.120.2) [AS13335] 9 104.16.132.229 (104.16.132.229) [AS13335] 10

Unicast ● IPアドレスが Cloudflare→OriginではIPアドレスを共有できない 大量に必要 Cloudflare IPx1万 IPx1万 東京 ロンドン サンフランシ スコ ニューヨーク IPx1万 IPx1万 UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 IPアドレスが各ホストに1つ設定されている Unicast 接続が1:1で 高速 目的のサーバ （Origin） Egress 独立してるので 信頼性が高い 11

発信専用 ● 発信専用を作る 遅い！ IPアドレスは 1つだけ Cloudflare 東京 ロンドン サンフランシ スコ ニューヨーク UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 発信専用 IP 目的のサーバ （Origin） Egress ここが止まると 全体に影響 12

解決策 ● IPアドレスは データセンター内でIPアドレスを共有 少なめ Cloudflare IP IP 東京 ロンドン サンフランシ スコ ニューヨーク IP IP UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 接続が1:1で 高速 目的のサーバ （Origin） Egress 独立してるので 信頼性が高い 13

データセンター内でIPを共有 ● すごいNAPT/Load Balancer（Unimog）を作った ● Layer 4 Load Balancer ○ L4までだけ見て負荷分散 マシン1 16384-18431 マシン2 18431-20479 マシン3 20479-22527 Unimog インターネット 103.21.244.?/? UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 14

データセンタごとにIPを振る 特定のIPで処理させたい場合 Cloudflare 198.51.100.1 ユーザ オリジンサーバ サンフランシスコDC 東京DC 198.51.100.1 (Anycast) Unimog Unimog マシンA マシンB 近くの 198.51.100.1は 東京DCだな Ingress 198.51.100.1 はSFが持ってるな UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 Egress 15

まとめ ● Edge Computingって面白い！ ● IPv4は有限！ UNTIL. LT #0x03 | 第33回 学生エンジニアLT大会 in 東京 16