前几天我写了一篇博文，介绍了CloudFlare的全球分布式DNS基础设施，以及在您注册时，我们提供给您的每个ninja名称服务器不仅仅代表一台机器，而是我们在全球运营的每个数据中心中的一整组机器。评论中的一些人想知道这是怎么可能的，因为每个名称服务器的URL都映射到一个IP地址。答案是Anycast，但我想花些时间来解释一下这到底意味着什么。单播：一台机器，一个IP大多数因特网都是通过一种叫做单播的路由方案工作的。在单播模式下，网络上的每个节点都有一个唯一的IP地址。您可能已连接到无线网络并收到通知，您的IP地址已在使用中，当同一个单播网络上的两台计算机尝试使用同一个IP时，会发生这种情况。在大多数情况下，这是不允许的。路由器保存着世界IP地址的地图，并保持从一个节点到另一个节点的最短路径。一个路由器将把一个包交给另一个更接近最终目的地的路由器，直到包最终到达它被发送到的地址。如果您运行traceroute（适用于Mac和Windows的说明）到任何站点，都可以看到这些切换。以流行艺术、文化和科技博客为例laughingsquid.com. 如果我对他们的原始服务器执行跟踪路由，那么我会得到这样的结果。

其中的每一行，称为"hop"，代表一个路由器，承载我的请求的数据包正在通过它。路由器的名称中通常会有关于它们所在位置的线索。在本例中，源站似乎运行在达拉斯或达拉斯附近的机架空间服务器上（第13行知道DFW是达拉斯-Ft的机场代码，沃斯机场会将其泄露）。无论您从世界上的哪个地方执行traceroute，您最终都将到达在达拉斯运行的同一台服务器，因为它使用的是单播路由方案。每行的数字。这是三个时间样本，以毫秒为单位，一个包往返于特定路由器所需的时间。最后一行通常是最重要的，因为它是您和服务器之间实际网络延迟的估计值。对于我来说，大约50毫秒（相当不错）。选播：多台机器，一个IP虽然单播是运行网络最简单的方法，但它不是唯一的方法。在CloudFlare，我们广泛使用另一种称为Anycast的路由方案。使用Anycast，多台机器可以共享同一个IP地址。当一个请求被发送到一个任意的IP地址时，路由器将把它定向到网络上最近的机器上。返回我们的朋友laughingsquid.com. 他们是CloudFlare用户，因此，如果您请求他们的网站，则会返回一个或多个CloudFlare IP地址。在正常情况下，不管你在世界上的哪个地方，你都会得到相同的IP地址。然而，有12个数据中心的机器都在监听这些IP。因此，网络本身会将流量定向到最近的CloudFlare数据中心，您可以从那里发出请求。查看以下跟踪路线。

我从北加州跑这条路线。最近的CloudFlare数据中心位于圣何塞。如果仔细观察，跳数11到13都以"SJC"显示路由器，这是San的机场代码何塞。如果你运行同样的追踪路线laughingsquid.com从世界上的其他地方，您将看到请求到达离您最近的任何数据中心。速度、弹性和攻击缓解Anycast的实现并不简单，但如果您这样做，它有许多关键的好处。首先是速度。注意最后一跳的延迟大约为9.5毫秒。由于CloudFlare通常会回答来自其边缘的75%的请求，而不必访问源，因此我们能够节省大量的网络延迟。我们还选择了核心IBX数据中心，您的数据包可能会通过这些数据中心传输，这意味着即使我们必须返回原点，也几乎没有引入任何额外的延迟。除了速度之外，使用Anycast意味着网络可以非常有弹性。因为流量会找到最佳路径，所以我们可以让整个数据中心离线，流量将自动流向下一个最近的数据中心。Anycast的最后一个好处是它可以帮助减轻攻击。在大多数DDoS攻击中，许多被破坏的"僵尸"计算机被用来形成所谓的僵尸网络。这些机器可以分散在网络上，产生如此多的流量，以至于可以压倒一台典型的单播连接机器。CloudFlare的Anycasted网络的本质是，我们固有地增加表面积来吸收这种攻击。分布式僵尸网络将有一部分拒绝服务流量被我们的每个数据中心吸收。因此，随着我们不断扩大我们的网络并扩展到更多的数据中心，对我们的任何用户发起有效的DDoS攻击将变得越来越困难。建立一个真正的Anycasted网络并不容易。它要求你拥有自己的硬件，与你的上游运营商建立直接关系，并调整你的网络路由，以确保流量不会在多个地点之间"翻腾"。我们花时间在CloudFlare做这件事，因为它有助于确保我们所有的用户都能访问一个更快、更安全、更好的互联网。