Кто куда уехал от cloudflare?
- Автор темы ФАКЕР
- Дата начала
Raniyx
Проверенные
- Сообщения
- 13
- Реакции
- 7
- Баллы
- 305
Да уж, год пролетел незаметно. Поделюсь своим опытом и текущим состоянием дел по работе с Cloudflare в условиях ужесточения блокировок.
По ситуации с аккаунтами и ECH:
Продолжаю использовать Cloudflare, но пришел к важному выводу: проблемы со стабильностью часто коррелируют с историей оплаты. Заметил, что после использования платных услуг и последующего отказа от них, настройки через этот аккаунт начинали блокироваться РКН и провайдером более агрессивно. Сейчас перешел на "чистый" аккаунт, где никогда не подключался биллинг. После отключения ECH на всех доменах ситуация стабилизировалась. Даже при текущих "закрученных гайках" всё работает надежно.
Проблемы с локальными узлами:
Трудности начали возникать только в последние месяца четыре, в основном с серверами внутри РФ. Из недавних примеров: на прошлой неделе столкнулся с тем, что Питерский узел (TimeWeb* не реклама) перестал перенаправлять запросы на российский сервер (хотя TCP/UDP пробросы работают в штатном режиме). Анализ подтвердил массовую фильтрацию IP-адресов со стороны ТСПУ/РКН. Но как я понял, не одни они имеют нынешние трудности, а большинство хостеров.
Текущая архитектура:
Для обеспечения отказоустойчивости выстроил следующую схему (сейчас она работает на три сайта):
По ситуации с аккаунтами и ECH:
Продолжаю использовать Cloudflare, но пришел к важному выводу: проблемы со стабильностью часто коррелируют с историей оплаты. Заметил, что после использования платных услуг и последующего отказа от них, настройки через этот аккаунт начинали блокироваться РКН и провайдером более агрессивно. Сейчас перешел на "чистый" аккаунт, где никогда не подключался биллинг. После отключения ECH на всех доменах ситуация стабилизировалась. Даже при текущих "закрученных гайках" всё работает надежно.
Проблемы с локальными узлами:
Трудности начали возникать только в последние месяца четыре, в основном с серверами внутри РФ. Из недавних примеров: на прошлой неделе столкнулся с тем, что Питерский узел (TimeWeb* не реклама) перестал перенаправлять запросы на российский сервер (хотя TCP/UDP пробросы работают в штатном режиме). Анализ подтвердил массовую фильтрацию IP-адресов со стороны ТСПУ/РКН. Но как я понял, не одни они имеют нынешние трудности, а большинство хостеров.
Текущая архитектура:
Для обеспечения отказоустойчивости выстроил следующую схему (сейчас она работает на три сайта):
- Инфраструктура: Использую 4 VPS в двух разных локациях.
- Балансировка: Поверх них настроен балансировщик нагрузки (еще одна VPS в третьей локации).
- Точка входа: Основным прокси-сервером выступает VPS в Хельсинки. Через этот узел трафик проходит стабильно, он доступен даже при жестких белых списках.
- Основная локация: Основной сервер находится в России.
- Резервирование: Если основной прокси-сервер* перестает отвечать, система автоматически переключает на резервный в той же локации, но с другим IP. Если же «отлетает» и второй прокси, в работу вступают оставшиеся узлы.
Минусы: Единственная запара, это несколько личных кабинетов у различных хостеров, где нужно оплачивать всё это добро, поскольку никогда не беру подобное у одного поставщика услуг. Да и выходит это честно говоря дороговато, в месяц улетает на подобную сетку от 10к рублей. В общей сложности учитывая эксперименты и настройки было потрачено около 50к рублей. Стоило ли оно того? Не знаю, но вроде работает и не жалуюсь.
Защита и CDN:
В логах критических аномалий не наблюдаю. По поводу DDoS: на бесплатном тарифе атаки мощностью около 1 Гбит/с могут кратковременно «положить» сервис, но в таких случаях выручает оперативное перенаправление через резервный домен и прокси (Учитывая L4 и L7). Пускай сервис и не публичный, а для закрытого клуба, но даже такие как мы находят проблемы с DDoS атаками.
Итог:
Бесплатный тариф Cloudflare на текущий момент полностью закрывает мои потребности. Не могу подтвердить тезис о "полном бане" сервиса в РФ — при включенном статусе проксирования (Orange Cloud) на каждом из доменов всё функционирует.
Защита и CDN:
В логах критических аномалий не наблюдаю. По поводу DDoS: на бесплатном тарифе атаки мощностью около 1 Гбит/с могут кратковременно «положить» сервис, но в таких случаях выручает оперативное перенаправление через резервный домен и прокси (Учитывая L4 и L7). Пускай сервис и не публичный, а для закрытого клуба, но даже такие как мы находят проблемы с DDoS атаками.
Итог:
Бесплатный тариф Cloudflare на текущий момент полностью закрывает мои потребности. Не могу подтвердить тезис о "полном бане" сервиса в РФ — при включенном статусе проксирования (Orange Cloud) на каждом из доменов всё функционирует.
Последнее редактирование:
