Cloudflare — 先导篇
Cloudflare 之 你不知道的赛博菩萨
一、Cloudflare简介
- 什么是Cloudflare
- Cloudflare发展历程
- Cloudflare的全球网络
二、安全防护
- DDoS攻击防护
- Web应用防火墙(WAF)
- Bot管理
- SSL/TLS加密
- 电子邮件
- 零信任安全访问
三、性能优化
- 内容分发网络(CDN)
- Argo智能路由
- 负载均衡
- 图像和移动优化
- 全球网络加速
四、可靠性
- 始终在线
- 零宕机部署
- 原点故障保护
五、无服务器计算
- Cloudflare Workers无服务器应用平台
- Durable Objects持久化存储
六、网络服务
- 域名注册
- DNS解析
- Spectrum 代理任意TCP/UDP流量
七、开发者工具
- Pages静态网站托管
- Stream视频流媒体
- Images图像优化处理
- 访问管理和身份验证
八、分析和监控
- 网络流量和威胁分析
- 智能洞察和可视化报表
- 日志管理
九、集成和API
- 与第三方服务集成
十、企业级功能
- 数据本地化和合规性
- 专属SSL证书
- 7*24小时专家服务
十一、结语
- Cloudflare如何让互联网更快更安全
- 企业和开发者如何利用Cloudflare构建现代应用
- Cloudflare未来的发展方向
正文
一、Cloudflare简介
Cloudflare是一家总部位于美国旧金山的跨国IT企业,成立于2009年。它主要为客户提供基于反向代理的内容分发网络(CDN)、DDoS攻击防护、互联网安全管理、域名注册等服务。Cloudflare拥有遍布全球250多个城市的网络,据称可以覆盖全球95%的互联网用户。Cloudflare的使命是"帮助构建一个更好的互联网"。多年来,Cloudflare不断创新,将大型网站才用得起的各种安全、性能优化技术普及到每一个网站。Cloudflare就像一尊"赛博菩萨",默默守护着互联网的安全,加速着互联网的访问。
二、安全防护
安全一直是Cloudflare的核心竞争力。Cloudflare提供多层次、全方位的安全防护,抵御各种网络威胁。
DDoS攻击防护
Cloudflare利用其全球网络和智能系统,可以有效抵御各种大规模DDoS攻击,包括第3/4/7层攻击。Cloudflare每天都在处理数百万次攻击,积累了丰富的威胁情报。
注:
- 免费版功能够用
- 付费版(20 刀):提供了更多的WAF 托管规则集,保护您的站点免受零日威胁、OWASP 10 大攻击等的影响。
Web应用防火墙
Cloudflare的WAF可以防护常见的Web攻击,如SQL注入、跨站脚本、敏感信息泄露等。它支持自定义规则,灵活配置。
注:
- 自定义规则:保护您的网站和 API 免受恶意流量的侵害。免费版只有 5 个规则。(比如需要放行一些爬虫)
- 速率限制规则:免费版只有 1 个规则。(比如全局 API 速率限制)
Bot管理
Cloudflare先进的Bot检测引擎,可以识别恶意爬虫、撞库、内容抓取等自动化攻击,有效保护站点资源。
注:
- TODO
电子邮件
可以将自定义企业邮箱转发到 Gmail。会在之后的博客中详细介绍整个流程。
SSL/TLS加密
Cloudflare免费提供SSL证书,一键开启HTTPS。 它还支持最新的TLS 1.3协议和HSTS技术,全面加密传输。
注:
- 对于 Pages、Workers 应用无需关注。
- 出现循环重定向错误,建议将SSL/TLS 加密模式为 完全(严格)
- 建议开启小黄云:这表示会将你的源站 IP隐藏,防止 DDOS 攻击等一系列好处。
零信任安全访问
Cloudflare Access实现了先进的零信任安全访问理念。它以用户和设备为中心,提供细粒度的身份验证和授权,远比传统VPN更安全。
注:
- 类似于 tailscale
三、性能优化
Cloudflare不仅让网站更安全,也让网站更快。Cloudflare通过内容缓存、协议优化、网络加速等方式,显著提升网站性能。
内容分发网络(CDN)
Cloudflare在全球部署了大量缓存节点,可以将静态内容缓存在离用户最近的地方,大幅降低延迟,提高加载速度。
注:Jamstack 技术栈的出现,可以使动态的内容边缘化。这也是边缘计算的基础
Argo智能路由
Argo利用Cloudflare全球网络的实时测量数据,智能选择最优路径,绕开拥堵和故障,让动态内容也能更快到达用户。
注: 在网站的流量tab 页,需要付费使用。每月成本为 5.00 美元外加使用量。超过允许在 Cloudflare 与您的访问者之间发送的 1 GB 流量后,每 1 GB 需付费 0.1 美元。
负载均衡
Cloudflare的负载均衡不仅可以在多个源站间分担流量,还能自动检测并隔离异常源站,确保服务高可用。
图像和移动优化
Cloudflare会自动优化图像尺寸和格式,并针对移动设备进行优化,减少带宽占用,加快页面渲染。
注:
- 重设大小:免费
最多可以创建 20 个变体。 - 存储:每 100,000 张图像 5 美元(预付费)
您只需对原始图像付费。如果您有 10 张原始图像和 5 个配置的变体,只有 10 张原始图像会计入您的存储限制。 - 传送:每 100,000 张图像 1 美元(后付费)
您只需为所提供的图像数量付费。
全球网络加速
得益于Cloudflare遍布全球的网络,无论用户在哪里,都可以就近接入,获得低时延、高质量的访问体验。
注:
- 边缘计算的优点
- 这也是我为什么不推荐你使用 Vercel 的原因。Free 版单节点部署、数据库使用的是 Neon 提供的。有空会细说!
四、可靠性
Cloudflare致力于打造一个始终在线、永不宕机的网络,让客户安枕无忧。
始终在线
Cloudflare采用分布式无单点故障的架构,任何节点的故障都不会影响整体可用性。Cloudflare还内置了多种容错和冗余机制,能抵御大规模基础设施故障。
零宕机部署
Cloudflare支持原子化部署,保证在部署新功能时不中断在线业务。Cloudflare还提供自动回滚等功能,最大限度降低变更风险。
原点故障保护
即使源站完全宕机,Cloudflare也能利用缓存的页面,继续响应用户请求,给源站恢复争取时间。
五、无服务器计算
Cloudflare Workers是Cloudflare推出的革命性无服务器应用平台,让JavaScript代码直接在Cloudflare边缘网络运行,实现超低时延的动态交互。
注:
- 现在还支持 Python。持续看好 WASM 技术
- Pages 可以直接用Workers 的功能。之后细说
Cloudflare Workers
开发者可以用熟悉的JavaScript、TypeScript等语言编写应用,部署在Cloudflare全球网络,无需管理服务器。Workers天生支持现代Web开发范式,如FaaS、JAMStack等。
注:
- 类似的有 https://deno.com/deploy 、https://wasmer.io/ 等平台
Durable Objects
Durable Objects是Cloudflare专为Workers打造的全局低时延键值存储,让无服务器应用也能拥有持久化存储能力。它采用独特的Actor模型,保证了跨区域强一致性。
注:
- 计数器晓得不?
六、网络服务
作为一家网络服务公司,Cloudflare也提供域名注册、DNS解析、TCP代理等基础设施服务,一站式满足各种需求。
域名注册
Cloudflare Registrar提供简单、透明、安全的域名注册服务。它没有隐藏费用,支持双因素认证,自动开启DNSSEC。
注:
- 我一般使用 spaceship 然后转移到 Cloudflare 上。
DNS解析
Cloudflare拥有遍布全球的高性能DNS集群,可以提供快速稳定的DNS解析服务。它还支持DNS over HTTPS等隐私保护特性。
Spectrum
Spectrum是一种新型的反向代理服务,可以接管几乎任何TCP/UDP应用的流量,提供DDoS防护、TLS加密、全球负载均衡等增值功能。
七、开发者工具
Cloudflare为开发者提供了一系列易用的工具和平台,帮助开发者快速构建和部署现代应用。
注:
- 普通版对于构建次数是有限制的。但是我找不到全部的构建次数统计。批评!
Pages
Pages是一个全新的静态网站托管平台,原生支持Jekyll、Hugo、Gatsby、Next.js、Remix 等主流静态网站生成器,并与GitHub深度集成,实现了全自动构建部署流程。
注:
- CF 现在已经支持 Next.js SSR 和 SSG 在 Pages 上直接部署。参考本博客
- Remix 对于 CF 的支持是好于 Next.js 的。
- Vercel 中对于 Next.js 的部署做了大量的优化。有 vendor lock 的风险,非必要不使用。
Stream
Stream让视频流媒体开发变得前所未有的简单。它提供了一套完整的视频基础设施,包括上传、存储、转码、分发等,并提供了简洁的API,让开发者可以快速构建自己的视频应用。
Images
Images是一个可编程的图像处理和优化平台。开发者只需编写简单的URL规则,就可以对图像进行缩放、裁剪、格式转换、水印等处理,并自动优化图像以加快加载。
访问管理和身份验证
Cloudflare提供了一系列身份验证和访问控制工具,包括Access、Workers认证、JWT等,方便开发者管理用户身份和权限。
八、分析和监控
Cloudflare提供了强大的数据分析和可视化工具,帮助客户洞察网络状况,及时发现和解决问题。
注:
- 类似于 Vercel 的 Analysis
- 对于 Google 分析 或者其他分析服务,不需要写到代码中。可以直接通过Zaraz 来进行配置。
网络流量和威胁分析
Cloudflare的分析平台汇聚了海量的全球网络流量数据,并进行智能分析,用交互式图表呈现流量模式、受攻击情况等,让复杂的网络一目了然。
智能洞察和可视化报表
Cloudflare的机器学习算法可以自动发现网络异常,生成易于理解的可视化洞察,主动提醒客户关注。
日志管理
Cloudflare提供企业级日志管理方案,支持实时日志推送、灵活的日志检索和分析、长期存储等,是安全事件调查和合规审计的利器。
注:
- 需要开通 5 刀的 worker 服务
九、集成和API
Cloudflare提供了200多个集成,可以与各种第三方服务无缝连接,并提供了功能丰富的API,方便自动化管理。
注:
- 原有的 App 已经废弃
- 现在可以直接在 Pages 应用中选择,已经进入 Beta 阶段。
功能丰富的API支持自动化
Cloudflare提供了覆盖所有产品和功能的API,支持主流编程语言的SDK,让客户可以自动化管理Cloudflare服务,提高运维效率。
十、企业级功能
Cloudflare不仅适合个人开发者和中小企业,也为大型企业提供了专属的企业级功能。
数据本地化和合规
面对日益严格的数据保护法规,Cloudflare推出了数据本地化特性,支持将日志、密钥等敏感数据存储在指定区域,确保合规性。
注:
- 对于欧盟区的 SaaS 服务需要考虑 GPDR 合规
专属SSL证书
企业客户可以上传自己的付费SSL证书,或者使用Cloudflare的高级证书管理功能,灵活管理证书。
7*24小时专家服务
Cloudflare为企业客户提供7*24小时白金级技术支持,由经验丰富的工程师和安全专家提供架构咨询、故障排除、安全事件响应等服务。
十一、结语
Cloudflare用创新的技术让互联网变得更快、更安全、更可靠。无论是初创公司还是世界500强,都可以借助Cloudflare构建新一代的现代应用。展望未来,Cloudflare还将进一步拓展边缘计算、物联网安全、5G网络等领域,继续引领行业发展。Cloudflare就像一尊"赛博菩萨",默默守护着互联网的安全,加速着互联网的访问,造福每一个互联网用户。选择Cloudflare,就是选择一个更美好的互联网。
如果觉得这篇文章有见地,不妨给我的 Saasfly 项目点个 Star ⭐️,或者分享给更多对开源感兴趣的朋友们。感谢支持!
---------------------
本内容依据 CC BY-NC-SA 4.0 DEED 许可证进行授权。转载请附上出处链接。
