大鸟有些项目是用CloudFlare解析的,当然,国内的就不要用了,用了,反而会慢。而且,CF有严重的滥用情况,各种被墙也是肯定的,所以说,如果要用,我们可以测试CloudFlare给的ip,如果线路畅通,那么就可以解析。
CloudFlare作为CDN大佬,在CDN这条道路上已经远远地甩开国内某些CDN一条街了。CloudFlare最开始运营于2010年,2011年因成功抵御了黑客组织LulzSec的攻击后开始展露头脚,到现在只要是被攻击的网站基本上可以看到CloudFlare的身影。
回顾当年,与CloudFlare一起存在的有什么加速x、XX卫士、XX宝,现在要么被收购,要么被关闭,要么就是“原地踏步”,依然是老样子。CloudFlare有免费版的付费版,不过CloudFlare的免费版已经足够我们个人网站使用了,抵御一般的DDos一直开启5秒盾即可。
大鸟简单的来说下CloudFlare常用的cdn、ssl、ddos等的使用攻略。
一、CloudFlare DNS解析
官网:https://www.cloudflare.com/
接入CloudFlare CDN方式一:修改NS服务器接入。直接到CloudFlare官网,添加你的域名,然后CloudFlare就会出NS服务器,你需要到你的域名注册商那里将域名的NS服务器修改为CloudFlare的就行了。
接入CloudFlare CDN方式二:使用A记录或者CNAME记录。不想修改自己的NS服务器,而是想要使用A记录或者CNAME记录,你可以使用CloudFlare Partner,这是官方推出的一项合作服务。可惜的是大鸟申请的迟了,CloudFlare Partner大鸟申请了3次没有成功。
不过个人博客还是可以使用的,因为他们家有免费版本,如何使用大鸟这里先不说了!
如果不是使用的CloudFlare Partner,则可以在CloudFlare 官网平台中管理DNS。这里是要先接入CloudFlare的dns之后才可以管理!如图:
CloudFlare 支持绝大多数的DNS域名解析记录。如图:
二、CloudFlare开启DNSSEC
DNSSEC是为解决DNS欺骗和缓存Wu染而设计的一种安全机制,英文名称叫Domain Name System Security Extensions,利用密码技术,使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。
CloudFlare支持一键开启DNSSEC,前提是你必须使用CloudFlare的NS服务器。我们在dns管理面板中即可找到如图:
在CloudFlare开启了DNSSEC后,会提供相关的CloudFlare记录。
将这些记录填写到你的域名注册商(前提是你的域名注册商支持DNSSEC)即可。比如name.com我们可以在 Nameservers 找到 DNSSEC Management
DNSSEC ,如果实在不会配置就不要勉强了。配置错误,网站会打不开!
三、CloudFlare免费SSL证书
点击“Crypto”可以管理SSL证书,CloudFlare为大家提供免费的SSL证书,如果你的服务器上没有SSL证书,你可以选择Flexible SSL模式,这样用户访问到的依然是https,而CDN与你的服务器之间通信用Http。关于Crypto 这块,可以看这篇文章:【详细整理Cloudflare开通和设置SSL证书的功能】
Full SSL (Strict):这个模式是我们常用的,需要CF到服务器端安装SSL证书而且必须是认证过的证书,不可以自签证书。我们可以用免费的DV SSL或者Let's证书都可以。
Always Use HTTPS可以让你的网站实现Http自动跳转到Https上,如果你的网站已经有301自动跳转,则可以将此关闭。(也就是301强制跳转到Https)
CloudFlare CDN提供的,HSTS可以让你的网站在第一次访问时就使用Https连接,而不是由Http跳转到Https。
对于不想使用CloudFlare免费SSL证书的朋友,可以选择关闭CloudFlare的SSL证书。
CloudFlare支持Minimum TLS Version的选择,我们可以选择TLS1.2,1.3。当然我们可以一键开启
TLS 1.3,Enable the latest version of the TLS protocol for improved security and performance.(启用最新版本的TLS协议以提高安全性和性能。)
四、CloudFlare防护模式
点击 Firewall 我们到这个功能模块,当你的网站已经被DDos打得不行的时候,可以在Firewall的安选择 Security Level 在选项中将防护模式设置为 I'm Under Attack(我正在遭受攻击)。
这样就可以开启CloudFlare经典的5秒盾,此功能已经被瓦工VPS等采用,防护效果非常好,如下图:
五、CloudFlare加速设置
我们到Speed加速模式,由于CloudFlare的服务器在国外,所以如果用的是CN2 VPS、香港VPS、韩国VPS以及日本VPS等,使用CloudFlare后加速效果不明显,但是如果你用的是欧洲或者其它地方的VPS,那么CloudFlare加速效果是非常好的。
自动压缩这里,我们一般不压缩JS,只选后两个。所以静态网页压缩效果会更好,速度提升也更明显。不过CloudFlare Railgun加速服务需要付费才能使用,Railgun可以大大提升网站的响应速度,尤其对于动态内容的网站非常有效。
六、CloudFlare缓存设置
CloudFlare可以设置浏览器缓存以及永久在线功能,你也可以直接在CloudFlare官网中一键清除缓存。如图:
七、CloudFlare Page Rules
文档:https://support.cloudflare.com/hc/en-us/articles/218411427
CloudFlare Page Rules主要是用来方便你更加精准地控制好网站的某一个页面适用CloudFlare的CDN或者缓存规则,免费用户有3条规则可以添加。
从我个人的使用体验来看,CloudFlare Page Rules比较实用的功能有实现页面301跳转、控制某些经常更新的页面不生成缓存、调整特定的页面的安全防护等级等。大鸟用的wordpress建站,网站后台:www.vps100.net/wp-admin/* 可以设置为不缓存,如图:
a、网站后台:www.vps100.net/wp-admin/* 设置为不缓存(Bypass)
b、评论分页:www.vps100.net/*/comment-page-* 设置为不缓存(Bypass)
c、网站前台:*www.vps100.net* 设置为前后通配都缓存(Cache Everything)
八、总结
CloudFlare使用起来也有不少的问题,例如DNS解析速度慢以及DNS修改后生效慢等,另外虽然说现在CloudFlare的CDN服务在国内还可以正常访问,不排除以后滥用后CloudFlare DNSSEC节点无法访问的问题。
CloudFlare滥用的问题实在是太严重,这篇文章写的很乱,说这么多,大鸟发现最好用的功能就是5秒盾牌,瓦工现在都在用,如果我们一直被攻击,不放开启 I'm Under Attack 但是国内的也没必要上CF了。