Cloudflare 0520更新
CF管理面板的speed(性能优化)页面更新,现在后台激活后,可以看到更多性能细节,比如某项功能开启提升了多少性能百分比
,页面载入延时细节,目前排队入场制
功能新增:
HTTP/2增强,改善浏览器资源加载顺序(Pro及以上用户)
TCP优化(Pro及以上)
内部优化:
优化视频直播流
图像渐进载入Mirage(Pro及以上)
图像自适应设备缩放(商业版及以上)
JS执行优化,二进制AST(目前与谷歌尝试内测未公开)
CF管理面板的speed(性能优化)页面更新,现在后台激活后,可以看到更多性能细节,比如某项功能开启提升了多少性能百分比
,页面载入延时细节,目前排队入场制
功能新增:
HTTP/2增强,改善浏览器资源加载顺序(Pro及以上用户)
TCP优化(Pro及以上)
内部优化:
优化视频直播流
图像渐进载入Mirage(Pro及以上)
图像自适应设备缩放(商业版及以上)
JS执行优化,二进制AST(目前与谷歌尝试内测未公开)
关于无限Cloudflare Pro分发消息发布以后又冒出几家在兜售CF Pro,这算是分享了个小项目。这里具体披露一下完整细节和成本:
Plesk Web Host无限域版 : 1848元/年
ServerShield by Cloudflare插件:$226.80/年(含税5%合计238.14$/y:<1666.98元/年)这个Plesk拓展插件价格/税率:根据不同币种/地区调整
软件服务费总成本:<3514.98元/年
服务器成本:这个需要自己把握好,只需要最低配置,因为不依赖服务器运行只是接入工作
剩下是不断卖卖卖收回成本,定价什么的怎么开心怎么来。怎么来的人多怎么玩。
如何控制Pro版本使用权限?
两种方案,推荐b方案
a,Plesk管理后台上,删除指定域,移除完事
b,去申请CF合作伙伴,用户走合作伙伴完成接入,合作伙伴后台可以控制域名接入使用
目前CF Pro最近更新上线的加速功能:
图像优化,TCP优化都有继承
消息订阅@Cloudflare_CN
用户交流@CN_Cloudflare
Plesk Web Host无限域版 : 1848元/年
ServerShield by Cloudflare插件:$226.80/年(含税5%合计238.14$/y:<1666.98元/年)这个Plesk拓展插件价格/税率:根据不同币种/地区调整
软件服务费总成本:<3514.98元/年
服务器成本:这个需要自己把握好,只需要最低配置,因为不依赖服务器运行只是接入工作
剩下是不断卖卖卖收回成本,定价什么的怎么开心怎么来。怎么来的人多怎么玩。
如何控制Pro版本使用权限?
两种方案,推荐b方案
a,Plesk管理后台上,删除指定域,移除完事
b,去申请CF合作伙伴,用户走合作伙伴完成接入,合作伙伴后台可以控制域名接入使用
目前CF Pro最近更新上线的加速功能:
图像优化,TCP优化都有继承
消息订阅@Cloudflare_CN
用户交流@CN_Cloudflare
中国大陆访问CF网络不稳定?时好时坏(早上秒开,下午晚上抽风爆炸:移动(部分)/电信访问速度,稳定性远大于联通)
关于Cloudflare在中国的节点使用
CF与百度合作共建了国内节点,根据政策法规必需要ICP备案才可接入使用
对于没备案的中国站长提供以下方案
a,自费自建反代节点或者第三方反代集群(找小商家运营商开白名单或者国内周边:kr/sg/jp/hk/,组建节点集群):通过CF合作伙伴或者CF商业版,在geoDNS基础上把国内地区访问请求牵引到中国周边反代节点进行加速。
b,持续有效的缓解措施:通过页面规则配置开启全站缓存,将大幅度提高访问性能。注意:后台管理以及API接口也会被缓存,根据自身需要专门配置。
分配的接入点(IP)网络异常(部分运营商劫持/屏蔽)怎么办?
IP被滥用被屏蔽,请先多网络进行比对确认。解决措施:导出已有域名解析备份,使用新账号重新导入转移,即可获得新的接入IP或者原有账号通过第三方合作伙伴(比如:SuCloud宿云)进行接入获得全新的CF接入IP并解除DNS关联,此时可以通过第三方DNS选择CF目前在工作的接入IP进行解析。
关于Cloudflare在中国的节点使用
CF与百度合作共建了国内节点,根据政策法规必需要ICP备案才可接入使用
对于没备案的中国站长提供以下方案
a,自费自建反代节点或者第三方反代集群(找小商家运营商开白名单或者国内周边:kr/sg/jp/hk/,组建节点集群):通过CF合作伙伴或者CF商业版,在geoDNS基础上把国内地区访问请求牵引到中国周边反代节点进行加速。
b,持续有效的缓解措施:通过页面规则配置开启全站缓存,将大幅度提高访问性能。注意:后台管理以及API接口也会被缓存,根据自身需要专门配置。
分配的接入点(IP)网络异常(部分运营商劫持/屏蔽)怎么办?
IP被滥用被屏蔽,请先多网络进行比对确认。解决措施:导出已有域名解析备份,使用新账号重新导入转移,即可获得新的接入IP或者原有账号通过第三方合作伙伴(比如:SuCloud宿云)进行接入获得全新的CF接入IP并解除DNS关联,此时可以通过第三方DNS选择CF目前在工作的接入IP进行解析。
Cloudflare基于workers的在线路由(URL)/在线脚本/KV存储即将上线。
零服务器,登录Cloudflare管理面板在线开发调试的想法,更进一步
GAS做了许久不温不火的云应用/云脚本idea,即将由Cloudflare接力继续。敬请期待
零服务器,登录Cloudflare管理面板在线开发调试的想法,更进一步
GAS做了许久不温不火的云应用/云脚本idea,即将由Cloudflare接力继续。敬请期待
关于近两日网传的消息,实测TG默认设置只对联系人开放手机号码显示,实际无影响:因为加好友原本就会显示号码。所以下方注释消息无实际意义,但依然推荐更新:因为额外添加了公开频道绑定群组进行讨论的直达入口。
------以下消息无实际影响------
* 请尽快将 Telegram 升级至最新版,并且在隐私设置中,设置手机号码仅自己可见。
新版会部分默认显示手机号,今天已有多人由于隐私设置不当而使自己的手机号码泄露。
------以下消息无实际影响------
* 请尽快将 Telegram 升级至最新版,并且在隐私设置中,设置手机号码仅自己可见。
新版会部分默认显示手机号,今天已有多人由于隐私设置不当而使自己的手机号码泄露。
Cloudflare正在调查部分用户DNS记录更新过程出现长达18分钟的延迟生效问题
这些延迟只影响DNS解析记录更改和更新
使用第三方合作伙伴(IP/CNAME自定义接入)的用户也受影响(经网友@OxygenOS反馈,晚上20:25分实测:域名记录进行更新/添加操作,目前Cloudflare无法正常同步更新新的解析记录)
目前Cloudflare DNS对于老的解析记录正常运行
时间节点:2019年06月04日 北京时间16点17分起,Cloudflare DNS更新服务异常
21点已收到通告,目前DNS解析延迟生效:15分钟-2小时
23点53:已恢复DNS解析实时更新
这些延迟只影响DNS解析记录更改和更新
使用第三方合作伙伴(IP/CNAME自定义接入)的用户也受影响(经网友@OxygenOS反馈,晚上20:25分实测:域名记录进行更新/添加操作,目前Cloudflare无法正常同步更新新的解析记录)
目前Cloudflare DNS对于老的解析记录正常运行
时间节点:2019年06月04日 北京时间16点17分起,Cloudflare DNS更新服务异常
21点已收到通告,目前DNS解析延迟生效:15分钟-2小时
23点53:已恢复DNS解析实时更新
针对昨天发生的DNS解析异常情况
SuCloud宿云简单更新了状态页面:
现在可以通过首页进入节点状态页面查看到Cloudflare近期(当前一个月内)发生的所有事件
遇到Cloudflare异常:
可以在页面上很方便的追踪查看当前Cloudflare所有关键服务具体异常状态以及具体处理进度
刷新页面将实时获取状态更新
数据源自官方:CloudflareStatus.com
SuCloud宿云简单更新了状态页面:
现在可以通过首页进入节点状态页面查看到Cloudflare近期(当前一个月内)发生的所有事件
遇到Cloudflare异常:
可以在页面上很方便的追踪查看当前Cloudflare所有关键服务具体异常状态以及具体处理进度
刷新页面将实时获取状态更新
数据源自官方:CloudflareStatus.com
关于接入CF后的部分主动防御措施(不完全指南)
L7层防御
个人博客等静态页面为主的站点开一下CF的全站缓存可以大幅度提升用户访问速度以及获得极大防御能力
其它方面我们可以主动做的有:可以做一个搜集全网代理IP的软件,搜集验证这些IP后导入CF入站防火墙,可以屏蔽绝大部分来自L7层(俗称:cc攻击)低成本攻击来源(也可以在CF入站防火墙里限制威胁指数过高的IP访问,省了自己去找IP的麻烦,有一定程度误判)
配合软防限制请求频次(注意业务需要)主动推送到CF入站防火墙
合理启用CF的rate limit可以抵挡大部分攻击压力,
遇到有针对性的攻击,必要的话可以选择性开启CF的五秒盾or全站验证码模式(主动挨打,牺牲用户体验),分析日志,该拉黑的拉黑,存疑的扔验证码里去测试,顺路也能找到业务薄弱点进行手动加固和优化
L3/4层攻击
源站未泄露并做了入站防扫的话,接入CF后,来自L3/4层的所有攻击可以无视
对于主要以动态请求为主的站点可以考虑部署CF的RailGun(需要一定配置要求)相关资料自行查阅
当然源站自身(资金)才是一切的关键,要有一定软防策略以及配置:分布式负载(尽量拆分业务:前端/后端/数据库)避免单点故障,尽量选择GCP,AWS,AZ等拥有大带宽以及算力储备的云平台
L7层防御
个人博客等静态页面为主的站点开一下CF的全站缓存可以大幅度提升用户访问速度以及获得极大防御能力
其它方面我们可以主动做的有:可以做一个搜集全网代理IP的软件,搜集验证这些IP后导入CF入站防火墙,可以屏蔽绝大部分来自L7层(俗称:cc攻击)低成本攻击来源(也可以在CF入站防火墙里限制威胁指数过高的IP访问,省了自己去找IP的麻烦,有一定程度误判)
配合软防限制请求频次(注意业务需要)主动推送到CF入站防火墙
合理启用CF的rate limit可以抵挡大部分攻击压力,
遇到有针对性的攻击,必要的话可以选择性开启CF的五秒盾or全站验证码模式(主动挨打,牺牲用户体验),分析日志,该拉黑的拉黑,存疑的扔验证码里去测试,顺路也能找到业务薄弱点进行手动加固和优化
L3/4层攻击
源站未泄露并做了入站防扫的话,接入CF后,来自L3/4层的所有攻击可以无视
对于主要以动态请求为主的站点可以考虑部署CF的RailGun(需要一定配置要求)相关资料自行查阅
当然源站自身(资金)才是一切的关键,要有一定软防策略以及配置:分布式负载(尽量拆分业务:前端/后端/数据库)避免单点故障,尽量选择GCP,AWS,AZ等拥有大带宽以及算力储备的云平台
关于Cloudflare API预期更新:
按账号限定在指定域名在某一方面管理使用权限(比如:目前的RailGun)
或按域名分发管理员权限,而不必直接使用全局API KEY操作账号下所有域名,避免失手(被黑/被盗/内部滥用)打碎一篮子鸡蛋(账号下所有域名一锅端)的问题出现
此特性将大幅度提升账号整体安全性,
此特性近期即将进行公测,
SuCloud宿云将会同步支持这种方式
#CF预告
按账号限定在指定域名在某一方面管理使用权限(比如:目前的RailGun)
或按域名分发管理员权限,而不必直接使用全局API KEY操作账号下所有域名,避免失手(被黑/被盗/内部滥用)打碎一篮子鸡蛋(账号下所有域名一锅端)的问题出现
此特性将大幅度提升账号整体安全性,
此特性近期即将进行公测,
SuCloud宿云将会同步支持这种方式
#CF预告
请注意:DNSsec flag验证问题!
有一部分使用Cloudflare CNAME接入并同时使用Cloudflare DNS的朋友并没有注意到自己的域名在海外没有得到正常解析(DNSsec未通过验证的查询在8.8.8.8/1.1.1.1等海外公共DNS中,将会抛弃解析结果返回空值)
特征:
国内DNS目前因未全面启用DNSsrc flag验证机制(1.2.4.8等国内公共DNS直接是忽略且不验证策略)所以可以正常解析域名IP并正常访问;
但是海外(以及使用8.8.8.8/1.1.1.1作为DNS的用户)访问流量锐减,谷歌爬虫报错增多,域名无解析结果返回
检测命令:
解决办法:
a,将DNS改为切换接入后域名所在账号指定的Cloudflare NS值(登录SuCloud宿云查看DNS选项卡)
b,使用第三方DNS(国内主流DNS大部分都选择不验DNSsec模式,只应答DNSsec验证请求,所以都是足够正常使用的)
c,可以考虑配置域名DS,全面启用DNSsec(切记:启用DNSsec在转移解析时也会需要验证以及缓存生效时间,错误配置将会导致域名无法正常解析)
#注意事项
有一部分使用Cloudflare CNAME接入并同时使用Cloudflare DNS的朋友并没有注意到自己的域名在海外没有得到正常解析(DNSsec未通过验证的查询在8.8.8.8/1.1.1.1等海外公共DNS中,将会抛弃解析结果返回空值)
特征:
国内DNS目前因未全面启用DNSsrc flag验证机制(1.2.4.8等国内公共DNS直接是忽略且不验证策略)所以可以正常解析域名IP并正常访问;
但是海外(以及使用8.8.8.8/1.1.1.1作为DNS的用户)访问流量锐减,谷歌爬虫报错增多,域名无解析结果返回
检测命令:
/dig@SuCloudBot 域名解决办法:
a,将DNS改为切换接入后域名所在账号指定的Cloudflare NS值(登录SuCloud宿云查看DNS选项卡)
b,使用第三方DNS(国内主流DNS大部分都选择不验DNSsec模式,只应答DNSsec验证请求,所以都是足够正常使用的)
c,可以考虑配置域名DS,全面启用DNSsec(切记:启用DNSsec在转移解析时也会需要验证以及缓存生效时间,错误配置将会导致域名无法正常解析)
#注意事项
CloudFlare Argo Tunnel开放免费版
CloudFlare 为 Argo 用户提供内网隧道回源服务——ArgoTunnel,可以用于内网转发、隐藏源站等
注意:免费版限速,仅供测试和尝鲜,Cloudflare没有 SLA 保证
来源出处:https://blog.cloudflare.com/a-free-argo-tunnel-for-your-next-project/
#消息
CloudFlare 为 Argo 用户提供内网隧道回源服务——ArgoTunnel,可以用于内网转发、隐藏源站等
注意:免费版限速,仅供测试和尝鲜,Cloudflare没有 SLA 保证
来源出处:https://blog.cloudflare.com/a-free-argo-tunnel-for-your-next-project/
#消息
#部分用户反馈
Pro计划用户只看到SSL签发有一张ECC证书
Pro及以上用户专属的全设备兼容的RSA证书在一部分子域名上没有签发
原因:
之前非Pro状态转移接入,该子域名已签发有ECC证书,升到Pro及以上后并不会主动触发新的证书签发更新
解决办法:
a,个别子域:切换一下CDN状态即可立即签发;点两下DNS解析右侧的云朵:关闭CDN然后再开启CDN,刷新SSL页面即可查看到RSA证书签发状态
b,多个子域情况下:在SSL(加密)页面,禁用该域名所有SSL证书(Disable Universal SSL)重新打开恢复启用即可刷新全域SSL
Pro计划用户只看到SSL签发有一张ECC证书
Pro及以上用户专属的全设备兼容的RSA证书在一部分子域名上没有签发
原因:
之前非Pro状态转移接入,该子域名已签发有ECC证书,升到Pro及以上后并不会主动触发新的证书签发更新
解决办法:
a,个别子域:切换一下CDN状态即可立即签发;点两下DNS解析右侧的云朵:关闭CDN然后再开启CDN,刷新SSL页面即可查看到RSA证书签发状态
b,多个子域情况下:在SSL(加密)页面,禁用该域名所有SSL证书(Disable Universal SSL)重新打开恢复启用即可刷新全域SSL
DNS解析,用户审核日志,Argo隧道,Spectrum配置,SSL证书设置;更新设置以上功能将会出现延迟生效(最大30分钟)
03:52分:因为广播服务产生缓存风暴,现在更新设置最大生效延迟为2小时
06:13分:已解决
#事件 #Cloudflare异常
03:52分:因为广播服务产生缓存风暴,现在更新设置最大生效延迟为2小时
06:13分:已解决
#事件 #Cloudflare异常
Telegram for Android v5.8.0
实测修复v5.7.1一些交互bug,同时更新了一系列功能,包括:附近的人、免通讯录添加好友、群组转让等
新特性描述:
- 添加附近的人和群组,支持创建和加入基于地理位置的聊天群组
- 转移群组/频道所有权
- 将任何用戶添加到联系人而无需知道其电话号码,在其资料页面可以选择"添加至联系人(Add As Contact)"
- 为特定的聊天切换消息预览,在"通知例外"设置中增加"搜索"和"删除全部"的功能
#Telegram更新 #TG更新 #Android #更新
推荐更新
实测修复v5.7.1一些交互bug,同时更新了一系列功能,包括:附近的人、免通讯录添加好友、群组转让等
新特性描述:
- 添加附近的人和群组,支持创建和加入基于地理位置的聊天群组
- 转移群组/频道所有权
- 将任何用戶添加到联系人而无需知道其电话号码,在其资料页面可以选择"添加至联系人(Add As Contact)"
- 为特定的聊天切换消息预览,在"通知例外"设置中增加"搜索"和"删除全部"的功能
#Telegram更新 #TG更新 #Android #更新
推荐更新
19:02 检测到BGP劫持,部分Cloudflare IP段路由异常,正在联系修复
21:02 已解决
事件简述:AS33154(DQE:错误BGP广播)>>>AS701(Verizon:过滤/验证不严)>>>巨量的访问请求被错误的广播导向了一个狭小的路由造成严重堵塞,受影响互联网服务(Amazon、Linode、Facebook和CloudFlare等)
事件说明以及详细分析:https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/
21:02 已解决
事件简述:AS33154(DQE:错误BGP广播)>>>AS701(Verizon:过滤/验证不严)>>>巨量的访问请求被错误的广播导向了一个狭小的路由造成严重堵塞,受影响互联网服务(Amazon、Linode、Facebook和CloudFlare等)
事件说明以及详细分析:https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/
本周前26日Google宣布:准备分阶段淘汰Google公共DNS的实验版DoH切换支持RFC 8484标准DoH,7月23日开始将定重向/experimental API到新的域名:dns.google,直至明年2020年6月23日将dns.google.com流量完全转移至dns.google,DoH标准目前在Firefox/Android 9/Cloudflare 公共DNS上支持/工作良好
公告:https://security.googleblog.com/2019/06/google-public-dns-over-https-doh.html
时间线:https://developers.google.com/speed/public-dns/docs/doh/migration#timeline
公告:https://security.googleblog.com/2019/06/google-public-dns-over-https-doh.html
时间线:https://developers.google.com/speed/public-dns/docs/doh/migration#timeline