Usługi firmy Cloudflare.com

[spex]

Czy dobrze kojarzę, iż pod ich DNSa można podpiąć tylko domenę drugiego lub trzeciego poziomu (czyli .pl lub .com.pl) czy uda mi się podpiąć domenę 4 poziomu? Czy wtedy wystarczy iż w serwerze domeny 3 poziomu ustawię rekordy NS i wskaże na te dwa serwery CF?

[Tom X]

Są pewne ograniczenia:
https://developers.cloudflare.com/ssl/troubleshooting/version-cipher-mismatch/#multi-level-subdomains

[spex]

Ale tu jest akurat o ich SSL, a nie DNS  

[sempre]

@psz pomoże

[psz]

Należy odróżnić "(sub)domenę" (rekord DNS) od "strefy DNS" (zbioru rekordów DNS pod jednym zarządcą).

 

Cloudflare domyślnie pozwala (i rekomenduje) dodanie domeny (w rozumieniu nazwy, którą się kupuje u rejestratora, w tym celu używamy listy https://publicsuffix.org/) jako strefy DNS. Cloudflare staje się wtedy serwerem autorytatywnym DNS (jest to tak zwany "Full setup"). W tak utworzonej strefie DNS można dodawać dowolne rekordy DNS, również głębszego poziomu.

 

Działają wszystkie typowe usługi, jakie oferujemy, z małym wyjątkiem. Domyślnie generujemy certyfikat SSL wildcard dla tak dodanej domeny (dajmy dla przykładu "example.com"), a więc certyfikat będzie miał wpisy:

• example.com
• *.example.com (dowolny rekord pierwszego poziomu, nie obsługuje kropek)

 

O ile więc można dodać dowolną subdomenę jako rekord DNS, HTTPS nie będzie działać ze względu na brak wpisu w certyfikacie SSL. Ten problem można rozwiązać dwojako:

• wykupić dodatkową usługę Advanced Certificate ($10/miesięcznie), co pozwala:
  • wygenerować certyfikat z dowolnie wybraną kombinacją poddomen (do 50)
  • włączyć funkcję Total TLS, która automatycznie wygeneruje certyfikat dla każdego rekordu DNS z włączonym proxy
• wykupić plan Business ($250/miesięcznie, $200/miesięcznie przy płatności rocznej), które pozwala uploadować własny certyfikat SSL

Cloudflare pozwala dodać jako strefę DNS subdomenę w planie Enterprise (np. blog.example.com), ale wg mnie są ku temu głównie dwa powody:

• chcemy osobno zarządzać poddomeną (a dostępna funkcjonalność reguł nam nie odpowiada: Transform/Origin/Compression/Configuration Rules, URL normalization, URL forwarding, Page Rules, etc.)
• chcemy oddać poddomenę w zarządzanie ograniczonej liczbie osób (np. działowi w firmie lub podwykonawcy)
• bonus: Cloudflare automatycznie wygeneruje certyfikat SSL dla nazw: blog.example.com, *.blog.example.com

Jeśli powodem, dla którego chcesz dodać subdomenę, jest uniknięcie delegowania domeny na nasze serwery autorytatywne DNS (poprzez zmianę rekordów NS u rejestratora), w planie Business dostępny jest tzw. "Partial setup". Do panelu dodaje się domenę "example.com", ale zamiast dokonywać delegacji domeny, w panelu dotychczasowego hostingu DNS dodaje się wpisy CNAME, np. blog.example.com CNAME blog.example.com.cdn.cloudflare.net. Sytuacja związana z certyfikatami SSL jest taka sama, jak opisana powyżej, z dodatkową komplikacją, że generowanie certyfikatu wymaga kilku dodatkowych rekordów DNS.

 

Dodatkowa lektura nt. różnych "setup": https://developers.cloudflare.com/dns/zone-setups/

 

TL;DR: Da się dodać poddomenę do Cloudflare, jednak metoda zależy od konkretnej potrzeby. @spex napisz do mnie na PW z Twoim konkretnym problemem, a postaram się wskazać konkretne rozwiązanie.

Edytowane 26 Lutego przez psz

[spex]

Chodzi mi o podpięcie domeny konkurs.blog.example.com i skorzystanie z proxy, tak by osoby z zewnątrz ni wiedziały jakie jest faktyczne IP serwera.

[l3szcz]

@psz 
Mam jedno pytanko - jak są domeny typu, nie wiem, domena.gdansk.pl - Cloudflare ich nie obsłuży z tego co widziałem i zrozumiałem?
Bo mamy te nasze domeny regionalne i widzę, że z nimi może być drobny problem.

[Tweedlex]

55 minut temu, l3szcz napisał(a):

@psz 
Mam jedno pytanko - jak są domeny typu, nie wiem, domena.gdansk.pl - Cloudflare ich nie obsłuży z tego co widziałem i zrozumiałem?
Bo mamy te nasze domeny regionalne i widzę, że z nimi może być drobny problem.

https://developers.cloudflare.com/fundamentals/setup/manage-domains/add-site/

 

https://github.com/publicsuffix/list/blob/master/public_suffix_list.dat

 

Wygląda  na to że domena gdansk.pl powinna działać.

Edytowane 27 Lutego przez Tweedlex

[Tom X]

W dniu 23.02.2024 o 20:45, spex napisał(a):

Ale tu jest akurat o ich SSL, a nie DNS  

Owszem, bo ograniczenia dotyczą SSL.
http://konkurs.blog.example.com będzie działać w podstawowej (bezpłatnej) wersji usługi CF, jeżeli Cię to satysfakcjonuje.

[psz]

5 godzin temu, Tweedlex napisał(a):

Wygląda  na to że domena gdansk.pl powinna działać.

 

Zgadza się, powinno działać.

 

7 godzin temu, spex napisał(a):

Chodzi mi o podpięcie domeny konkurs.blog.example.com i skorzystanie z proxy, tak by osoby z zewnątrz ni wiedziały jakie jest faktyczne IP serwera.

 

W takim razie polecam dodać "example.com" i dokupić Advanced Certificate.

"http://" będzie działać bez dokupienia usługi, ale współczesne przeglądarki WWW raczej spodziewają się i wymagają "https://".

[l3szcz]

A .com.pl?

[psz]

Wszystko na tej liście: https://github.com/publicsuffix/list/blob/master/public_suffix_list.dat, więc tak, .com.pl także.

Edytowane 27 Lutego przez psz

[Pawel_15]

Temat tyczy się usług od Cloudflare więc pozwolę sobie na jedno szybkie pytanie do @psz i nie wtryniam się w domenową dyskusję - planujecie może w dającej przewidzieć się przyszłości w usłudze stream wdrożyć rozdzielczość większą niż 1080p? Może niekoniecznie 2160p ale chociaż 1440p?

[psz]

Nic nie wiem na ten temat, ale mogę popytać.

[kafi]

Jako, że temat dość ogólnie dotyczy usług Cloudflare, to takie ogólne pytanko.

Istotą stosowania CDN jest w założeniu to, żeby zoptymalizować dostarczanie treści

i serwować ją z sieci rozproszonej jak najbliżej użytkownika końcowego.

Czy taka "optymalizacja" jak w załączniku to rzecz standardowa i normalna,

czy też fartownie trafiłem na jakąś okołoświąteczną awarię/anomalię kierowania ruchem?

[Pioters]

49 minut temu, kafi napisał(a):

Jako, że temat dość ogólnie dotyczy usług Cloudflare, to takie ogólne pytanko.

Istotą stosowania CDN jest w założeniu to, żeby zoptymalizować dostarczanie treści

i serwować ją z sieci rozproszonej jak najbliżej użytkownika końcowego.

Czy taka "optymalizacja" jak w załączniku to rzecz standardowa i normalna,

czy też fartownie trafiłem na jakąś okołoświąteczną awarię/anomalię kierowania ruchem?

Nie, często można spotkać przekierowywanie ruchu poprzez Niemcy, jeśli nie ma się wykupionego dodatku lub pro do lepszego rutingu sieci.

 

Ruch jest sprawdzany po L4, co może także przełożyć się na inne wyniki niż w przypadku L7 finalnie jako obsługiwany CDN ponieważ CF rozgranicza protokoły - precyzyjne sprawdzisz która lokalizacja CDN się aktualnie obsługuje dodając "/cdn-cgi/trace" do linku strony.

Edytowane 2 Kwietnia przez Pioters

[theqkash]

6 minut temu, Pioters napisał(a):

często można spotkać przekierowywanie ruchu poprzez Niemcy

 

Tyle że tu idzie przez US.

[kafi]

55 minut temu, Pioters napisał(a):

 

Ruch jest sprawdzany po L4, co może także przełożyć się na inne wyniki niż w przypadku L7 finalnie jako obsługiwany CDN ponieważ CF rozgranicza protokoły - precyzyjne sprawdzisz która lokalizacja CDN się aktualnie obsługuje dodając "/cdn-cgi/trace" do linku strony.

 

W swojej sieci, to owszem, można zasłaniać się polityką QoS i różną obsługą ruchu w zależności od protokołu.

Ale w to, że czy to T-mobile czy Dtag robią takie fikołki, że analizują ruch L7 i WłaściwyRuchHttp puszczają jakąś tajną rurą to wybacz, ciężko uwierzyć  

Tym bardziej, że zrobienie mtr z parametrami -T -P 80 niezbyt wpływa na pokazywaną ścieżkę, jak i czas odpowiedzi tej strony "trace" także zdaje się potwierdzać teorię, że odpowiedź (przynajmniej pod względem sieciowym) przychodzi właśnie z USA; a loc pokazywane w tej stronie statusowej to geolokalizacja adresu IP użytkownika a nie węzła CDN do którego się łączy.

 

EDIT: Źle doczytałem opis parametrów. Po korekcie - nawet i ta strona statusowa wskazuje colo=EWR czyli Newark w USA

 

Edytowane 2 Kwietnia przez kafi

[Pioters]

7 godzin temu, kafi napisał(a):

różną obsługą ruchu w zależności od protokołu

https://developers.cloudflare.com/fundamentals/reference/network-layers/

7 godzin temu, kafi napisał(a):

geolokalizacja adresu IP użytkownika a nie węzła CDN

Nie otrzyma się adresów CDN tylko identyfikatory co najwyżej.

 

7 godzin temu, kafi napisał(a):

colo=EWR czyli Newark w USA

Zdecydowanie nie jest jak powinno być, napisz do nich reporta na maila z danymi  błędnego rutingu być może nie zwalą winy na twojego dostawcę

Edytowane 3 Kwietnia przez Pioters

[psz]

@kafi: Zgłoś ten problem do Twojego ISP (T-Mobile Polska). Nie mogę nic więcej powiedzieć w tej sprawie.

Edytowane 3 Kwietnia przez psz

[kafi]

Patrząc na taki komentarz, to (niestety) niezbyt na awarię wygląda, więc... co to da, że ja to zgłoszę ? 

Odpowiedź będzie bardziej niż pewna, że strona przecież działa, a że z latencją >100ms, to niech sobie CF wykupi bezpośredni styk, to będzie działać dobrze (o ile to chociaż przebije się do jakiegoś inżyniera przez mur żółtodziobów z bokbetonu)

 

Zdaje sobie sprawę, że to operator internetu kształtuje swoją politykę wyjściową i to głównie od niego zależy, no ale z drugiej strony to dostawcy CDN powinno też zależeć na tym, żeby zniwelować to, że w przypadku jednego z wiodących krajowych operatorów w PL (bo gdyby to był jakiś trzepak skąpiący na ruchu, to rozumiem, że nikt tego poważnienie nie traktuje) to usługa zamiast poprawiać szybkość wczytywania strony, to... znacząco ją... pogorsza.

Edytowane 3 Kwietnia przez kafi

[Mion]

2 godziny temu, kafi napisał(a):

to dostawcy CDN powinno też zależeć na tym, żeby zniwelować to, że w przypadku jednego

Jeśli korzysta z darmowego CDN może mieć inny - niższy priorytet lub inne "gorsze" działanie usługi niż wersji płatnej. 

[kafi]

9 minut temu, Mion napisał(a):

Jeśli korzysta z darmowego CDN może mieć inny - niższy priorytet lub inne "gorsze" działanie usługi niż wersji płatnej. 

Po co stosować usługę, która pogarsza wczytywanie strony, zamiast je polepszać? To nie kiełbasa, że jak za darmo to każda dobra

To tak, jakby w sklepie z owadem czy płazem po zeskanowaniu kodu z ich appki/karty zniżkowej cena nagle o kilkanaście groszy na każdym produkcie wzrastała.

Edytowane 3 Kwietnia przez kafi