Cloudflare стоит ли?

[webair 179]

Здравствуйте. Прошу поделиться своими впечатлениями о работе с Cloudflare кто сталкивался.

Веб сервер nginx php-fpm + mysql.
Сервер от Селектел - Xeon E3-1230 v5 3.4ггц (4 ядра 8 потоков). ОЗУ 32гб. 2х240гб SSD. Канал 1гбит/с и 30ТБ трафика.

Не ляжет ли сервер при 0.5 млн посетителей в сутки? И найдутся недоброжелатели, которые попытаются подобрать пароли, сканировать порты и совершить DDoS.

Думаю, стоит ли подключать к Cloudflare на бесплатный или может на тариф за 20$. Будут ли проблемы с корректной работой фильтров Cloudflare, чтобы реальных пользователей не заблокировало. И попадется ли чистый IP, не заблокированный Роскомнадзором.

И будет ли вообще Cloudflare безлимитно фильтровать трафик? Если мне заполнят весь канал в 1гбит/сек, Cloudflare меня попросит поменять тариф на более дорогой?

 

И вопрос лично к @celsoft, было ведь время когда достаточно долго вы сидели на Cloudflare, а сейчас видно, что вы на Хецнере. Что то не понравилось? Или включаете cf при сильных атаках?

Вы ведь спалили свой ip, получается и cloudflare как сокрытие IP не поможет, при атаке на сетевую инфраструктуру. Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат. А если просто большое количество http запросов (L7), то нормально. Практикуете ли вы запреты по geo?

Изменено 10 декабря 2019 пользователем webair

[celsoft 6216]

19 минут назад, webair сказал:

И будет ли вообще Cloudflare безлимитно фильтровать трафик? Если мне заполнят весь канал в 1гбит/сек, Cloudflare меня попросит поменять тариф на более дорогой?

Нет конечно. Ни на бесплатном тарифе ни за 20$, только на тарифе за 200$

 

20 минут назад, webair сказал:

И попадется ли чистый IP, не заблокированный Роскомнадзором.

Может попасться запросто, причем на любом тарифе в том числе и за 200$. Вы не решаете какой IP вы получите а они меняются постоянно у сайта.

 

21 минуту назад, webair сказал:

Что то не понравилось? Или включаете cf при сильных атаках?

Все нравилось кроме цены. Мы пользуемся теперь услугами другой компании, а именно услугами дата центра по защите от DDOS.

 

22 минуты назад, webair сказал:

Вы ведь спалили свой ip, получается и cloudflare как сокрытие IP не поможет, при атаке на сетевую инфраструктуру. Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат.

Мы и не в селектел поэтому ?

[mr. Freeman 11]

В 10.12.2019 в 20:29, webair сказал:

Не ляжет ли сервер при 0.5 млн посетителей в сутки? И найдутся недоброжелатели, которые попытаются подобрать пароли, сканировать порты и совершить DDoS.

Прятать IP за CF это не всё что нужно делать, далеко не всё.

В 10.12.2019 в 20:52, celsoft сказал:

Нет конечно. Ни на бесплатном тарифе ни за 20$, только на тарифе за 200$

В 10.12.2019 в 20:29, webair сказал:

Думаю, стоит ли подключать к Cloudflare на бесплатный или может на тариф за 20$

Раньше они типо прямо в рекламе заявляли что выдержат любую атаку на вас и помогут с ней справится, но как обычно там куча звёздочек.
На старте нужно было заманить как можно больше сайтов, и это дало им результат.

В 10.12.2019 в 20:29, webair сказал:

И попадется ли чистый IP, не заблокированный Роскомнадзором.

Там пулы входных IP у балансировщика-прокси, забанены могут быть как отдельные IP так и подсети, к тому же там куча переменных, начиная от местоположения клиента, их узла, сервера.

В 10.12.2019 в 20:29, webair сказал:

Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат. А если просто большое количество http запросов (L7), то нормально.

От таких лучше сразу бежать, когда они рекламируют "Надёжная защита от DDoS" и при этом кучу звёздочек используют. Но так же нужно понимать что не будут за сервер в 5К отбивать атаку на гигабит, в РФ трафик вообще не дешёвый, особенно на мир, имею ввиду гарантированный канал, а не шаред непонятного качества.
30 Tb в месяц это по сути порт 100 Mb/s в полку в одну сторону, так что их шаред гигабит это маркетинговый ход, но там и цена наверное соответствующая.

В 10.12.2019 в 20:52, celsoft сказал:

Все нравилось кроме цены. Мы пользуемся теперь услугами другой компании, а именно услугами дата центра по защите от DDOS.

Ну бросьте, Hetzner как "дата центра по защите от DDOS" выглядит так же как "высоконадёжные и отказоустойчивые сервера на хоум железе", рекламировать анти DDoS их вынудил отток клиентов и соответствующее мнение потребителей об качестве их услуг и о том что они выпиливают сервера клиентов на раз, ну или счёт за трафик на такую сумму выставляют, что владельцу сервера в пору в рабство идти придётся.

В 10.12.2019 в 20:52, celsoft сказал:

Мы и не в селектел поэтому ?

Hetzner уже SLA на DDoS защиту делать начал? ?
А то нарассказывать они всегда готовы, а как отражать атаку в рамках недорогого сервера, так сразу "мы не обещали".


PS: Сами активно CF пользуемся, но есть нюансы, в том числе соответствующие "примочки" на сетевой инфраструктуре проектов, без этого их CDN и защита не очень съедобная при крупных проектах.

[celsoft 6216]

11 часов назад, mr. Freeman сказал:

Ну бросьте, Hetzner как "дата центра по защите от DDOS" выглядит так же как "высоконадёжные и отказоустойчивые сервера на хоум железе"

Смотря за какую цену. Необязательно брать хоум железо. Можно взять и серверное нормальное железо. Хотя и хоум железо, по опыту могу сказать у них неплохое именно за те деньги что они за него просят. Я в принципе уже наверное имею право сказать что у меня большой опыт за плечами, поэтому точно могу сказать что хоум железо Hetzner делает по качество многое не хоум наших хостинг провайдеров. Очень уж много я их повидал за время работы.

 

11 часов назад, mr. Freeman сказал:

Hetzner уже SLA на DDoS защиту делать начал? ?
А то нарассказывать они всегда готовы, а как отражать атаку в рамках недорогого сервера, так сразу "мы не обещали".

При любом DDoS уровень защиты это вопрос цены и никак иначе. Тот же CF не дает больше чем дает Hetzner при условиях одинаковой стоимости. И Hetzner мне например нравится каналами, и высокими скоростями работы за те деньги которые они просят. Например мы раньше пользовались CF но он все равно ложил сервер при массированных DDoS атаках, автоматизированные системы у них крайне хреновые (были раньше, как сейчас не знаю), и нужно было писать множество своих костылей и правил дополнительно по анализу, чтобы потом через API переводить сервер в режим активной защиты.

 

Внимание это не реклама Hetzner ))) с ними работать, тоже имеет ряд тонкостей. А именно нужно хорошо знать немцев и их немецкий язык. Чтобы когда если вдруг возникают проблемы или звездочки )) чтобы можно было поговорить с ними и решить все вопросы в свою пользу. Есть еще и законы которые весьма жесткие (например написал защита от DDOS то будь добр сделать то что написал вплоть до запятой) помимо звездочек, плюс такое понятие как kulanz, что например отсутствует у наших хостингов. И эти все тонкости нужно знать. Поэтому я никогда не рекомендую каких то хостингов или дата центров, каждый должен выбирать под себя и под свои вкусы 

[mr. Freeman 11]

В 13.01.2020 в 18:09, celsoft сказал:

Смотря за какую цену. Необязательно брать хоум железо. Можно взять и серверное нормальное железо. Хотя и хоум железо, по опыту могу сказать у них неплохое именно за те деньги что они за него просят. Я в принципе уже наверное имею право сказать что у меня большой опыт за плечами, поэтому точно могу сказать что хоум железо Hetzner делает по качество многое не хоум наших хостинг провайдеров. Очень уж много я их повидал за время работы.

Но отношение у них даже к ксенонам как к хоум железу, и пользователей кроме крупняка они так же под одну гребёнку записывают, что это пользователю нужно в тикете доказывать что диску плохеет и надеется что поменяют до отказа обоих дисков из raid1. Я не отрицаю что дешего и сердито у них там всё, но всё таки хетзнер под энтерпрайз обычно не используют.

В 13.01.2020 в 18:09, celsoft сказал:

При любом DDoS уровень защиты это вопрос цены и никак иначе. Тот же CF не дает больше чем дает Hetzner при условиях одинаковой стоимости. И Hetzner мне например нравится каналами, и высокими скоростями работы за те деньги которые они просят. Например мы раньше пользовались CF но он все равно ложил сервер при массированных DDoS атаках, автоматизированные системы у них крайне хреновые (были раньше, как сейчас не знаю), и нужно было писать множество своих костылей и правил дополнительно по анализу, чтобы потом через API переводить сервер в режим активной защиты.

У CF всё таки уже столько узлов по всей планете (как минимум 3 в РФ), коим Hetzner с его знаменитой связностью с РФ ну никак похвастаться не может, то тут то там затыки на магистралах.
Разве "Я под атакой" плохо у них работает? Его правда не прикрутишь ко всяким API, но от совсем глупых ботнетов вроде бы и более слабые их режимы спасают.
Кстате говоря, "за те же деньги" у CF идёт CDN даже в Папуа - Новая Гвинея, а не просто хорошая связность в рамках Германии ну и возможно центральной части ЕС.

В 13.01.2020 в 18:09, celsoft сказал:

Внимание это не реклама Hetzner ))) с ними работать, тоже имеет ряд тонкостей. А именно нужно хорошо знать немцев и их немецкий язык. Чтобы когда если вдруг возникают проблемы или звездочки )) чтобы можно было поговорить с ними и решить все вопросы в свою пользу. Есть еще и законы которые весьма жесткие (например написал защита от DDOS то будь добр сделать то что написал вплоть до запятой) помимо звездочек, плюс такое понятие как kulanz, что например отсутствует у наших хостингов. И эти все тонкости нужно знать. Поэтому я никогда не рекомендую каких то хостингов или дата центров, каждый должен выбирать под себя и под свои вкусы 

Ну живя в Германии может и можно их к стенке припереть и заставить выполнять то что они написали, а что ждёт среднестатистического пользователя из РФ? Максимум это успеет забрать данные, и то не факт, были уже прецеденты когда и данные не отдавали, точнее сервер работал, а порт отключён, забирай как хочешь.

[celsoft 6216]

19 часов назад, mr. Freeman сказал:

Но отношение у них даже к ксенонам как к хоум железу, и пользователей кроме крупняка они так же под одну гребёнку записывают, что это пользователю нужно в тикете доказывать что диску плохеет и надеется что поменяют до отказа обоих дисков из raid1. Я не отрицаю что дешего и сердито у них там всё, но всё таки хетзнер под энтерпрайз обычно не используют.

Я вам расскажу одну реальную историю, которая произошла именно со мной и которую я пережил лично. Она не связана никак с серверами и прочим. Два месяца назад, на скорости 212 км в час у меня в машине взорвался двигатель. Причем в прямом смысле этого слова взорвался. От моторного блока мало что осталось. Так вот ехал я не на дешевых жигулях, а на вполне хорошей машине бмв. И что? Мне теперь кричать на всех углах что нет ничего хуже бмв? Делает это фирму БМВ и ее машины полным отстоем? Нет, это просто произошел со мной случай, который может произойти с любым другим, с любой другой машиной, мне просто не повезло, и именно я попал в такую ситуацию. Хотя нет мне все таки повезло, потому что в машине было 5 человек, и никто не пострадал, хотя после того как рвануло и отключились и рулевое и тормоза и все заволокло дымом, выжить шансов было немного. К чему это я, да к тому, что железо оно не больше чем железо, оно может выйти из строя независимо от того дешево ты взял или дорого. И это не делает компанию или само железо плохим. У меня ни одно дешевое хоум железо от hetzner не накрылось за 15 лет использования, есть даже сервер который работает уже 10 лет к ряду, старый как мамонт, но работает. Может ли оно накрытся? Может, но это не делает его плохим, потому как точно также может накрыться медным тазом любое продвигаемое как "премиум" железо, взятое в любой "премиум" конторе.

19 часов назад, mr. Freeman сказал:

были уже прецеденты когда и данные не отдавали, точнее сервер работал, а порт отключён, забирай как хочешь.

Вот в это я никогда не поверю, потому как знаю как все работает, и если начать в реальности копать историю про не отдали данные, то 100% выяснится нарушения самого пользователя, или выставление им условий, не оговоренных договором. Я сам каждый день с этим сталкиваюсь, ну любит у нас народ не выполнять подписанные соглашения, а придумывать свои удобные им условия, требовать их, а при отказе на каждом углу кричать они м....