webair 178 Опубликовано: 10 декабря 2019 Рассказать Опубликовано: 10 декабря 2019 (изменено) Здравствуйте. Прошу поделиться своими впечатлениями о работе с Cloudflare кто сталкивался. Веб сервер nginx php-fpm + mysql. Сервер от Селектел - Xeon E3-1230 v5 3.4ггц (4 ядра 8 потоков). ОЗУ 32гб. 2х240гб SSD. Канал 1гбит/с и 30ТБ трафика. Не ляжет ли сервер при 0.5 млн посетителей в сутки? И найдутся недоброжелатели, которые попытаются подобрать пароли, сканировать порты и совершить DDoS. Думаю, стоит ли подключать к Cloudflare на бесплатный или может на тариф за 20$. Будут ли проблемы с корректной работой фильтров Cloudflare, чтобы реальных пользователей не заблокировало. И попадется ли чистый IP, не заблокированный Роскомнадзором. И будет ли вообще Cloudflare безлимитно фильтровать трафик? Если мне заполнят весь канал в 1гбит/сек, Cloudflare меня попросит поменять тариф на более дорогой? И вопрос лично к @celsoft, было ведь время когда достаточно долго вы сидели на Cloudflare, а сейчас видно, что вы на Хецнере. Что то не понравилось? Или включаете cf при сильных атаках? Вы ведь спалили свой ip, получается и cloudflare как сокрытие IP не поможет, при атаке на сетевую инфраструктуру. Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат. А если просто большое количество http запросов (L7), то нормально. Практикуете ли вы запреты по geo? Изменено 10 декабря 2019 пользователем webair Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 10 декабря 2019 Рассказать Опубликовано: 10 декабря 2019 19 минут назад, webair сказал: И будет ли вообще Cloudflare безлимитно фильтровать трафик? Если мне заполнят весь канал в 1гбит/сек, Cloudflare меня попросит поменять тариф на более дорогой? Нет конечно. Ни на бесплатном тарифе ни за 20$, только на тарифе за 200$ 20 минут назад, webair сказал: И попадется ли чистый IP, не заблокированный Роскомнадзором. Может попасться запросто, причем на любом тарифе в том числе и за 200$. Вы не решаете какой IP вы получите а они меняются постоянно у сайта. 21 минуту назад, webair сказал: Что то не понравилось? Или включаете cf при сильных атаках? Все нравилось кроме цены. Мы пользуемся теперь услугами другой компании, а именно услугами дата центра по защите от DDOS. 22 минуты назад, webair сказал: Вы ведь спалили свой ip, получается и cloudflare как сокрытие IP не поможет, при атаке на сетевую инфраструктуру. Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат. Мы и не в селектел поэтому 😀 1 Цитата Ссылка на сообщение Поделиться на других сайтах
mr. Freeman 11 Опубликовано: 13 января 2020 Рассказать Опубликовано: 13 января 2020 В 10.12.2019 в 20:29, webair сказал: Не ляжет ли сервер при 0.5 млн посетителей в сутки? И найдутся недоброжелатели, которые попытаются подобрать пароли, сканировать порты и совершить DDoS. Прятать IP за CF это не всё что нужно делать, далеко не всё. В 10.12.2019 в 20:52, celsoft сказал: Нет конечно. Ни на бесплатном тарифе ни за 20$, только на тарифе за 200$ В 10.12.2019 в 20:29, webair сказал: Думаю, стоит ли подключать к Cloudflare на бесплатный или может на тариф за 20$ Раньше они типо прямо в рекламе заявляли что выдержат любую атаку на вас и помогут с ней справится, но как обычно там куча звёздочек. На старте нужно было заманить как можно больше сайтов, и это дало им результат. В 10.12.2019 в 20:29, webair сказал: И попадется ли чистый IP, не заблокированный Роскомнадзором. Там пулы входных IP у балансировщика-прокси, забанены могут быть как отдельные IP так и подсети, к тому же там куча переменных, начиная от местоположения клиента, их узла, сервера. В 10.12.2019 в 20:29, webair сказал: Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат. А если просто большое количество http запросов (L7), то нормально. От таких лучше сразу бежать, когда они рекламируют "Надёжная защита от DDoS" и при этом кучу звёздочек используют. Но так же нужно понимать что не будут за сервер в 5К отбивать атаку на гигабит, в РФ трафик вообще не дешёвый, особенно на мир, имею ввиду гарантированный канал, а не шаред непонятного качества. 30 Tb в месяц это по сути порт 100 Mb/s в полку в одну сторону, так что их шаред гигабит это маркетинговый ход, но там и цена наверное соответствующая. В 10.12.2019 в 20:52, celsoft сказал: Все нравилось кроме цены. Мы пользуемся теперь услугами другой компании, а именно услугами дата центра по защите от DDOS. Ну бросьте, Hetzner как "дата центра по защите от DDOS" выглядит так же как "высоконадёжные и отказоустойчивые сервера на хоум железе", рекламировать анти DDoS их вынудил отток клиентов и соответствующее мнение потребителей об качестве их услуг и о том что они выпиливают сервера клиентов на раз, ну или счёт за трафик на такую сумму выставляют, что владельцу сервера в пору в рабство идти придётся. В 10.12.2019 в 20:52, celsoft сказал: Мы и не в селектел поэтому 😀 Hetzner уже SLA на DDoS защиту делать начал? 😱 А то нарассказывать они всегда готовы, а как отражать атаку в рамках недорогого сервера, так сразу "мы не обещали". PS: Сами активно CF пользуемся, но есть нюансы, в том числе соответствующие "примочки" на сетевой инфраструктуре проектов, без этого их CDN и защита не очень съедобная при крупных проектах. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 13 января 2020 Рассказать Опубликовано: 13 января 2020 11 часов назад, mr. Freeman сказал: Ну бросьте, Hetzner как "дата центра по защите от DDOS" выглядит так же как "высоконадёжные и отказоустойчивые сервера на хоум железе" Смотря за какую цену. Необязательно брать хоум железо. Можно взять и серверное нормальное железо. Хотя и хоум железо, по опыту могу сказать у них неплохое именно за те деньги что они за него просят. Я в принципе уже наверное имею право сказать что у меня большой опыт за плечами, поэтому точно могу сказать что хоум железо Hetzner делает по качество многое не хоум наших хостинг провайдеров. Очень уж много я их повидал за время работы. 11 часов назад, mr. Freeman сказал: Hetzner уже SLA на DDoS защиту делать начал? 😱 А то нарассказывать они всегда готовы, а как отражать атаку в рамках недорогого сервера, так сразу "мы не обещали". При любом DDoS уровень защиты это вопрос цены и никак иначе. Тот же CF не дает больше чем дает Hetzner при условиях одинаковой стоимости. И Hetzner мне например нравится каналами, и высокими скоростями работы за те деньги которые они просят. Например мы раньше пользовались CF но он все равно ложил сервер при массированных DDoS атаках, автоматизированные системы у них крайне хреновые (были раньше, как сейчас не знаю), и нужно было писать множество своих костылей и правил дополнительно по анализу, чтобы потом через API переводить сервер в режим активной защиты. Внимание это не реклама Hetzner ))) с ними работать, тоже имеет ряд тонкостей. А именно нужно хорошо знать немцев и их немецкий язык. Чтобы когда если вдруг возникают проблемы или звездочки )) чтобы можно было поговорить с ними и решить все вопросы в свою пользу. Есть еще и законы которые весьма жесткие (например написал защита от DDOS то будь добр сделать то что написал вплоть до запятой) помимо звездочек, плюс такое понятие как kulanz, что например отсутствует у наших хостингов. И эти все тонкости нужно знать. Поэтому я никогда не рекомендую каких то хостингов или дата центров, каждый должен выбирать под себя и под свои вкусы Цитата Ссылка на сообщение Поделиться на других сайтах
mr. Freeman 11 Опубликовано: 16 января 2020 Рассказать Опубликовано: 16 января 2020 В 13.01.2020 в 18:09, celsoft сказал: Смотря за какую цену. Необязательно брать хоум железо. Можно взять и серверное нормальное железо. Хотя и хоум железо, по опыту могу сказать у них неплохое именно за те деньги что они за него просят. Я в принципе уже наверное имею право сказать что у меня большой опыт за плечами, поэтому точно могу сказать что хоум железо Hetzner делает по качество многое не хоум наших хостинг провайдеров. Очень уж много я их повидал за время работы. Но отношение у них даже к ксенонам как к хоум железу, и пользователей кроме крупняка они так же под одну гребёнку записывают, что это пользователю нужно в тикете доказывать что диску плохеет и надеется что поменяют до отказа обоих дисков из raid1. Я не отрицаю что дешего и сердито у них там всё, но всё таки хетзнер под энтерпрайз обычно не используют. В 13.01.2020 в 18:09, celsoft сказал: При любом DDoS уровень защиты это вопрос цены и никак иначе. Тот же CF не дает больше чем дает Hetzner при условиях одинаковой стоимости. И Hetzner мне например нравится каналами, и высокими скоростями работы за те деньги которые они просят. Например мы раньше пользовались CF но он все равно ложил сервер при массированных DDoS атаках, автоматизированные системы у них крайне хреновые (были раньше, как сейчас не знаю), и нужно было писать множество своих костылей и правил дополнительно по анализу, чтобы потом через API переводить сервер в режим активной защиты. У CF всё таки уже столько узлов по всей планете (как минимум 3 в РФ), коим Hetzner с его знаменитой связностью с РФ ну никак похвастаться не может, то тут то там затыки на магистралах. Разве "Я под атакой" плохо у них работает? Его правда не прикрутишь ко всяким API, но от совсем глупых ботнетов вроде бы и более слабые их режимы спасают. Кстате говоря, "за те же деньги" у CF идёт CDN даже в Папуа - Новая Гвинея, а не просто хорошая связность в рамках Германии ну и возможно центральной части ЕС. В 13.01.2020 в 18:09, celsoft сказал: Внимание это не реклама Hetzner ))) с ними работать, тоже имеет ряд тонкостей. А именно нужно хорошо знать немцев и их немецкий язык. Чтобы когда если вдруг возникают проблемы или звездочки )) чтобы можно было поговорить с ними и решить все вопросы в свою пользу. Есть еще и законы которые весьма жесткие (например написал защита от DDOS то будь добр сделать то что написал вплоть до запятой) помимо звездочек, плюс такое понятие как kulanz, что например отсутствует у наших хостингов. И эти все тонкости нужно знать. Поэтому я никогда не рекомендую каких то хостингов или дата центров, каждый должен выбирать под себя и под свои вкусы Ну живя в Германии может и можно их к стенке припереть и заставить выполнять то что они написали, а что ждёт среднестатистического пользователя из РФ? Максимум это успеет забрать данные, и то не факт, были уже прецеденты когда и данные не отдавали, точнее сервер работал, а порт отключён, забирай как хочешь. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 17 января 2020 Рассказать Опубликовано: 17 января 2020 19 часов назад, mr. Freeman сказал: Но отношение у них даже к ксенонам как к хоум железу, и пользователей кроме крупняка они так же под одну гребёнку записывают, что это пользователю нужно в тикете доказывать что диску плохеет и надеется что поменяют до отказа обоих дисков из raid1. Я не отрицаю что дешего и сердито у них там всё, но всё таки хетзнер под энтерпрайз обычно не используют. Я вам расскажу одну реальную историю, которая произошла именно со мной и которую я пережил лично. Она не связана никак с серверами и прочим. Два месяца назад, на скорости 212 км в час у меня в машине взорвался двигатель. Причем в прямом смысле этого слова взорвался. От моторного блока мало что осталось. Так вот ехал я не на дешевых жигулях, а на вполне хорошей машине бмв. И что? Мне теперь кричать на всех углах что нет ничего хуже бмв? Делает это фирму БМВ и ее машины полным отстоем? Нет, это просто произошел со мной случай, который может произойти с любым другим, с любой другой машиной, мне просто не повезло, и именно я попал в такую ситуацию. Хотя нет мне все таки повезло, потому что в машине было 5 человек, и никто не пострадал, хотя после того как рвануло и отключились и рулевое и тормоза и все заволокло дымом, выжить шансов было немного. К чему это я, да к тому, что железо оно не больше чем железо, оно может выйти из строя независимо от того дешево ты взял или дорого. И это не делает компанию или само железо плохим. У меня ни одно дешевое хоум железо от hetzner не накрылось за 15 лет использования, есть даже сервер который работает уже 10 лет к ряду, старый как мамонт, но работает. Может ли оно накрытся? Может, но это не делает его плохим, потому как точно также может накрыться медным тазом любое продвигаемое как "премиум" железо, взятое в любой "премиум" конторе. 19 часов назад, mr. Freeman сказал: были уже прецеденты когда и данные не отдавали, точнее сервер работал, а порт отключён, забирай как хочешь. Вот в это я никогда не поверю, потому как знаю как все работает, и если начать в реальности копать историю про не отдали данные, то 100% выяснится нарушения самого пользователя, или выставление им условий, не оговоренных договором. Я сам каждый день с этим сталкиваюсь, ну любит у нас народ не выполнять подписанные соглашения, а придумывать свои удобные им условия, требовать их, а при отказе на каждом углу кричать они м.... Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.