Jump to content
Sign in to follow this  
webair

Cloudflare стоит ли?

Recommended Posts

Здравствуйте. Прошу поделиться своими впечатлениями о работе с Cloudflare кто сталкивался.

Веб сервер nginx php-fpm + mysql.
Сервер от Селектел - Xeon E3-1230 v5 3.4ггц (4 ядра 8 потоков). ОЗУ 32гб. 2х240гб SSD. Канал 1гбит/с и 30ТБ трафика.

Не ляжет ли сервер при 0.5 млн посетителей в сутки? И найдутся недоброжелатели, которые попытаются подобрать пароли, сканировать порты и совершить DDoS.

Думаю, стоит ли подключать к Cloudflare на бесплатный или может на тариф за 20$. Будут ли проблемы с корректной работой фильтров Cloudflare, чтобы реальных пользователей не заблокировало. И попадется ли чистый IP, не заблокированный Роскомнадзором.

И будет ли вообще Cloudflare безлимитно фильтровать трафик? Если мне заполнят весь канал в 1гбит/сек, Cloudflare меня попросит поменять тариф на более дорогой?

 

И вопрос лично к @celsoft, было ведь время когда достаточно долго вы сидели на Cloudflare, а сейчас видно, что вы на Хецнере. Что то не понравилось? Или включаете cf при сильных атаках?

Вы ведь спалили свой ip, получается и cloudflare как сокрытие IP не поможет, при атаке на сетевую инфраструктуру. Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат. А если просто большое количество http запросов (L7), то нормально. Практикуете ли вы запреты по geo?

Edited by webair

Share this post


Link to post
Share on other sites
19 минут назад, webair сказал:

И будет ли вообще Cloudflare безлимитно фильтровать трафик? Если мне заполнят весь канал в 1гбит/сек, Cloudflare меня попросит поменять тариф на более дорогой?

Нет конечно. Ни на бесплатном тарифе ни за 20$, только на тарифе за 200$

 

20 минут назад, webair сказал:

И попадется ли чистый IP, не заблокированный Роскомнадзором.

Может попасться запросто, причем на любом тарифе в том числе и за 200$. Вы не решаете какой IP вы получите а они меняются постоянно у сайта.

 

21 минуту назад, webair сказал:

Что то не понравилось? Или включаете cf при сильных атаках?

Все нравилось кроме цены. Мы пользуемся теперь услугами другой компании, а именно услугами дата центра по защите от DDOS.

 

22 минуты назад, webair сказал:

Вы ведь спалили свой ip, получается и cloudflare как сокрытие IP не поможет, при атаке на сетевую инфраструктуру. Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат.

Мы и не в селектел поэтому 😀

  • Thanks 1

Share this post


Link to post
Share on other sites
В 10.12.2019 в 20:29, webair сказал:

Не ляжет ли сервер при 0.5 млн посетителей в сутки? И найдутся недоброжелатели, которые попытаются подобрать пароли, сканировать порты и совершить DDoS.

Прятать IP за CF это не всё что нужно делать, далеко не всё.

В 10.12.2019 в 20:52, celsoft сказал:

Нет конечно. Ни на бесплатном тарифе ни за 20$, только на тарифе за 200$

В 10.12.2019 в 20:29, webair сказал:

Думаю, стоит ли подключать к Cloudflare на бесплатный или может на тариф за 20$

Раньше они типо прямо в рекламе заявляли что выдержат любую атаку на вас и помогут с ней справится, но как обычно там куча звёздочек.
На старте нужно было заманить как можно больше сайтов, и это дало им результат.

В 10.12.2019 в 20:29, webair сказал:

И попадется ли чистый IP, не заблокированный Роскомнадзором.

Там пулы входных IP у балансировщика-прокси, забанены могут быть как отдельные IP так и подсети, к тому же там куча переменных, начиная от местоположения клиента, их узла, сервера.

В 10.12.2019 в 20:29, webair сказал:

Мне селектел открыто сказали, что если будет атака на сеть, то сервер отключат. А если просто большое количество http запросов (L7), то нормально.

От таких лучше сразу бежать, когда они рекламируют "Надёжная защита от DDoS" и при этом кучу звёздочек используют. Но так же нужно понимать что не будут за сервер в 5К отбивать атаку на гигабит, в РФ трафик вообще не дешёвый, особенно на мир, имею ввиду гарантированный канал, а не шаред непонятного качества.
30 Tb в месяц это по сути порт 100 Mb/s в полку в одну сторону, так что их шаред гигабит это маркетинговый ход, но там и цена наверное соответствующая.

В 10.12.2019 в 20:52, celsoft сказал:

Все нравилось кроме цены. Мы пользуемся теперь услугами другой компании, а именно услугами дата центра по защите от DDOS.

Ну бросьте, Hetzner как "дата центра по защите от DDOS" выглядит так же как "высоконадёжные и отказоустойчивые сервера на хоум железе", рекламировать анти DDoS их вынудил отток клиентов и соответствующее мнение потребителей об качестве их услуг и о том что они выпиливают сервера клиентов на раз, ну или счёт за трафик на такую сумму выставляют, что владельцу сервера в пору в рабство идти придётся.

В 10.12.2019 в 20:52, celsoft сказал:

Мы и не в селектел поэтому 😀

Hetzner уже SLA на DDoS защиту делать начал? 😱
А то нарассказывать они всегда готовы, а как отражать атаку в рамках недорогого сервера, так сразу "мы не обещали".


PS: Сами активно CF пользуемся, но есть нюансы, в том числе соответствующие "примочки" на сетевой инфраструктуре проектов, без этого их CDN и защита не очень съедобная при крупных проектах.

Share this post


Link to post
Share on other sites
11 часов назад, mr. Freeman сказал:

Ну бросьте, Hetzner как "дата центра по защите от DDOS" выглядит так же как "высоконадёжные и отказоустойчивые сервера на хоум железе"

Смотря за какую цену. Необязательно брать хоум железо. Можно взять и серверное нормальное железо. Хотя и хоум железо, по опыту могу сказать у них неплохое именно за те деньги что они за него просят. Я в принципе уже наверное имею право сказать что у меня большой опыт за плечами, поэтому точно могу сказать что хоум железо Hetzner делает по качество многое не хоум наших хостинг провайдеров. Очень уж много я их повидал за время работы.

 

11 часов назад, mr. Freeman сказал:

Hetzner уже SLA на DDoS защиту делать начал? 😱
А то нарассказывать они всегда готовы, а как отражать атаку в рамках недорогого сервера, так сразу "мы не обещали".

При любом DDoS уровень защиты это вопрос цены и никак иначе. Тот же CF не дает больше чем дает Hetzner при условиях одинаковой стоимости. И Hetzner мне например нравится каналами, и высокими скоростями работы за те деньги которые они просят. Например мы раньше пользовались CF но он все равно ложил сервер при массированных DDoS атаках, автоматизированные системы у них крайне хреновые (были раньше, как сейчас не знаю), и нужно было писать множество своих костылей и правил дополнительно по анализу, чтобы потом через API переводить сервер в режим активной защиты.

 

Внимание это не реклама Hetzner ))) с ними работать, тоже имеет ряд тонкостей. А именно нужно хорошо знать немцев и их немецкий язык. Чтобы когда если вдруг возникают проблемы или звездочки )) чтобы можно было поговорить с ними и решить все вопросы в свою пользу. Есть еще и законы которые весьма жесткие (например написал защита от DDOS то будь добр сделать то что написал вплоть до запятой) помимо звездочек, плюс такое понятие как kulanz, что например отсутствует у наших хостингов. И эти все тонкости нужно знать. Поэтому я никогда не рекомендую каких то хостингов или дата центров, каждый должен выбирать под себя и под свои вкусы 

Share this post


Link to post
Share on other sites
В 13.01.2020 в 18:09, celsoft сказал:

Смотря за какую цену. Необязательно брать хоум железо. Можно взять и серверное нормальное железо. Хотя и хоум железо, по опыту могу сказать у них неплохое именно за те деньги что они за него просят. Я в принципе уже наверное имею право сказать что у меня большой опыт за плечами, поэтому точно могу сказать что хоум железо Hetzner делает по качество многое не хоум наших хостинг провайдеров. Очень уж много я их повидал за время работы.

Но отношение у них даже к ксенонам как к хоум железу, и пользователей кроме крупняка они так же под одну гребёнку записывают, что это пользователю нужно в тикете доказывать что диску плохеет и надеется что поменяют до отказа обоих дисков из raid1. Я не отрицаю что дешего и сердито у них там всё, но всё таки хетзнер под энтерпрайз обычно не используют.

В 13.01.2020 в 18:09, celsoft сказал:

При любом DDoS уровень защиты это вопрос цены и никак иначе. Тот же CF не дает больше чем дает Hetzner при условиях одинаковой стоимости. И Hetzner мне например нравится каналами, и высокими скоростями работы за те деньги которые они просят. Например мы раньше пользовались CF но он все равно ложил сервер при массированных DDoS атаках, автоматизированные системы у них крайне хреновые (были раньше, как сейчас не знаю), и нужно было писать множество своих костылей и правил дополнительно по анализу, чтобы потом через API переводить сервер в режим активной защиты.

У CF всё таки уже столько узлов по всей планете (как минимум 3 в РФ), коим Hetzner с его знаменитой связностью с РФ ну никак похвастаться не может, то тут то там затыки на магистралах.
Разве "Я под атакой" плохо у них работает? Его правда не прикрутишь ко всяким API, но от совсем глупых ботнетов вроде бы и более слабые их режимы спасают.
Кстате говоря, "за те же деньги" у CF идёт CDN даже в Папуа - Новая Гвинея, а не просто хорошая связность в рамках Германии ну и возможно центральной части ЕС.

В 13.01.2020 в 18:09, celsoft сказал:

Внимание это не реклама Hetzner ))) с ними работать, тоже имеет ряд тонкостей. А именно нужно хорошо знать немцев и их немецкий язык. Чтобы когда если вдруг возникают проблемы или звездочки )) чтобы можно было поговорить с ними и решить все вопросы в свою пользу. Есть еще и законы которые весьма жесткие (например написал защита от DDOS то будь добр сделать то что написал вплоть до запятой) помимо звездочек, плюс такое понятие как kulanz, что например отсутствует у наших хостингов. И эти все тонкости нужно знать. Поэтому я никогда не рекомендую каких то хостингов или дата центров, каждый должен выбирать под себя и под свои вкусы 

Ну живя в Германии может и можно их к стенке припереть и заставить выполнять то что они написали, а что ждёт среднестатистического пользователя из РФ? Максимум это успеет забрать данные, и то не факт, были уже прецеденты когда и данные не отдавали, точнее сервер работал, а порт отключён, забирай как хочешь.

Share this post


Link to post
Share on other sites
19 часов назад, mr. Freeman сказал:

Но отношение у них даже к ксенонам как к хоум железу, и пользователей кроме крупняка они так же под одну гребёнку записывают, что это пользователю нужно в тикете доказывать что диску плохеет и надеется что поменяют до отказа обоих дисков из raid1. Я не отрицаю что дешего и сердито у них там всё, но всё таки хетзнер под энтерпрайз обычно не используют.

Я вам расскажу одну реальную историю, которая произошла именно со мной и которую я пережил лично. Она не связана никак с серверами и прочим. Два месяца назад, на скорости 212 км в час у меня в машине взорвался двигатель. Причем в прямом смысле этого слова взорвался. От моторного блока мало что осталось. Так вот ехал я не на дешевых жигулях, а на вполне хорошей машине бмв. И что? Мне теперь кричать на всех углах что нет ничего хуже бмв? Делает это фирму БМВ и ее машины полным отстоем? Нет, это просто произошел со мной случай, который может произойти с любым другим, с любой другой машиной, мне просто не повезло, и именно я попал в такую ситуацию. Хотя нет мне все таки повезло, потому что в машине было 5 человек, и никто не пострадал, хотя после того как рвануло и отключились и рулевое и тормоза и все заволокло дымом, выжить шансов было немного. К чему это я, да к тому, что железо оно не больше чем железо, оно может выйти из строя независимо от того дешево ты взял или дорого. И это не делает компанию или само железо плохим. У меня ни одно дешевое хоум железо от hetzner не накрылось за 15 лет использования, есть даже сервер который работает уже 10 лет к ряду, старый как мамонт, но работает. Может ли оно накрытся? Может, но это не делает его плохим, потому как точно также может накрыться медным тазом любое продвигаемое как "премиум" железо, взятое в любой "премиум" конторе.

19 часов назад, mr. Freeman сказал:

были уже прецеденты когда и данные не отдавали, точнее сервер работал, а порт отключён, забирай как хочешь.

Вот в это я никогда не поверю, потому как знаю как все работает, и если начать в реальности копать историю про не отдали данные, то 100% выяснится нарушения самого пользователя, или выставление им условий, не оговоренных договором. Я сам каждый день с этим сталкиваюсь, ну любит у нас народ не выполнять подписанные соглашения, а придумывать свои удобные им условия, требовать их, а при отказе на каждом углу кричать они м....

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...