Używanie Cloudflare DNS bez CDN lub WAF

W tym poradniku omówimy korzystanie z Cloudflare DNS bez użycia ich usług CDN lub WAF. Omówimy korzyści płynące z używania samej usługi DNS Cloudflare, w tym zwiększone bezpieczeństwo, szybsze rozwiązywanie problemów z DNS i oszczędność kosztów. Ten poradnik będzie przydatny dla tych, którzy chcą zwiększyć bezpieczeństwo swojej witryny bez dodatkowych komplikacji i kosztów związanych z CDN lub WAF.

Cloudflare Managed DNS to usługa autorytatywnego DNS klasy korporacyjnej, która oferuje najszybszy czas odpowiedzi, niezrównaną redundancję i zaawansowane bezpieczeństwo dzięki wbudowanej ochronie przed DDoS i DNSSEC.

Cloudflare

Czy to prawda, co twierdzi Cloudflare?

Według danych DNSPerf, autorytatywne nameservers dostarczane przez Cloudflare to najszybsze usługi na świecie. 👏

Kiedy kupujesz nazwę domeny, rejestrator zazwyczaj przypisuje domyślne nameservers, które zazwyczaj są wolne i niewiarygodne. W innym przypadku, niektórzy dostawcy usług hostingowych również oferują swoje nameservers, aby szybko wyrównać wszystkie wpisy DNS, ale to ma tę samą historię.

Dlaczego warto używać Cloudflare tylko do DNS?

Chociaż nie polecam Cloudflare Free Plan dla celów CDN. Ale jest wystarczająco dobry dla usługi DNS.

Szczególnie w przypadku darmowego planu i tradycyjnej konfiguracji Cloudflare proxy, może sprawić, że strona będzie wolna zamiast szybkiej. Podstawowym powodem może być brak bezpośredniego peeringu z ISP, słabe routing, zły wybór planu i tak dalej.

Polecam używać Cloudflare tylko do celów DNS, ponieważ jest znacznie szybszy i bezpieczny. Konto jest wyposażone w system weryfikacji dwuetapowej, jak również.

Krok 1. Zaloguj się na konto Cloudflare

• Jeśli nigdy wcześniej nie korzystałeś z Cloudflare, możesz się zarejestrować. Jest to bezpłatne.
• Już używasz? Zaloguj się do pulpitu nawigacyjnego

Krok 2. Przechodzenie przez uwierzytelnianie dwuskładnikowe

• Jeśli używasz Two Factor Authentication, zakończ ten krok wprowadzając OTP.

Krok 3. Dodaj nową stronę internetową

• Po zalogowaniu się do Cloudflare Dashboard, kliknij na przycisk Add a site.

• Wpisz nazwę domeny i kliknij przycisk Add site.

Krok 4. Wybierz plan darmowy. Jest on wystarczający.

Krok 5. Zrozumieć Proxy i DNS Sign

• Dla wszystkich wpisów DNS, zachowaj Gray Cloud aby mieć tryb DNS resolution only.

Krok 6. Potwierdź zeskanowane wpisy

• Cloudflare dokłada wszelkich starań, aby przeskanować wszystkie poprzednie rekordy DNS, wymienia je wszystkie poprawnie. W rzadkich przypadkach, niektóre rekordy mogą zostać pominięte lub powtórzone zbyt wiele razy. Sugerujemy ręczną weryfikację wszystkich rekordów z poprzednimi autorytatywnymi nameservers DNS manager. Jest to ważne, aby zapobiec przestojom.

• Przejdź do każdego rekordu Proxy Status, zmień z trybu proxy na DNS resolution only.
• To jest najlepsza część Cloudflare oferuje granularną kontrolę dla każdego rekordu.

Krok 7. Zaktualizuj nowe autorytatywne nameservers.

• Zaloguj się do swojego rejestratora domen, innymi słowy z miejsca, w którym zakupiłeś swoją domenę.
• Wskazówka: W sekcji DNS, można znaleźć opcję, aby zaktualizować nameservers sugerowane przez Cloudflare. Jeśli nie możesz znaleźć gdzie zaktualizować nameservers sprawdź tę odpowiednią dokumentację dla GoDaddy, Namecheap, Bluehost, podobnie możesz szukać w Google lub skontaktować się z zespołem wsparcia.

• W naszym przypadku jest to Google Domains więc tam dokonamy aktualizacji.

• Po zakończeniu kliknij na Done, sprawdź nameservers

• Możesz śledzić propagację nameservers poprzez stronę dnschecker.
• Pomiń sugestie CloudFlare onbording, klikając Done lub setup later.

• Cloudflare okresowo sprawdza, czy wskazałeś swoje nameservers na Cloudflare. Wielokrotne klikanie Sprawdź teraz nie przyspieszy tego procesu.
• Po zakończeniu propagacji nameservers, otrzymasz e-mail od Cloudflare i zobaczysz wiadomość „Świetna wiadomość! Cloudflare chroni teraz Twoją stronę”.

Możesz również uzyskać raport DNS Analytics.

Czy powinieneś użyć Cloudflare CNAME Flattening do wskazania innego CDN nad domeną główną?

Nie należy używać jego usług do CNAME Flattening, ponieważ nie obsługuje on mechanizmu EDNS, który prowadzi do off-routingu.

Odkryłem z wieloma publicznymi serwerami DNS dostawcy usług internetowych, domena nie rozwiązywała się do geo-regionalnego adresu IP zgodnie z oczekiwaniami.

Metoda badania

1. Skierował gulshankumar.net do gushankumar.b-cdn.net używając CNAME
2. Oczekiwano, że wszystkie serwery DNS odpowiedzą tylko na regionalne IP, ale tak się nie stało.
3. Podczas gdy każda subdomena, taka jak www, routingowała poprawnie, ale nie goła domena.

Dobra sprawa

Bad Case

Jeżeli chcesz używać BunnyCDN do reverse-proxy/full site acceleration/full site delivery, powinieneś rozważyć użycie BunnyDNS. Obsługuje on wskazywanie domeny głównej przez rekord PZ (Pull Zone) w odpowiedni sposób.

Zawsze korzystaj z usług DNS takich samych jak dostawca CDN, jeśli są dostępne. Na przykład, jeśli używasz Sucuri to trzymaj się jego własnych DNS nameservers. Jeśli używasz Cloudfront, użyj jego własnego AWS Route53 dla lepszej wydajności. Zwiększa to szanse na prawidłowy routing.