Что такое CloudFlare. Как подлючить к сайту и установить SSL-сертификат ⛅
Хостинг Eternalhost не является поставщиком услуг или представителем в каком-либо виде компании Cloudflare. Приведенная ниже инструкция призвана помочь пользователям самостоятельно разобраться с подключением стороннего сервиса к любому хостингу и его дальнейшей настройкой.
Содержание:
- Что такое Cloudflare
- Как зарегистрироваться на CloudFlare
- Как подключить CloudFlare к сайту
- Как изменить NS-серверы домена
- Как установить SSL-сертификат
- Как настроить переадресацию
Что такое CloudFlare
Cloudflare – это сервис, который специализируется на предоставлении услуг сети CDN (Content Delivery Network), защите от DDoS-атак и сетевой безопасности. Основным направлением в работе сервиса является именно обслуживание CDN — глобальной сети распределения трафика сайтов по принципу географической близости сервера к пользователю, пославшему запрос в браузере.
Цепочка раскиданных по миру серверов Cloudflare работает как reverse proxy («обратный прокси»). Она автоматически кеширует контент сайтов клиентов и быстро отдает его веб-посетителям от ближайшего по расположению центра данных.
Разберем по шагам как подключить сервис Cloudflare и выполнить дополнительные настройки его компонентов.
Как зарегистрироваться на CloudFlare
Для начала нужно пройти процедуру регистрации на сайте CloudFlare. Для этого нужно перейти по ссылке или на главной странице сайта нажать «Sign Up» («Зарегистрироваться»).
В появившемся окне нужно указать свою электронную почту и пароль, а затем нажать «Create Account» («Создать аккаунт»).
На указанную почту должно прийти письмо со ссылкой для подтверждения созданного аккаунта. Нужно перейти по ней, чтобы завершить регистрацию.
Как подключить CloudFlare к сайту
Сразу после регистрации сервис предложит пользователю ввести доменное имя в появившемся окне.
Также доменное имя можно добавить в верхнем меню. Для этого нужно войти в аккаунт и на главной странице нажать «Add site» («Добавить сайт»).
Далее нужно выбрать тарифный план из предложенных, нажав на него один раз. Подробнее с тарифными планами можно ознакомиться здесь.
В рамках данной статьи будет рассмотрен тарифный план «Free» («Бесплатный»). После выбора тарифа, нужно нажать «Confirm plan» («Подтвердить тариф») для подтверждения выбора.
После подтверждения система выполнит быстрое сканирование указанного доменного имени.
После завершения сканирования, система CloudFlare покажет текущие настройки DNS пользователя. Их нужно проверить, если они верны, то можно переходить к изменению NS-серверов для домена.
Как изменить NS-серверы домена
После входа в систему и добавления доменного имени в систему CloudFlare, нужно произвести изменение текущих NS-серверов на CloudFlare. Для этого следует перейти на главную страницу в личном кабинете CloudFlare. После чего, нужно выбрать домен со статусом «Pending Nameserver Update» («Требуется обновление NS-сервера») и нажать на него.
Откроется окно, в котором будет предложено завершить настройки NS-серверов. В первом пункте — «Log in to your registrar account» («Войдите в зарегистрированный аккаунт») будут показаны текущие настройки NS-серверов. Во втором пункте — «Replace with Cloudflare’s nameservers» («Замените на серверы имен Cloudflare»), на какие значения их нужно заменить.
Для смены NS-серверов нужно перейти на сайт регистратора вашего домена и там прописать новые адреса. Нужно дождаться, пока произойдет смена. Обычно, это занимает до 24 часов. После этого, домен пользователя на главной странице его личного кабинета CloudFlare получит статус «Active» («Активен»).
К примеру, на Eternalhost для смены NS-серверов нужно зайти в биллинг-панель, перейти в «Товары/Услуги» и выбрать «Домены». Далее выбрать нужный домен одним нажатием и кликнуть на «NS».
В разделе «NS» следует удалить уже существующие записи и прописать серверы, которые указаны в пункте «Replace with Cloudflare’s nameservers» личного кабинета Cloudflare.
Как установить SSL-сертификат
Для настройки безопасного соединения с сайтом нужно настроить SSL-сертификат. Нужно перейти на главную страницу в панели управления и выбрать домен со статусом «Active». Далее нажать «SSL/TLS» в верхнем меню и выбрать режим шифрования трафика «Flexible» («Гибкий») или «Full» («Полный»).
При выборе «Flexible» дополнительных настроек не потребуется, а при выборе «Full» потребуется настройка SSL-сертификата на самом хостинге. К примеру, в рамках виртуального хостинга на Eternalhost можно установить бесплатный сертификат Let’s Encrypt.
Информацию о полученном сертификате CloudFlare можно посмотреть, нажав «Edge Certificates» («Управление сертификатами»).
Как настроить правила переадресации
Настройка переадресации происходит во вкладке «Page Rules» («Правила страниц»). Для создания правил нужно нажать соответствующую кнопку «Create Page Rule» («Создать правило страницы»).
Чтобы выполнить редирект на https, нужно указать адрес сайта (в виде «http://mysite»), выбрать «Always Use HTTPS» («Всегда пользоваться HTTPS») и нажать кнопку «Save and Deploy» («Сохранить и Применить»).
Для переадресации «с www» нужно задать адрес сайта (www.mysite), выбрать «Forwarding URL» («Перенаправление URL»), а рядом «301 — Permanent Redirect» («301 — постоянный редирект»). Затем во втором поле прописать конечный адрес редиректа (https://mysite) и нажать кнопку «Save and Deploy» («Сохранить и Применить»).
Как подключить CloudFlare? › Хостинг «Энергия» — дешевый хостинг
Что такое CloudFlare?
CloudFlare CDN (Content Delivery Network) — это сеть доставки контента нового поколения, которая обеспечивает безопасность, производит оптимизации сайта «на лету», а также ускорит работу Вашего сайта. По состоянию на 2020й год, в инфраструктуру CloudFlare датацентры в 200 городах более 95 стран.
Как работает сервис CloudFlare?
Работа CloudFlare построена на принципе reverse proxy (обратного прокси). При подключении к CloudFlare весь трафик Вашего сайта пропускается через глобальную сеть CloudFlare.
На серверах CloudFlare кэшируется статический контент Вашего сайта (CSS, JavaScript, изображения). При чем пользователи получают контент от близлежащих серверов сервиса, в зависимости от географического положения.
Пропуская весь входящий трафик через свою сеть, CloudFlare анализирует и фильтрует входящие запросы. В результате легитимные пользователи получают доступ к Вашему сайту, а запросы злоумышленников отсеиваются.
Где расположены сервера CloudFlare?
Сеть CloudFlare быстрорастущая. На данный момент сеть CloudFlare насчитывает 200 датацентра, расположенных на 4 континентах: Северная Америка, Европа, Азия, Австралия и Океания. В том числе CDN CloudFlare распложены в Москве, Петербурге, Киеве, Риге, Вильнюсе и Кишиневе.
Как подключить CloudFlare?
Прежде всего Вам необходимо зарегистрировать аккаунт на сайте сервиса: https://dash.cloudflare.com/sign-up.
Следующий шаг: добавление Вашего веб-сайта в базу CloudFlare:
После этого необходимо выбрать тариф, для сайтов с небольшой и средней посещаемостью подойдет бесплатный тариф
Далее, сервис просканирует записи Вашего сайта.
После сканирования будет предложена более тонкая настройка DNS-записей. Вы можете добавить или изменить какие-то записи. Также, Вы можете выбрать какой из поддоменов необходимо подключить к CF, а какой нет.
Затем Вам выдадут новые NS-сервера, уже от CloudFlare. Вам необходимо будет в панели регистратора Вашего домена сменить текущие NS, на те, которые будут указаны на странице
Следующим шагом будет производиться настройка защищенного соединения SSL для сайта. Если у Вашего сайта включен SSL в панели управления нашего хостинга — Вам следует выбрать режим Full, в случае отсутствия у Вашего сайта SSL в панели — выбирайте Flexible.
Ниже будет предложено включить принудительное перенаправление на https и оптимизации статических файлов «на лету»
После того как Вы подтвердили DNS записи для домена, необходимо произвести конфигурацию CF для Вашего сайта. Выберите необходимые параметры исходя из собственных нужд.
Уровни защиты CloudFlare
Выбрать уровень защиты можно в разделе Firewall — Settings
— I’m Under Attack: уровень безопасности, который необходимо включить для сайта, когда его атакуют. В результате CloudFlare подключит особые средства защиты, для отсечения вредоносного HTTP-трафика. Визуально пользователи сайта при первом посещении сайта увидат промежуточную страницу с обратным отсчетом пяти секунд, пока будет производиться проверка посетителя. Данную страницу следует расценивать как автоматическую CAPTCHA.
— High: обеспечивает широкую защиту от спама, хакерских атак, а также атак типа DoS. Данный уровень безопасности требует ввода капчи каждым пользователем, который был уличен в злонамеренном поведении на других сайтах. Сервис проверяет браузер пользователя на наличие вредоносных сигнатур. Этот уровень безопасности подойдет администраторам, для которых безопасность веб-сайта находится на первом месте.
— Medium: при использовании данного уровня безопасности пользователи будут отсеиваться на основе случаев спама, хакерских атак или атак типа DoS, которые производились данными пользователями на других сайтах. Необходим ввод капчи пользователям, которые были уличены в частых атаках на другие сайты. Сервис также проверит браузер пользователя на наличие вредоносных сигнатур. Идеально подойдет для сайтов с высокими требованиями безопасности. На данном уровне риск ложного срабатывания системы безопасности минимален.
— Low: данный уровень безопасности предусматривает отсеивание только тех пользователей, которые регулярно и с высокой периодичности участвуют в хакерских атаках на другие сайты. Мы не советуем использовать данный уровень безопасности, так как он позволит проникнуть на Ваш сайт пользователям, которые, возможно, могут оказаться злоумышленниками.
— Essentially off: запретит доступ к Вашему сайту только тем пользователям, которые на данный момент участвуют в известной сервису DoS атаке. Подойдет веб-мастерам, которые используют CF в основном для увеличение скорости выдачи контента пользователям. Мы также не рекомендуем использовать данный уровень в целях безопасности.
Важно!
CloudFlare не подключается моментально. После настройки всех опций в интерфейсе следует дождаться обновления информации на DNS серверах, после чего Ваш сайт будет успешно подключен к сервису CloudFlare.Обновление NS серверов для домена может занимать от 1 до 72-х часов.
Добавление сайта · Документация по основам Cloudflare
Когда вы добавляете сайт в Cloudflare, вам необходимо создать новый домен в Cloudflare, а затем выполнить дополнительные действия для активации этого домена. Эти инструкции предназначены для клиентов, использующих полную настройку DNS Cloudflare. (наиболее распространенная конфигурация). Если вы используете частичную настройку или вторичную настройку, процесс установки будет другим.
Предпосылки
Чтобы использовать Cloudflare, вам необходимо иметь домен ( example.com
).
Если у вас еще нет доменного имени и вы планируете использовать Cloudflare в качестве авторитетного DNS, мы настоятельно рекомендуем приобрести доменное имя через Cloudflare Registrar.
Использование Cloudflare Registrar упрощает процесс установки за счет автоматического использования Cloudflare для авторитетного DNS.
Если вы подключаете существующий домен к Cloudflare, убедитесь, что DNSSEC отключен у вашего регистратора (где вы приобрели свое доменное имя). В противном случае при смене серверов имен в вашем домене возникнут ошибки подключения. Инструкции для конкретных провайдеров
Это не исчерпывающий список того, как обновлять записи DS в других провайдерах, но могут быть полезны следующие ссылки:
- DNSimpleExternal link icon Открыть внешнюю ссылку
- domaindiscount24Значок внешней ссылки Открыть внешнюю ссылку
- DreamHostЗначок внешней ссылки Открыть внешнюю ссылку
- dynadotЗначок внешней ссылки Открыть внешнюю ссылку
- enomЗначок внешней ссылки Открыть внешнюю ссылку
- гандиЗначок внешней ссылки Открыть внешнюю ссылку
- GoDaddyЗначок внешней ссылки Открыть внешнюю ссылку
- Google DomainsВнешний значок ссылки Открыть внешнюю ссылку
- hoverExternal link icon Открыть внешнюю ссылку
- InMotion HostingЗначок внешней ссылки Открыть внешнюю ссылку
- INWXЗначок внешней ссылки Открыть внешнюю ссылку
- Joker.
- name.comИконка внешней ссылки Открыть внешнюю ссылку
- namecheapИконка внешней ссылки Открыть внешнюю ссылку
- nameISPИконка внешней ссылки Открыть внешнюю ссылку
- namesiloИконка внешней ссылки Открыть внешнюю ссылку
- OVHЗначок внешней ссылки Открыть внешнюю ссылку
- Public Domain RegistryExternal link icon Открыть внешнюю ссылку
- registro.brИконка внешней ссылки Открыть внешнюю ссылку
- PorkbunЗначок внешней ссылки
Открыть внешнюю ссылку (не заполнять keyData
Если в вашем домене включен DNSSECЗначок внешней ссылки Открыть внешнюю ссылку , ваш DNS-провайдер ставит цифровую подпись на все ваши DNS-записи. Это действие предотвращает создание ложных DNS-записей от вашего имени и перенаправление трафика, предназначенного для вашего домена.
Однако наличие единого набора подписанных записей также не позволяет Cloudflare создавать новые записи DNS от вашего имени (что является частью использования Cloudflare для ваших авторитетных серверов имен). Поэтому, если вы измените свои серверы имен, не отключив DNSSEC, DNSSEC предотвратит правильное разрешение DNS-записей Cloudflare.
Шаг 1 — Добавьте сайт в Cloudflare
Войдите в панель инструментов CloudflareИконка внешней ссылки Открыть внешнюю ссылку .
В верхней панели навигации нажмите Добавить сайт .
Введите корневой домен вашего веб-сайта (
example.com
) и нажмите Добавить сайт .Если Cloudflare не может идентифицировать ваш домен как зарегистрированный, убедитесь, что вы используете существующий домен верхнего уровня Значок внешней ссылки Откройте внешнюю ссылку (
.com
,.net
,.biz
или другие). Кроме того, для Cloudflare требуется корневой доменВыберите уровень плана. Дополнительные сведения о функциях и ценах см. на странице «Планы» Значок внешней ссылки Открыть внешнюю ссылку .
Просмотрите записи DNS.
Когда вы добавляете новый сайт в Cloudflare, Cloudflare автоматически сканирует общие записи и добавляет их в зону DNS. Записи отображаются в соответствующей зоне DNS > Записей
Автоматическое сканирование записей DNS не запускается в следующих случаях:
- Если вы выберете план Enterprise и вместо Quick Scan выберите загрузку файла зоны DNS или добавление записей вручную.
- Если добавить зону через API.
Вы можете вручную запустить сканирование через API с помощью конечной точки сканирования DNS-записей.
Поскольку это сканирование не гарантирует, что будут найдены все существующие записи DNS, вам необходимо просмотреть свои записи, уделяя особое внимание следующим типам записей:
- Записи корневого домена (
example.
) - Записи поддоменов (
www.example.com
илиblog.example.com
) - Записи электронной почты 9006 2 Если вы активируете свой домен на Cloudflare без настроив правильные записи DNS для вашего домена и поддомена, ваши посетители могут столкнуться с ошибками DNS_PROBE_FINISHED_NXDOMAIN.
- Записи корневого домена (
Если вы обнаружите какие-либо отсутствующие записи, добавьте их вручную.
В зависимости от настроек вашего сайта вам может потребоваться настроить статус прокси для определенных записей
A
,AAAA
илиCNAME
.Нажмите Продолжить .
Нажмите Готово, проверьте серверы имен .
Ознакомьтесь с Краткое руководство , которое позволит вам:
- Улучшить безопасность : Убедитесь, что ваш сайт использует соединения HTTPS с использованием Всегда использовать HTTPS и Автоматическая перезапись HTTPS . Для получения дополнительной помощи обратитесь к нашему подробному руководству.
- Оптимизация производительности : Ускорьте свой сайт, включив Auto MinifyExternal link icon Открытие внешней ссылки и сжатие BrotliИконка внешней ссылки Открыть внешнюю ссылку .
По завершении работы с Краткое руководство нажмите Готово .
Шаг 2 — Обновите серверы имен
После того, как вы добавили домен (также известный как zone ) в Cloudflare, этот домен получит два назначенных полномочных сервера имен.
Прежде чем ваш домен сможет начать использовать Cloudflare для разрешения DNS, вам необходимо добавить эти серверы имен у вашего регистратора. Убедитесь, что на данный момент DNSSEC отключен . Если ваш домен особенно чувствителен к простоям, ознакомьтесь с нашими рекомендациями, чтобы свести время простоя к минимуму.
Шаг 3 — Завершите настройку SSL/TLS
Чтобы предотвратить небезопасные соединения и ошибки браузера посетителей, включите защиту SSL/TLS.
Шаг 4. Выйдите за рамки основ
Для получения предложений и рекомендаций по максимально эффективному использованию вашей учетной записи Cloudflare обратитесь к нашим руководствам по решениям.
Разрешить IP-адреса Cloudflare · Документация по основам Cloudflare
Из-за того, как работает Cloudflare, весь трафик к прокси-записям DNS проходит через Cloudflare, прежде чем достигнет исходного сервера. Это означает, что ваш исходный сервер перестанет получать трафик с IP-адресов отдельных посетителей и вместо этого будет получать трафик с IP-адресов Cloudflare. Значок внешней ссылки Открыть внешнюю ссылку , которые являются общими для всех прокси-имен хостов.
Эта настройка может вызвать проблемы, если исходный сервер блокирует или ограничивает скорость соединений с IP-адресов Cloudflare. Поскольку весь трафик посетителей будет поступать с IP-адресов Cloudflare, блокировка этих IP-адресов — даже случайная — предотвратит попадание трафика посетителей в ваше приложение.
Для клиентов Magic Transit Cloudflare направляет трафик, а не проксирует его. Как только Cloudflare начнет рекламировать ваши IP-префиксы, он будет принимать IP-пакеты, предназначенные для вашей сети, обрабатывать их, а затем выводить эти пакеты в исходную инфраструктуру.
Просмотрите внешние инструменты
Чтобы избежать непреднамеренной блокировки IP-адресов Cloudflare, проверьте свои внешние инструменты, чтобы убедиться, что:
- Любые подключаемые модули безопасности — например, для WordPress — разрешают IP-адреса Cloudflare.
- Bad BehaviorЗначок внешней ссылки Открыть внешнюю ссылку и значок mod_securityВнешняя ссылка Плагины открытых внешних ссылок обновлены.
Настроить исходный сервер
Разрешить IP-адреса Cloudflare
Чтобы избежать непреднамеренной блокировки IP-адресов Cloudflare, вы также хотите разрешить IP-адреса Cloudflare на исходном веб-сервере.
Вы можете явно разрешить эти IP-адреса с помощью файла . htaccessВнешняя ссылка Открыть внешнюю ссылку или с помощью iptablesЗначок внешней ссылки Открыть внешнюю ссылку .
В следующем примере показано, как можно использовать правило iptables, чтобы разрешить диапазон IP-адресов Cloudflare. Замените $ip
ниже одним из диапазонов IP-адресов Cloudflare. Значок внешней ссылки
Открыть внешнюю ссылку
.
# Для адресов IPv4
iptables -I INPUT -p tcp -m multiport --dports http,https -s $ip -j ACCEPT
# Для адресов IPv6
ip6tables -I INPUT -p tcp -m multiport --dports http,https -s $ip -j ACCEPT
Для получения более подробных инструкций обратитесь к вашему хостинг-провайдеру или администратору веб-сайта.
Блокировать другие IP-адреса (рекомендуется)
В качестве наилучшей практики мы также рекомендуем явно блокировать весь трафик, который не поступает с IP-адресов Cloudflare или IP-адресов ваших доверенных партнеров, поставщиков или приложений.
Например, вы можете обновить значок внешней ссылки iptables Откройте внешнюю ссылку с помощью следующих команд:
# Для адресов IPv4
$ iptables -A INPUT -p tcp -m multiport --dports http,https -j DROP
# Для адресов IPv6
$ ip6tables -A INPUT -p tcp -m multiport -- dports http,https -j DROP
Для получения более подробной информации обратитесь к своему хостинг-провайдеру или администратору веб-сайта.