引言(暴论)

之前写过一次关于国内CDN的介绍,但是国内的云厂商实在是吃相难看,DDOS根本防不住,你开工单就开始玩装死,问就是加钱,还贵的要死。之前有次被打进DDOS黑洞就是给你各种装死和屁话,得益于复旦大学某神仙“博士”的介绍,了解到全世界最大最知名的云服务商之一的CloudFlare,而且免费提供域名解析,CDN等服务。

“直到他开始谈我熟悉的领域”
“直到他开始谈我熟悉的领域”

网站引入CloudFlare

  1. 新增接入网站并输入域名

  2. 等待CloudFlare扫描原解析域名记录

  3. 登入网站服务提供商,删除原有的DNS解析记录,修改为CloudFlare提供的域名解析服务器地址

    CloudFlare指引
    CloudFlare指引
  4. 阿里云于域名控制台-域名列表-DNS管理-DNS修改页面修改

    DNS修改
    DNS修改
  5. 于CloudFlare页面查看是否成功接入

CloudFlare配置解析

SSL/TSL证书签发

于SSL/TLS页面选择Origin Server网页进行配置

除非有特殊里有否则不建议手动生成密匙,建议选择第一种Generate private key and CSR with Cloudflare,并选择 RSA(2048)密匙模式

CloudFlare默认为主域名及所有通配的二级域名生成证书(在此严重点名国内厂商只发主域名和www,否则就是1K起步)

CloudFlare可选直接将有效期限设置为15年,且在此过程中如果发生泄露由CloudFlare自动处理

生成后的密钥对拷贝至服务器配置到Nginx服务器上即可

TLS
TLS

DNS记录

于DNS页面选择Records进行配置,A解析配置网址及服务器实际IP即可,MX与TXT解析则直接填写相关信息

注意:CloudFlare不提供大陆解析服务器,走的是香港服务器,会降低链接速度但是考虑到安全性是完全可以接受的。

注意:另一个问题就是在这里填写的解析记录TTL默认设置为Auto,如果需要马上生效建议先改成1分钟,之后改为Auto。

国内及全球的解析结果可通过阿里云网站运维检测平台校验

DNS
DNS

TLS校验级别

在完成CloudFlare设置并调通服务器Nginx设置使之能够正常运行后,在SSL/TLS页面选择Overview配置设置

推荐设置为Full (strict)模式开启端到端加密,并开启下方的SSL/TLS Recommender

注意:如果上一步未调试完成,或证书未被正常加载可能导致错误,开发过程中可暂时将级别调整成Flexible模式

TLS level
TLS level

Cache加速网站访问

可于Speed页面选择Optimization开启相关选项加快网站访问速度

Cache
Cache

总体配置

主页可查看各项数据,右侧提供了两个应急功能:

Under Attack Mode:会要求所有用户进行人机验证

Development Mode:暂时暂停Cache,实时刷新

总体配置
总体配置