前一篇博文剛剛寫了《購買Cloudflare的高級SSL證書管理器》,其中說到這種高級證書隻能在Cloudflare中綁定使用,無法下載放在源服務器使用。
如果要讓CDN使用“完全并嚴格的SSL加密模式”,端到端加密,服務器上就需要有受信任的 CA 證書或 Cloudflare Origin CA 證書。我們以前源站采用的是前者,也就是受信任的CA證書,一直
Cloudflare
這是 Cloudflare 分類的頁面,點擊下面标題查看詳細文章内容:
我們從2016年開始就申請免費的SSL證書,開通https網站,這幾年一直都是主要使用Let's Encrypt的免費SSL證書,前年、去年開始使用Cloudflare、百度雲加速等CDN服務後,也開始使用CDN上可以順便免費申請的SSL證書,其中Cloudflare的通用SSL證書包含根域名和通配符二級域名,并且自動續期,也是很方便。
但是Cloudf
對于我們這種很多年建過很多網站的團隊來說,301重定向是一項重要的功能需求。很多時候我們的域名變更、路徑改變、語言版本的調整等等都是網址的永久性改變,需要用到301重定向。
以前我們多是用Apache Rewrite功能來設置,也就是在.htaccess文件中設置跳轉規則,例如:
RewriteCond %{HTTP_HOST
很早前在Godaddy注冊域名時曾經購買過Godaddy的Premium DNS服務,可以有DNSSEC服務,後來在其它域名注冊商、DNS解析服務商的後台都看到過DNSSEC,不過沒有深入研究。
最近我們的IPShu網站推出DNS相關專題内容,準備的過程中也對DNS解析的過程進行了深入探讨,也提到DNSSEC。而同事最近也在關注這塊,我今天幹脆花了一些時間去了解
最近留意到來自Cloudflare的這種Web分析郵件:
From: Cloudflare
To: Me
Subject: Cloudflare Web 分析
Content:
将接入Cloudflare的前幾個域名的多項主要指标(包括訪問量、頁面
近期我們發現Apache日志中2a06:98c0:3600::103這個IPv6地址出現非常多,User Agent一般都是顯示的googlebot,我們剛開始以為是Google爬蟲使用了IPv6地址,但有些User Agent又不是googlebot,所以有點迷惑,因為這是來自Cloudflare的訪問,所以我們想可能是一個反向代理IP,想獲取其背後真實訪問者的IP地址。🤔️
查看以前博文《Apache安裝mod_remoteip獲取CDN背後訪問者真實IP》,我們的httpd.conf中設置了:
RemoteIPHeader CF-Connecting-I
去年以來我們的Apache日志中總看到一個奇怪的IP地址:253.102.157.193,查詢歸屬地是一個E類保留地址,查詢Whois是預留未來使用,而User Agent一般都是顯示的googlebot,我們還以為Google有什麼特權可以使用保留地址。
最近發現這個地址訪問的頁面越來越多,可以導緻服務器不堪重負,就花時間仔細去了解,才發現這不是訪問者的真實IP,而是Cloudflare對IPv6地址轉換的一個僞IPv4地址,Cloudflare的面闆中在這裡設置:
開始用CloudFlare後,留意到菜單中有一個明顯的“Workers”菜單項,查看在線幫助文檔,說是“在全球數以百計的 Cloudflare 數據中心中運行 JavaScript Service Workers。修改站點的 HTTP 請求和響應,發出并行請求或從邊緣生成響應”,有一些簡明的使用示例,還是比較清晰的。
這個Workers服務CloudFlare也提供了免費使用,隻是在資源消耗方面做了一些限制,如果需要更大量的服務則可以付費購買,這也很合理。這種邊緣計算也是未來的發展方向,ServerLess等概念也是很前
CDN是一個很老的概念了,印象中是很貴、隻有大型網站負擔得起,國内也有一些服務商提供免費的試用,很久前用過國内一個不知名的免費CDN(名字都忘記了),後來也用過阿裡雲的CDN免費試用,然後轉成收費的(隻用了一個很小的網站,流量很低,所以收費也很少)。
聽說國外的CF (Cloudflare)提供免費CDN有幾年了,不過一直都沒有試用,去年我們把EmojiAll這個站放到了CF上,大約可以緩存30%-40%的訪問,有一定的效果,嘗試付費卻沒有支付成功,就一直用的免費版本。