近年來,Cloudflare 成為越來越矚目的企業,其知名度已經讓公司名稱與技術名稱幾乎畫上等號。作為提供 CDN(Content Delivery Network,內容傳遞網路)服務的領先廠商之一,Cloudflare 透過在全球各地部署的伺服器節點,緩存網站內容,包括圖片、影像等資源。當用戶瀏覽網站時,可以從靠近用戶的節點快速獲取這些內容,這不僅有效減輕原始伺服器的負載,同時還能隱藏伺服器的真實 IP,增強安全性。Cloudflare 的這種做法自然也就兼顧了伺服器性能與資訊安全的重要考量。
NAS 在家庭、中小企業,甚至是影音創作者中深受喜愛,不僅因為它提供了幾乎無限大的儲存空間,更重要的是,資料完全掌握在自己手中,這帶來了更高的安全感。然而,我們也不應忘記,NAS 仍然運行於公共網路上,儘管可以透過防火牆等技術提升安全性,但仍存在被有心人士攻破的風險,甚至可能面臨加密勒索的威脅。
這時,利用 Cloudflare 提供的 CDN Proxy 服務,可以進一步提高攻擊的難度。這項服務能讓外部用戶訪問您的系統,同時隱藏真實主機位置,從而大幅降低被攻擊的風險。此外,Cloudflare 還能提供額外的保護,防止 DDoS 攻擊以及不當存取(例如機器人爬蟲等),進一步增強系統的安全性。
讓 Cloudflare 管理網站的DNS
如何在既有的域名服務供應商切換到 Cloudflare,以 Cloudmax 匯智為例。
我們跳過域名申請與 Cloudflare 帳號申請的簡易任務,著重在後面的技術操作設定面。因為網路上的文章幾乎找不到匯智的範例,官方文檔也尚未完善這部分的設定細節,所以提筆記錄這段過程。
前面我們提到CDN可以隱藏真實主機的IP位置,這也意味必須提供給它真實的主機位置讓他做些網站的緩存,再透過服務上的節點提供拜訪客戶相關的靜態資源。所以既有的域名管理服務供應商的DNS主機恐不足以提供這方面的服務,因此需要將DNS的解析做個切換。
我會強烈建議先在Cloudflare後台『新增一個站點』,讓他先透過DNS的功能去反查既有域名供應商提供的DNS 代管清單。這是一個超級方便的功能,不需要到既有的DNS 代管後台複製、貼上這些設定值。
域名供應商設定- 採用自管的 DNS
確認DNS 清單都已經完整匯入後,登入匯智的域名管理後台,就可以看到持有的各個域名的相關操作功能表。我們點擊『技術設定』來調整DNS配置
這裡有一個關鍵:需要把DNS代管的服務關閉,切換到 DNS 自管
點擊『DNS自管』設定後,這裡有一個坑,也是我一開始感到困惑的點。特別提醒:當按DNS 自管之後,既有設定的代管資訊將會被清除,所以務必確認相關參數都已經備份流存,免得出了狀況後,影響到既有服務。
原則上這邊就是告訴域名供應商,從現在開始,我想要把這個域名的DNS解析轉給其他供應商負責。聽起來沒什麼問題,也很直覺。我們只需要把Cloudflare 站點管理上的DNS 位置複製過來即可,但我也爬了很多文章,我發現匯智的設定上還是很不一樣,因為他多了 DNS IP ,而且這個 IP 位置是必填的。
這時候就有個衝突,Cloudflare 是一個 CDN 的供應商,預期他的 DNS 主機也是很多節點上的某一台,我要怎麼知道他的真實IP? 假設有一天供應商更換節點,既有的IP 不就失效了?
第一個問題好解決,作為工程師,我們清楚知道可以透過在終端機執行這到網路管理的命令來反查域名主機的供應商IP。
nslookup elisa.ns.cloudflare.com
滿有意思的是:我竟然踩到一個隱藏的 Bug。不得不稱讚匯智的服務團隊,他們很快速引導我自行設定,我把需求轉達給他們,他們很快速協助我完成相關服務設定,這時剛好匯智的系統出現了一個錯誤:我無論如何設定,都沒法順利寫入設定。匯智請我提交工單,讓他們工程師可以有權限協助我處理後續的參數細節設定,也確認設定無法寫入的原因,後來很快地,團隊就幫我處理完整個設定,包含前面的供應商IP確認,也向我說明系統出現了一個小 bug ,所以才會導致我的手動設定失效。
原則上,走到這一步,Cloudflare 就已經可以接管整個域名解析並提供 CDN 服務,只需要回到站點將需要隱藏/DDoS 防護的子域名解析啟用『Proxy』服務,即可達到隱藏真實主機的需求,同時讓網站瀏覽更為順利。