Nếu không thực sự cần Cloudflare thì đừng đặt website của bạn phía sau nó

Kể cả khi xem xét các dịch vụ DNS khác, bao gồm cả nhà cung cấp trong nước, cũng không có nơi nào triển khai công nghệ mới nhanh và hỗ trợ đa dạng tính năng như Cloudflare.
Nhưng giá cả cũng đâu có chênh lệch gì.

Ngay cả với các trang nhỏ, cũng hay bị tấn công lắm,...

Sẽ tốt nếu có một giải pháp thay thế cho Cloudflare, nhưng nếu chưa thực sự có thì theo tôi vẫn nên dùng Cloudflare.
Có vẻ những người khác cũng có ý kiến tương tự.
Khi sự cố thực sự xảy ra, tôi cũng từng băn khoăn không biết có phải lỗi đó khiến hệ thống vẫn hoạt động bình thường hay không, nhưng cuối cùng vẫn tắt DNS proxy và tạm thời chuyển sang cấu hình cho dịch vụ hoạt động với DNS TTL đặt là 1 phút...
Đúng là cần có phương án thay thế, nhưng tôi cho rằng hoàn toàn không dùng thì là một việc vô lý.

kkkk

Có lẽ thực tế hơn là mong chờ một đối thủ cạnh tranh xuất hiện..

Vậy còn những trường hợp dùng nó để che giấu IP thật của máy chủ hơn là để chống DDoS thì sao?

Ý kiến trên Hacker News

• Ngay cả một blog nhỏ chỉ có khoảng 100 lượt truy cập mỗi tháng cũng có thể bị tấn công DDoS
  Nếu kẻ tấn công muốn, họ có thể mua dịch vụ DDoS chỉ với vài đô la, và nhà cung cấp hosting sẽ hạ máy chủ xuống
  Vì lý do đó nên tôi viết bài bằng tài khoản ẩn danh. “Site nhỏ nên không sao” không phải là một chiến lược bảo mật

  • Tôi tò mò nếu cộng cả thời gian chết do DDoS với thời gian chết do CDN hay dịch vụ bên ngoài gặp sự cố thì bên nào sẽ lớn hơn
    Tôi nghĩ một website cá nhân có bị down một lúc cũng không phải vấn đề lớn
  • Nếu là blog cá nhân thì giảm bớt độ phức tạp và tiết kiệm chi phí quan trọng hơn
    Bật Cloudflare từ trước nghe giống một kiểu tối ưu hóa quá sớm
  • Chi phí để blog bị offline vài tiếng gần như bằng không
    Nhỏ hơn nhiều so với việc ai đó bỏ vài đô để DDoS nó
  • Nếu không đứng sau CDN thì IP máy chủ sẽ bị lộ, và trừ khi kẻ tấn công không đủ khôn hoặc không đổi IP, gần như không thể phòng thủ được
  • Trước đây tôi từng đưa ra ý kiến chính trị và site tư vấn của mình đã bị DDoS
    Vì vậy giờ tôi hoạt động dưới bút danh. Con người độc địa hơn ta tưởng

• Đưa tài sản tĩnh lên CDN cũng đồng nghĩa với việc thoát khỏi điểm lỗi đơn (SPOF)
  Tôi thà để lúc site mình bị down thì cùng lúc đó cả tập đoàn lớn với hàng nghìn kỹ sư cũng bị down còn hơn

  • Trước đây khi Cloudflare gặp sự cố, CEO từng nói “hãy xử lý đi”, nhưng đó không phải việc mà một team nhỏ nên đổ hàng tháng nguồn lực vào
    Tùy quy mô mà có trường hợp không cần Cloudflare, nhưng vẫn phải cân nhắc giá trị so với rủi ro
  • SPOF về mặt kỹ thuật có giảm, nhưng văn hóa hay chính sách của tổ chức vận hành vẫn có thể ảnh hưởng đến toàn bộ hệ thống
    Dùng Cloudflare là hợp lý với đa số, nhưng đổi lại sẽ phát sinh sự phụ thuộc
  • Giống như câu “chọn Oracle thì sẽ không ai bị sa thải”, cảm giác chọn Cloudflare cũng tương tự
    Chỉ là dạo này việc chấp nhận sự cố như một kiểu thời tiết mạng nghe thật kỳ lạ
  • Đẩy vấn đề sang cho người khác cũng là một dạng giải pháp, theo cái kiểu vừa đùa vừa thật
  • Tôi từng tắt Cloudflare một thời gian, và ngược lại mỗi khi Cloudflare bị sập thì site tôi vẫn chạy bình thường
    Site nhỏ hầu như cũng không hưởng được bao nhiêu hiệu quả cache nên lợi ích về hiệu năng không lớn

• Tôi đang vận hành một site PHP gần như không có traffic, nhưng lưu lượng bot thì quá nhiều
  Nếu không có CDN, chỉ với cache cục bộ thì site không thể chịu nổi
  Trước đây khi được một tờ báo lớn nhắc tới thông qua Fastly, tôi cũng xử lý ổn thỏa nhờ CDN

  • Muốn rời khỏi những dịch vụ như Cloudflare thì kiểm soát scraper và bot là điều bắt buộc
    Nhưng trên thực tế điều đó gần như bất khả thi. Kể cả có quy định thì đôi khi còn có hại hơn

• Những site nhỏ như chúng tôi cũng nhận quá nhiều request độc hại nếu không có Cloudflare
  Không có bộ lọc thì dữ liệu phân tích sẽ rối tung lên, và việc hợp tác với đối tác kinh doanh cũng phát sinh vấn đề
  Ngay cả khi Cloudflare gặp sự cố, chỉ cần đổi DNS là có thể khôi phục trong vòng 1 phút
  Dù thấy hơi tiếc tiền, tôi vẫn khá hài lòng với việc lọc ở phía trước load balancer

  • Tuy vậy nếu IP gốc bị lộ thì tấn công trực tiếp có thể tăng lên
    Dù chặn bằng firewall thì tài nguyên CPU vẫn tiếp tục bị tiêu tốn

• Cloudflare miễn phí và việc thiết lập cũng rất đơn giản
  Tôi không hiểu có lý do gì để không dùng. Có vẻ tác giả chưa hiểu rõ vai trò của Cloudflare

  • Nhưng nếu ai cũng dùng Cloudflare thì rốt cuộc sự tập trung hóa của Internet sẽ càng nghiêm trọng
    Cloudflare sẽ thành ra người phân xử của việc truy cập Internet
  • Kiểu tập trung hóa này đáng lo, nhưng với đa số người dùng thì tính tiện lợi vẫn quan trọng hơn
  • Cá nhân tôi thích phi tập trung hơn, nhưng dùng Cloudflare để học hỏi cũng là một trải nghiệm tốt
  • Những lời phàn nàn cường điệu kiểu “3 năm một lần, down 3 tiếng” thì không có nhiều ý nghĩa
  • Ở Đức, vào buổi tối đôi khi hơn một nửa số site dùng Cloudflare còn không truy cập được

• Máy chủ của tôi thường xuyên phải chịu lưu lượng lớn từ Facebook, Azure, OpenAI
  Tôi đang chặn bằng các rule của Cloudflare, nhưng đôi lúc vẫn có DDoS từ Trung Quốc và Nga
  Tôi vẫn băn khoăn liệu ngoài Cloudflare còn có cách nào thay thế cho những rule phức tạp như vậy không

  • Đầu những năm 2000, site của tôi từng được Slashdot đăng và bị “slashdotted”, nhưng hiệu năng suy giảm thì không có
    Nên tôi tự hỏi có phải máy chủ ngày nay quá yếu không
  • Request từ gptbot của OpenAI đến liên tục không dứt
  • Các CDN khác có bề mặt tấn công nhỏ hơn, nhưng đổi lại cũng ít bị nhắm mục tiêu hơn
  • Cũng có những phản ứng đầy mỉa mai rằng thị trường đã đưa ra kết luận rồi

• Có thể dùng Cloudflare, nhưng nhà đăng ký DNS thì không nên đặt ở Cloudflare
  Chúng tôi cũng từng vì để nhà đăng ký ở Cloudflare mà bị khóa tạm thời, khiến việc khôi phục rất khó khăn
  Tốt hơn là nên tách riêng nhà cung cấp DNS, domain và hạ tầng

  • Nhưng dạo này ngay cả nhà đăng ký lẫn nhà cung cấp DNS cũng thường dùng Cloudflare để được bảo vệ
  • Sự cố ở nhà cung cấp DNS cũng là một yếu tố rủi ro. Tự self-host lại kéo theo chi phí và vấn đề khác

• Các sự cố cục bộ liên quan đến Cloudflare thường là do vấn đề BGP
  Có thể xem thêm tại blog Cloudflare và thảo luận HN
  Với đa số website thì dùng Cloudflare vẫn tốt hơn, nhưng nếu xét đến những cuộc DDoS khó lường thì không có câu trả lời hoàn hảo

  • Nhận định “đa số website dùng Cloudflare sẽ tốt hơn” thiếu cơ sở
    Tôi muốn biết tiêu chí nào để gọi là “đa số”
  • Một lần DDoS cũng không làm bạn phá sản. Có thể bật Cloudflare sau khi thực sự cần
  • Cloudflare gây ra tập trung hóa và xâm phạm quyền riêng tư
    Nên nhớ vụ rò rỉ dữ liệu năm 2017

• Tôi đang dùng tunnel của Cloudflare để public nhiều project từ máy chủ tại nhà
  ISP không cung cấp IP tĩnh nên tôi tránh được dynamic DNS, cũng không cần mở port
  Nó xử lý cache, giới hạn tốc độ và chặn bot gần như không cần cấu hình gì nên rất tiện

• Giờ đây Cloudflare không còn giống “Internet thật” nữa mà giống một mạng intranet riêng khổng lồ hơn

  • Tôi nghi ngờ Cloudflare đang chịu những quy định nào, liệu có bảo vệ quyền riêng tư hay không
    Nếu giao SSL cho họ thì họ có thể xem packet không, và họ có hợp tác với cơ quan chính phủ hay không cũng là điều đáng lo
    Thật đáng tiếc khi mô hình phân tán của Internet lại bị tập trung hóa vào Cloudflare hay mạng xã hội như hiện nay
    Các cuộc thảo luận về federation mang lại hy vọng, nhưng hiện tại là thời kỳ khó giữ được tính tự chủ và quyền riêng tư

Ngay cả với một trang nhỏ chỉ có lượng khách truy cập ở mức hai chữ số, tôi cũng từng bị dính DDoS rồi huhu

Đúng là kiểu sợ dòi nên không dám muối tương.

Các trang web quy mô nhỏ thường không bị ảnh hưởng nhiều đến việc vận hành chỉ vì mức downtime kiểu như Cloudflare bị sập...

Tàu hỏa hay xe buýt nguy hiểm thì hãy đi bộ. Cảm giác vậy.

Tôi cứ dùng thôi.

Tôi cũng vậy ^^