Catégories
les tests / essais / prises en main

Cloudflare : DNS / reverse-proxy / CDN .. tout en un

(un article un poil technique mais j’ai fait de mon mieux pour que ça soit simple)

J’ai essayé pour vouuuuuus : CloudFlare un service qui permet d’optimiser la façon dont marche un site assez simplement ( bon si de base le site est développé avec les pieds, ça ne fera pas des miracles par contre) . Sur les bons conseils de Ludovic et Claude j’ai mis en place CloudFlare sur plusieurs de mes sites. Mais c’est quoi ça ?

Alors. En gros (quand je dis en gros c’est que oui j’évite des étapes) *sans* ce service normalement ça se passe comme ça quand vous consultez un site web :

Comment votre ordinateur trouve l'IP d'un site

Avec CloudFlare ça donne ceci :


En gros on a ce qu’on appelle un “reverse proxy” en amont de mon serveur et en plus de faire reverse proxy , ce petit coco fait aussi du filtrage entrant de trafic.

Pour mettre CloudFlare en place vous devez y héberger vos DNS (si c’est un peu technique … désolé ^^ mais les intéressés comprendront).

Quel est l’intérêt ?

– Décharger votre serveur (une partie des visites sont “servies” – c’est à dire délivrées – par les serveurs de CloudFlare ce qui sollicite moins le serveur web et celui des bases de données)
– Le protéger de potentiels botnets (réseaux de PCs infectés de virus, ou de logiciels utilisés à des fins douteuses comme l’attaque de systèmes informatiques), virus ou utilisés par des spammeurs (manuels ou utilisants des systèmes automatisés)
– Participer à la construction d’une base de donnée des IPs “douteuses” et aidant à la protection mentionnée ci-dessus.
– Masquer l’IP réelle de votre serveur (attention ça ne masque pas l’IP quand votre serveur envoie un email.. eh oui.. pour ça il faut utiliser un service comme SendGrid)

Le danger de ce type de service est que vous ajoutez à votre infrastructure ce qu’on appelle un SPOF – Single Point of Failure ( point individuel de défaillance ) : si CloudFlare ne fonctionne plus, il est très possible que votre site cesse d’être accessible. Aussi pour le moment je ne sais pas si CloudFlare sait réagir de façon automatisée à des attaques type DDoS. A noter que pour le moment ils sont techniquement incapables de protéger quelquechose configuré en wildcard (définition anglaise ici).

Le panneau de contrôle de CloudFlare … un outil bien pratique :

En gros cette partie vous permet de mesurer le trafic réel de votre site ainsi que le trafic représenté par les robots “crawlers” (indexeurs de contenu comme Google, Yahoo et Bing ou autres..) , le trafic représenté par des machines considérées comme corrompues / dangereuses (“threats”). On y voit aussi l’origine de ces menaces, le nombre de requêtes évitées à votre serveur, la bande passante économisée et d’autres informations selon votre configuration.

Passons à la partie “Threat control” .. qui est un indicateur plus précis de ce qui se fait bloquer automatiquement :

CloudFlare Threat control - liste

Quand vous cliquez une IP vous obtenez des détails sur les raisons du blocage, est-ce que l’utilisateur a passé le captcha (indiqué dans mon schéma plus haut) :

Gonzaaaague c’est quoi un CDN ?

diagramme CDN

Un CDN , fonction aussi gérée par CloudFlare – et cela les rend uniques – cela veut dire Content Delivery Network.

J’explique, de façon simple. Quand vous allez sur un site , il se charge tout un tas de trucs, des images, des “feuilles de style” (qui régissent l’affichage des pages) etc etc. Un site est généralement hébergé dans un pays. Mettons… La France.

Pour l’utilisateur aux Etats Unis, le chargement de mon site est plus long car les informations doivent passer par des câbles sous marins pour arriver jusqu’à son ordi bref.. un peu chiant.

Un CDN est un système permettant de distribuer le contenu dit “statique” (enfin en général – et on parle ici d’images par exemple ou de vidéos) sur des serveurs tout autour du monde. Quand l’utilisateur aux USA va vouloir accéder à mon contenu , on va charger la page depuis la France mais les images viendront d’un serveur plus proche de lui (serveur appelé Edge).. Les systèmes de CDN déterminent l’origine de la requête (vous) pour trouver quelle est la meilleure route pour vous acheminer du contenu rapidement. Il permet en outre de consommer moins de bande passante (trafic) et de ressources au niveau du serveur puisque les fichiers demandés sont chargés d’ailleurs.

Fonctions actuelles de CloudFlare :
– Réseau réparti sur des serveurs à travers le monde + routage Anycast
– DNS redondants (on verra si ça tient ^^)
– Mise en cache automatique du contenu statique
– “Always online” (maintien d’une copie de votre site au cas où le serveur tombe)
– Scan des ressources et optimisations (Pro et Enterprise)
– Cryptage javascript des adresses email présentes en clair dans vos sites
– Threat protection (expliqué plus haut)
– SSE (Server Side Exclude)
– Protection anti hotlink
– Vérification de l’intégrité du navigateur
– Blocage d’IP par pays ou par plage
– Alerte des visiteurs infectés
– Gestion des DNS assez simple
– Statistiques (mises à jour plus souvent pour les gens payants)
Et là juste pour ceux qui payent :
– Web Application Firewall (WAF)
– POST content verification
– POSTED content analysis (SQL)
– Web Vulnerability Control (XSS)
– SSL “facile”

En termes de prix il y a une offre gratuite, déjà très complète et deux offres payantes. J’essayerai la payante après avoir tourné assez longtemps sur la version gratuite pour pouvoir me faire un avis!

J’espère que ça vous aura intéressé et que j’ai réussi à ne pas être trop technique (par contre désolé je ne pourrai pas changer vos DNS à votre place etc etc je ne peux pas faire SAV hehe ^^) :mrgreen:

56 réponses sur « Cloudflare : DNS / reverse-proxy / CDN .. tout en un »

“Pour l’utilisateur aux Etats Unis, le chargement de mon site est plus long car les informations doivent passer par des câbles sous marins pour arriver jusqu’à son ordi bref.. un peu chiant.”
–> euh je me connecte très bien à tes sites US qui ont pas de CDN !! 😉

Phollow : bof 😉
Weetabix : j’ai pas dit que c’était impossible roh lala…. Et comment sais tu qu’ils n’ont pas de CDN ? les gros sites US en ont quasi tous

Je viens de configurer mon blog sur Cloudfare (à l’aventuuuuuuure !), on verra bien ce que ça donne 😀 mais le site est par contre super bien foutu, et c’est plaisant de voir un service aussi bien pensé !

Il n’y a plus qu’à attendre qu’OVH ne me change mes DNS … !

Merci pour l’info

Hello Gonzague !

Si j’ai bien compris, si c’est un robot qui vient scroller ton site, il ne peut pas remplir le capcha. Du coup, quid des crawlers Google et autres ? Il y a moyen de déterminer une whitelist ?

Et si le site affiché est celui en cache de CloudFlare, ça ne pose pas de problème pour les outils de stats genre Google Analytics ?

Nico : les crawlers Google ne sont pas considérés comme indésirables et ne voient donc pas le captcha ils arrivent direct sur le site
Google Analytics c’est en Javascript donc pas affecté

C est une bonne explication,étant néophyte dans ce domaine,j ai forcement pas tout compris,mais c est intéressant.

TRES intéressant tout ça ! Et gratuit en plus !!!
D’autres retours d’expérience de ceux qui ont tenté une mise en place ?
De mon coté je n’arrête pas de changer les images du thème, quel temps de propagation peut-on attendre ?

Fabien : écoute ça devrait aller pour tes images. aucune idée du délai cela dit mais perso quand je change un truc c’est reflété instantanément

J’aurais tendance a dire méfiance sur un point… Je le teste depuis 3 mois sur quelques domaines. Le problème que j’ai pu observer est que “malgr?” ou “a cause” de sas fonction cdn, l’ip de mes sites en test se situe a Palo Alto ce qui est franchement moyen en terme de SEO pour des sites francais….

Remarque je dit ça, je dit rien 🙂

Ton article tombe à pique !!!

Je cherchais une solution pour des clients argentins qui trouve ça un peu lent… Avant de passer quelques bonnes journées à traduire ma boutique il me fallait une solution et là voilà !

Avec Prestashop aucun prob ?

Merci encore pour toutes les petites infos que tu nous ponds au quotidien !

Fab.

Je comprend bien l’intérêt du bousin. Et cela me semble très bien pensé. Mais comme tu le dit cette histoire de single point of failure me fait soucis (surtout dans ces temps compliqués ou le DDOS est légion ;)) et aussi pour d’autres raisons seo cette fois-ci:

Cela signifie que tous les sites web liés auront tous la même adresse IP d’apparence? Donc en terme de référencement si l’un prend un blacklist google,
tous les autres aussi?

Et enfin en terme de sécurité encore une fois, si ils se font piratés leurs infrastructures, un méchant monsieur serait capable de rediriger n’importe quel site vers ce qu’il veut?

Bref je pense que c’est un très bon service, une très bonne idée, mais je demande à avoir de nombreux retours d’expériences à ce sujet avant de bouger la souris 🙂

Dans le principe c’est un bon concept, mais le seul interet veritable que je lui trouve c’est de ralentir une attaque de type Ddos. Parce qu’en fouinant un peu on obtient la meme conf pour pas un rond en configurant bien un nginx en reverse proxy, et son bind9 pour gerer ses propres dns.

Et dans tout ca y a un probleme MAJEUR. Ton contenu transite par une societe tierce (caches, traffic, statistiques) et t’as aucune idee de ce qu’ils en font, mais chacun fait comme il le sent…

Je reste septique au niveau du ref mais je vais quand même tester le service sur mon petit site pour me faire une idée.

Le service est très simplifié et l’interface est très clair! J’aime 🙂

Merci pour ce post très intéressant!
je rejoins ce que dis @steph au sujet de la localisation, quelque peu dommageable.
Surtout que certains sites refusent carrément les adresse ip un peu louche ou simplement étrangère par les temps qui court.

Très bon article, par contre au début j’étais un peu euphorique car étant actuellement en asie, il me semble que les sites se chargent plus rapidement néanmoins j’en doute pour mes utilisateurs français. J’ai changer de server et j’ai intallé nginx en reverse proxy donc maintenant je sais pas si il reste une utilisé.

J’ai pas encore la confirmation, mais il me semble que deux point pèchent avec ce service: référencement (ip etat unis) + le fait finalement que la requête soit redirigé aux states.

Retour d’expérience apprécié

Je l’ai mis ne place également (quoi j’arrive après la bataille ? ^^). J’ai découvert tout à fait par hasard. Par contre, j’ai pas dû bien chercher, rien vu en ce qui concerne le CDN… Vais retournez voir cela.

article très sympa, ou comment un Fred de Fred et Jamy, tu nous expliques le CDN. Assez passionnant.
Deux petites questions : concernant les stats : tu lâches Analytics pour flare ? Penses tu que flare ira faire dans la stat détaillée à la Analytics ?

Je me pose des questions sur le référencement. Là où une infrastructure classique à base de serveurs dédiés répondra avec des adresses IP localisées (en France, par exemple, dans le cas qui m’intéresse), là on ne sait pas vraiment comment sont vus les serveurs de CloudFlare.
Une idée sur la question ?

Intéressant.
Je m’écarte un peu du sujet, mais le design du panneau de contrôle de CloudFare est-il disponible ? Sinon, ça existe des modèles de tableaux de bord (php+css) avec un design sympa ?

ha ok , faut attendre pour voir quand il videront leur cache alors,

mais je crois que se n’est pas bon pour mon site car sur gtmetrix sa passe de 22 seconde de chargement a 2.50 et vice versa , je viens de voir qu’il y aurais un problème avec wp super cache, a approfondir la recherche ,
merci pour ton aide ultra rapide::)

Hello, continues-tu à utiliser CloudFlare ? En es-tu toujours content ? Dans des soucis d’optimisation d’architecture WordPress pour mes clients je testes des alternatives au recours systématique à des plugins et notamment pour la sécurité et le cache…

C’est génial de faire un filtrage par IP quand il n’y a plus assez d’IPV4 dans le monde pour tout le monde , et qu’elles tournent souvent :'( “Une liste d’IP frauduleuses” … ça va juste punir le mec qui s’est fait hacker son WiFi ou la boite qui s’est pris un spam bot (oui , car ils ne font eux même aucune liste, ils la pompent sur honeypotproject. Paie ta valeur ajoutée. En quadn on aura ipv6, il banniront des range complets ? Peut être efficace pour le “webmaster” je ne nie pas , mais certains dégâts collatéraux sont considérables
En attendant ça me pourrit juste la vie au boulot 🙁

Laisser un commentaire