Cloudflare 6月21日服务中断复盘
背景
Cloudflare 最近一年尝试在高负载的地区调整为更灵活、更具弹性的网络架构,已有19个数据中心转为MCP架构
Multi-Colo PoP (MCP):阿姆斯特丹、亚特兰大、阿什本、芝加哥、法兰克福、伦敦、洛杉矶、马德里、曼彻斯特、迈阿密、米兰、孟买、纽瓦克、大阪、圣保罗、圣何塞、新加坡、悉尼、东京
此架构为数据中心引入额外路由层,通过控制内部网格,可以轻松启停内网部分服务,在不中断正常流量请求时进行维护、处理问题,从而提高整体服务可用性
事件
Cloudflare使用BGP协议广播部分IP地址段以供外部网络访问自身服务
在调整架构修改地址广播时,新的更新程序生成了不正确的路由器配置,它改变了原有规则优先级阻止了正确路由广播规则生效,使访问请求无法正常流向基础设施最终导致应用服务出现中断,此间全球访问Cloudflare网络的 50% 请求受影响
时间线
11:56 尝试部署新的配置到第一个节点。当前所有节点使用旧有架构&设置,故不受影响
14:17 更新部署到最繁忙的节点,但未部署到具有 MCP 架构的节点
14:27 部署已到达启用 MCP 的节点,更新已部署应用到骨干网。这是事件开始的时候,因为从这以后最繁忙的 19 个数据中心离线脱机运行
14:32 内部通报事故发生
14:51 在路由器上进行了首次更新尝试,以验证事件发生根本原因
14:58 找到并理解了根本原因。开始恢复有问题的配置变化
15:42 最后一项恢复工作已完成。由于网络工程师们互相修改对方的配置,恢复之前的恢复,导致问题零星地重新出现,整体恢复有延迟
17:00 事件最终完结
Cloudflare outage on June 21, 2022
#服务中断 #事件 #复盘
Via @Cloudflare_CN
背景
Cloudflare 最近一年尝试在高负载的地区调整为更灵活、更具弹性的网络架构,已有19个数据中心转为MCP架构
Multi-Colo PoP (MCP):阿姆斯特丹、亚特兰大、阿什本、芝加哥、法兰克福、伦敦、洛杉矶、马德里、曼彻斯特、迈阿密、米兰、孟买、纽瓦克、大阪、圣保罗、圣何塞、新加坡、悉尼、东京
此架构为数据中心引入额外路由层,通过控制内部网格,可以轻松启停内网部分服务,在不中断正常流量请求时进行维护、处理问题,从而提高整体服务可用性
事件
Cloudflare使用BGP协议广播部分IP地址段以供外部网络访问自身服务
在调整架构修改地址广播时,新的更新程序生成了不正确的路由器配置,它改变了原有规则优先级阻止了正确路由广播规则生效,使访问请求无法正常流向基础设施最终导致应用服务出现中断,此间全球访问Cloudflare网络的 50% 请求受影响
时间线
11:56 尝试部署新的配置到第一个节点。当前所有节点使用旧有架构&设置,故不受影响
14:17 更新部署到最繁忙的节点,但未部署到具有 MCP 架构的节点
14:27 部署已到达启用 MCP 的节点,更新已部署应用到骨干网。这是事件开始的时候,因为从这以后最繁忙的 19 个数据中心离线脱机运行
14:32 内部通报事故发生
14:51 在路由器上进行了首次更新尝试,以验证事件发生根本原因
14:58 找到并理解了根本原因。开始恢复有问题的配置变化
15:42 最后一项恢复工作已完成。由于网络工程师们互相修改对方的配置,恢复之前的恢复,导致问题零星地重新出现,整体恢复有延迟
17:00 事件最终完结
Cloudflare outage on June 21, 2022
#服务中断 #事件 #复盘
Via @Cloudflare_CN
Cloudflare 支持模块化修改HTTP消息头
简化规则配置,一键附加常用字段到HTTP消息头
*部分模板字段限特定订阅用户可用
🔗相关链接
Managed Transforms功能配置入口
Managed Transforms使用说明文档
Managed Transforms: templated HTTP header modifications
#规则 #配置 #改进
Via @Cloudflare_CN
简化规则配置,一键附加常用字段到HTTP消息头
*部分模板字段限特定订阅用户可用
🔗相关链接
Managed Transforms功能配置入口
Managed Transforms使用说明文档
Managed Transforms: templated HTTP header modifications
#规则 #配置 #改进
Via @Cloudflare_CN
Cloudflare 企业版支持账号级WAF配置
💡功能
支持为账号下所有域名统一配置WAF规则
限制
账号下WAF 规则集(托管、自定义和速率限制规则)仅可部署在企业计划的域名上,无法对 Free、Pro 或 Biz 域名配置规则集
暂不支持
速率限制规则将在10月份开放支持
可用
企业版高级计划用户本周自动激活可用
Account WAF now available to Enterprise customers
#WAF #规则
Via @Cloudflare_CN
💡功能
支持为账号下所有域名统一配置WAF规则
限制
账号下WAF 规则集(托管、自定义和速率限制规则)仅可部署在企业计划的域名上,无法对 Free、Pro 或 Biz 域名配置规则集
暂不支持
速率限制规则将在10月份开放支持
可用
企业版高级计划用户本周自动激活可用
Account WAF now available to Enterprise customers
#WAF #规则
Via @Cloudflare_CN
Cloudflare 推出可定制的高级DDoS警报
两种高级 DDoS 警报:
高级 HTTP DDoS 攻击警报
●适用于 WAF/CDN 用户
●在特定域名、子域名上触发
●自定义攻击警报的触发阈值:每秒请求率
●触发警报的最低每秒请求速率(默认为 100 rps)
高级 L3/4 DDoS 攻击警报
●适用于 Magic Transit 和 Spectrum BYOIP 客户
●自定义触发通知的IP地址、IP段
●自定义触发警报的协议(默认为所有协议)、阈值:每秒数据包率和每秒兆比特率
●触发警报的最小每秒数据包速率(默认为 12,000 pps)
*高级 DDoS 警报是企业版用户订阅了高级 DDoS 保护服务的一部分
📢标准警报
HTTP DDoS 攻击警报:
针对每秒生成超过 2,000 个请求的 HTTP 攻击发出警报
第 3/4 层 DDoS 攻击警报:
针对每秒生成超过 20,000 个数据包的第 3/4 层攻击发出警报
*标准版 DDoS 警报适用于所有用户(Free、Pro 或 Biz版)
🔔通知提醒形式
支持自定义Webhook、PagerDuty、电子邮件等
注意事项
▪如果为同一种攻击配置了多个警报类型(例如,HTTP DDoS 攻击警报和高级 HTTP DDoS 攻击警报),当攻击发生时您可能会收到多个通知。为避免收到重复通知,请删除其中重复配置警报
▪DDoS 警报不涵盖防火墙事件中列出的具有缓解操作的事件:
Connection Close
▪在以下缓解场景时依然触发通知:
force-conn-close、block、ratelimit以及captcha
Introducing Advanced DDoS Alerts
#DDoS #通知 #提示
Via @Cloudflare_CN
两种高级 DDoS 警报:
高级 HTTP DDoS 攻击警报
●适用于 WAF/CDN 用户
●在特定域名、子域名上触发
●自定义攻击警报的触发阈值:每秒请求率
●触发警报的最低每秒请求速率(默认为 100 rps)
高级 L3/4 DDoS 攻击警报
●适用于 Magic Transit 和 Spectrum BYOIP 客户
●自定义触发通知的IP地址、IP段
●自定义触发警报的协议(默认为所有协议)、阈值:每秒数据包率和每秒兆比特率
●触发警报的最小每秒数据包速率(默认为 12,000 pps)
*高级 DDoS 警报是企业版用户订阅了高级 DDoS 保护服务的一部分
📢标准警报
HTTP DDoS 攻击警报:
针对每秒生成超过 2,000 个请求的 HTTP 攻击发出警报
第 3/4 层 DDoS 攻击警报:
针对每秒生成超过 20,000 个数据包的第 3/4 层攻击发出警报
*标准版 DDoS 警报适用于所有用户(Free、Pro 或 Biz版)
🔔通知提醒形式
支持自定义Webhook、PagerDuty、电子邮件等
注意事项
▪如果为同一种攻击配置了多个警报类型(例如,HTTP DDoS 攻击警报和高级 HTTP DDoS 攻击警报),当攻击发生时您可能会收到多个通知。为避免收到重复通知,请删除其中重复配置警报
▪DDoS 警报不涵盖防火墙事件中列出的具有缓解操作的事件:
Connection Close
▪在以下缓解场景时依然触发通知:
force-conn-close、block、ratelimit以及captcha
Introducing Advanced DDoS Alerts
#DDoS #通知 #提示
Via @Cloudflare_CN
Cloudflare 现开放支持动态重定向
💡特性
Cloudflare 现提供常用请求头字段和函数,让用户可根据场景需要,为不同请求参数自定义重定向规则,动态重定向支持自定义重定向响应状态码(301/302/307/308)、操作字符串替换、正则表达式(取决于用户资费)
可以轻松实现比如:
根据访客浏览器的首选语言进行重定向
根据设备属性重定向
根据Cookie重定向等
使用额度
Free:10
Pro:25
Biz:50
Ent:125+
🗂文档
Dynamic Redirects Rules
Dynamic URL redirects: 301 to the future
#跳转 #重定向
Via @Cloudflare_CN
💡特性
Cloudflare 现提供常用请求头字段和函数,让用户可根据场景需要,为不同请求参数自定义重定向规则,动态重定向支持自定义重定向响应状态码(301/302/307/308)、操作字符串替换、正则表达式(取决于用户资费)
可以轻松实现比如:
根据访客浏览器的首选语言进行重定向
根据设备属性重定向
根据Cookie重定向等
使用额度
Free:10
Pro:25
Biz:50
Ent:125+
🗂文档
Dynamic Redirects Rules
Dynamic URL redirects: 301 to the future
#跳转 #重定向
Via @Cloudflare_CN
Cloudflare 开放自定义功能配置
💡特性
用户可以通过常用请求头字段以及函数,根据应用场景有选择的打开/关闭、调整部分功能配置
*功能类似旧版页面规则,但页面仅匹配URL使用
例如
根据不同国家地区、用户设备、Cookie 或 URL 调整安全等级
同一URL针对不同IP或请求标识进行部分功能的A/B测试
使用额度
Free:10
Pro:25
Biz:50
Ent:125+
🗂文档
Configuration Rules
Introducing Configuration Rules
#功能配置
Via @Cloudflare_CN
💡特性
用户可以通过常用请求头字段以及函数,根据应用场景有选择的打开/关闭、调整部分功能配置
*功能类似旧版页面规则,但页面仅匹配URL使用
例如
根据不同国家地区、用户设备、Cookie 或 URL 调整安全等级
同一URL针对不同IP或请求标识进行部分功能的A/B测试
使用额度
Free:10
Pro:25
Biz:50
Ent:125+
🗂文档
Configuration Rules
Introducing Configuration Rules
#功能配置
Via @Cloudflare_CN
Cloudflare 开放自定义缓存规则可用
💡特性
通过缓存规则,用户可以针对特定HTTP 请求自定义缓存属性
例如,
指定资源在 Cloudflare 中的缓存时间
指定URL在浏览器中的缓存时间
让特定符合条件的请求绕过缓存直接回源等
常用字段
Cookie - http.cookie
Hostname - http.host
Referer - http.referer
SSL/HTTPS - ssl
URI Full - http.request.full_uri
URI - http.request.uri
URI Path - http.request.uri.path
URI Query String - http.request.uri.query
User Agent - http.user_agent
X-Forwarded-For - http.x_forwarded_for
使用额度
Free:10
Pro:25
Biz:50
Ent:125+
🗂文档
Cache Rules
Introducing Cache Rules: precision caching at your fingertips
#缓存规则
Via @Cloudflare_CN
💡特性
通过缓存规则,用户可以针对特定HTTP 请求自定义缓存属性
例如,
指定资源在 Cloudflare 中的缓存时间
指定URL在浏览器中的缓存时间
让特定符合条件的请求绕过缓存直接回源等
常用字段
Cookie - http.cookie
Hostname - http.host
Referer - http.referer
SSL/HTTPS - ssl
URI Full - http.request.full_uri
URI - http.request.uri
URI Path - http.request.uri.path
URI Query String - http.request.uri.query
User Agent - http.user_agent
X-Forwarded-For - http.x_forwarded_for
使用额度
Free:10
Pro:25
Biz:50
Ent:125+
🗂文档
Cache Rules
Introducing Cache Rules: precision caching at your fingertips
#缓存规则
Via @Cloudflare_CN
Cloudflare 开放自定义回源规则可用
💡特性
通过规则配置用户可以轻松自定义回源规则
功能
改写回源请求头中的Host
改写DNS记录
改写SNI
自定义回源端口
使用额度
Free:10
Pro:25
Biz:50 (以上用户仅自定义回源端口功能可用)
Ent:125+ (全功能特性可用)
🗂文档
Origin Rules
Where to? Introducing Origin Rules
#自定义回源 #Host #端口
Via @Cloudflare_CN
💡特性
通过规则配置用户可以轻松自定义回源规则
功能
改写回源请求头中的Host
改写DNS记录
改写SNI
自定义回源端口
使用额度
Free:10
Pro:25
Biz:50 (以上用户仅自定义回源端口功能可用)
Ent:125+ (全功能特性可用)
🗂文档
Origin Rules
Where to? Introducing Origin Rules
#自定义回源 #Host #端口
Via @Cloudflare_CN
Cloudflare 对页面规则进行了功能拓展重构
💡拓展为四大新功能:
1. 回源规则:根据用户请求特征、属性、字段重新构造回源的请求主机头(Host)、DNS解析记录、服务器名称指示 (SNI)(功能仅限 Ent可用)、源站端口
2. 缓存规则:用户通过规则配置可实现在不同场景中,对资源缓存使用进行更为精细灵活的控制
3. 功能配置:为指定规则的请求启用、禁用和调整部分默认通用功能逻辑
4. 动态重定向:根据访客不同国家/地区、首选语言、设备类型、使用正则表达式匹配进行重定向
🚦优先级(由高到低,从左往右)
页面规则>回源规则>缓存规则>功能配置规则>动态重定向
The future of Page Rules
#页面规则 #功能
Via @Cloudflare_CN
💡拓展为四大新功能:
1. 回源规则:根据用户请求特征、属性、字段重新构造回源的请求主机头(Host)、DNS解析记录、服务器名称指示 (SNI)(功能仅限 Ent可用)、源站端口
2. 缓存规则:用户通过规则配置可实现在不同场景中,对资源缓存使用进行更为精细灵活的控制
3. 功能配置:为指定规则的请求启用、禁用和调整部分默认通用功能逻辑
4. 动态重定向:根据访客不同国家/地区、首选语言、设备类型、使用正则表达式匹配进行重定向
🚦优先级(由高到低,从左往右)
页面规则>回源规则>缓存规则>功能配置规则>动态重定向
The future of Page Rules
#页面规则 #功能
Via @Cloudflare_CN
Cloudflare 在中国频道
Cloudflare 流媒体(Stream)支持在线直播 特性 通过Cloudflare逐步开放的大规模即时通信平台(基于WebRTC)构建 自带简易播放器(主流浏览器可用) 多级转码(多种视频质量),适配观众网络环境,支持目前主要的流媒体编码格式(HLS、DASH) 可自定义访问控制(基于密钥、时间、地理围栏、IP限制等) 实时录制(可近实时访问单独音频流,支持点播回顾) 即时适应全球观众规模,适配各种直播体量 直播与观众屏幕延迟可低至 15秒(未来进一步降低) 定价简单、可预期 定价 每月每 1,000…
Cloudflare Stream 现在支持使用开放标准 WHIP 和 WHEP
WebRTC 流式传输今天已处于公开测试阶段,通过 WebRTC 可预期向无限并发的观众进行实时流式传输
WebRTC 流媒体的定价 与 Cloudflare Stream 部分一样,基于交付的视频分钟数和存储的分钟数进行计费
🗂文档
WebRTC
WebRTC live streaming to unlimited viewers, with sub-second latency
#直播 #推流
Via @Cloudflare_CN
WebRTC 流式传输今天已处于公开测试阶段,通过 WebRTC 可预期向无限并发的观众进行实时流式传输
WebRTC 流媒体的定价 与 Cloudflare Stream 部分一样,基于交付的视频分钟数和存储的分钟数进行计费
🗂文档
WebRTC
WebRTC live streaming to unlimited viewers, with sub-second latency
#直播 #推流
Via @Cloudflare_CN
Cloudflare 发布消息队列内测
从Worker开始,Cloudflare为帮助开发者构建大型、可靠的应用程序,不断开发所需基础设施,当遇到不需要立即获得结果,但并发量又需要进行控制时,差不多就需要消息队列上场了
限制
队列个数 10个/每账号
消息大小 ≤128KB
消息重试次数 ≤100次
批量提交消息数 ≤100条
批处理等待时间 ≤30秒
消息吞吐量 ≤100条/每秒
*Cloudflare Queues 与Cloudflare Workers集成,收发消息目前必须使用 Worker,后续将支持其它API接口
*部分限制可能会在后续测试调整、放宽或取消
定价
按每月总操作次数收费;每写入、读取或删除 64 KB 的数据,就计为一次操作,没有带宽流量费用
每月前一百万次操作免费,后续每百万次操作 0.4$
完整传递一条消息需要 3 次操作:1 次写入、1 次读取和 1 次删除
月账单估算公式为:
(消息总数-1000000)*3*/1000000*0.4$
*在内测期间试用免费 >>申请内测
🗂文档
Cloudflare Queues
Cloudflare Queues: globally distributed queues without the egress fees
#消息队列
Via @Cloudflare_CN
从Worker开始,Cloudflare为帮助开发者构建大型、可靠的应用程序,不断开发所需基础设施,当遇到不需要立即获得结果,但并发量又需要进行控制时,差不多就需要消息队列上场了
限制
队列个数 10个/每账号
消息大小 ≤128KB
消息重试次数 ≤100次
批量提交消息数 ≤100条
批处理等待时间 ≤30秒
消息吞吐量 ≤100条/每秒
*Cloudflare Queues 与Cloudflare Workers集成,收发消息目前必须使用 Worker,后续将支持其它API接口
*部分限制可能会在后续测试调整、放宽或取消
定价
按每月总操作次数收费;每写入、读取或删除 64 KB 的数据,就计为一次操作,没有带宽流量费用
每月前一百万次操作免费,后续每百万次操作 0.4$
完整传递一条消息需要 3 次操作:1 次写入、1 次读取和 1 次删除
月账单估算公式为:
(消息总数-1000000)*3*/1000000*0.4$
*在内测期间试用免费 >>申请内测
🗂文档
Cloudflare Queues
Cloudflare Queues: globally distributed queues without the egress fees
#消息队列
Via @Cloudflare_CN
发布开源 JavaScript/Wasm 运行时:workerd
📝设计原则
◆服务器优先:专为服务器设计,而不是 CLI 或 GUI
◆基于标准:内置 API 基于 Web 平台标准,例如fetch().
◆Nanoservices:将您的应用程序拆分为可解耦且可独立部署的组件,如微服务,但具有本地函数调用的性能。当一个纳米服务调用另一个纳米服务时,被调用者在同一个线程和进程中运行
◆同构部署:无需将不同的微服务部署到集群中的不同机器上,而是将所有纳米服务部署到集群中的每台机器上,从而使负载平衡更加容易
◆能力绑定: workerd配置使用能力而不是全局命名空间来连接纳米服务和外部资源。结果是代码更加可组合——并且不受 SSRF 攻击
◆始终向后兼容:更新workerd到新版本永远不会破坏您的 JavaScript 代码。workerd的版本号只是一个日期,对应于该版本支持的最大“兼容日期”。您始终可以将您的工作人员配置为过去的日期,workerd并将模拟该日期存在的 API
注意
workerd 不是现成的边缘计算平台,完整的 Cloudflare Workers 服务涉及到 workerd 本身之外的许多技术,包括额外的安全性、部署机制、编排等等。workerd 本身是整个 Cloudflare Workers 服务中的一小部分(尽管很关键)
*workerd 目前处于测试阶段欢迎试用反馈
🐞开源发布
workerd 源码
Introducing workerd: the Open Source Workers runtime
#开源 #workerd
Via @Cloudflare_CN
📝设计原则
◆服务器优先:专为服务器设计,而不是 CLI 或 GUI
◆基于标准:内置 API 基于 Web 平台标准,例如fetch().
◆Nanoservices:将您的应用程序拆分为可解耦且可独立部署的组件,如微服务,但具有本地函数调用的性能。当一个纳米服务调用另一个纳米服务时,被调用者在同一个线程和进程中运行
◆同构部署:无需将不同的微服务部署到集群中的不同机器上,而是将所有纳米服务部署到集群中的每台机器上,从而使负载平衡更加容易
◆能力绑定: workerd配置使用能力而不是全局命名空间来连接纳米服务和外部资源。结果是代码更加可组合——并且不受 SSRF 攻击
◆始终向后兼容:更新workerd到新版本永远不会破坏您的 JavaScript 代码。workerd的版本号只是一个日期,对应于该版本支持的最大“兼容日期”。您始终可以将您的工作人员配置为过去的日期,workerd并将模拟该日期存在的 API
注意
workerd 不是现成的边缘计算平台,完整的 Cloudflare Workers 服务涉及到 workerd 本身之外的许多技术,包括额外的安全性、部署机制、编排等等。workerd 本身是整个 Cloudflare Workers 服务中的一小部分(尽管很关键)
*workerd 目前处于测试阶段欢迎试用反馈
🐞开源发布
workerd 源码
Introducing workerd: the Open Source Workers runtime
#开源 #workerd
Via @Cloudflare_CN
Magic Network Monitoring 即将免费发布
💡特性
分析面板:可视化网络流量并按数据包特征(协议、源 IP、目标 IP、端口、TCP 标志和路由器 IP)进行细分过滤
为每个 IP 地址或 IP 前缀创建网络容量警报阈值
识别网络层 DDoS 攻击,定位流量来源
可用
几周后上线,所有 Magic Transit 用户免费可用
可通过填写此表格申请提前访问
Monitor your own network with free network flow analytics from Cloudflare
#网络 #分析
Via @Cloudflare_CN
💡特性
分析面板:可视化网络流量并按数据包特征(协议、源 IP、目标 IP、端口、TCP 标志和路由器 IP)进行细分过滤
为每个 IP 地址或 IP 前缀创建网络容量警报阈值
识别网络层 DDoS 攻击,定位流量来源
可用
几周后上线,所有 Magic Transit 用户免费可用
可通过填写此表格申请提前访问
Monitor your own network with free network flow analytics from Cloudflare
#网络 #分析
Via @Cloudflare_CN
向服务商免费分享僵尸网络威胁情报
Cloudflare 每天都在缓解全球范围内的 DDoS 攻击,这意味Cloudflare在主动识别违规 IP 地址方面具有独特优势,现在服务提供商(ISP)可以注册接收Cloudflare的情报提要,通过它可以看到服务商名下拥有的那些IP地址近期正在参与 HTTP DDoS 攻击,方便服务商及时主动识别、采取行动,阻止 IP 滥用
📋订阅威胁情报
抢先体验申请试用
Introducing Cloudflare’s free Botnet Threat Feed for service providers
#威胁情报
Via @Cloudflare_CN
Cloudflare 每天都在缓解全球范围内的 DDoS 攻击,这意味Cloudflare在主动识别违规 IP 地址方面具有独特优势,现在服务提供商(ISP)可以注册接收Cloudflare的情报提要,通过它可以看到服务商名下拥有的那些IP地址近期正在参与 HTTP DDoS 攻击,方便服务商及时主动识别、采取行动,阻止 IP 滥用
📋订阅威胁情报
抢先体验申请试用
Introducing Cloudflare’s free Botnet Threat Feed for service providers
#威胁情报
Via @Cloudflare_CN
Cloudflare管理面板引入快速搜索入口
Cloudflare发布了太多功能,用户切换、查找功能服务不方便,现引入搜索入口,方便用户快速查找域名、切换功能服务
📜使用入口
点击顶部导航中的放大镜按钮
或使用键盘快捷键
Linux 和 Windows 上 Ctrl + K 或在 Mac 上使用 ⌘ + K
*如果你的管理面板中还没有搜索入口,可填写在线申请提前试用
We've shipped so many products the Cloudflare dashboard needed its own search engine
#管理面板 #搜索
Via @Cloudflare_CN
Cloudflare发布了太多功能,用户切换、查找功能服务不方便,现引入搜索入口,方便用户快速查找域名、切换功能服务
📜使用入口
点击顶部导航中的放大镜按钮
或使用键盘快捷键
Linux 和 Windows 上 Ctrl + K 或在 Mac 上使用 ⌘ + K
*如果你的管理面板中还没有搜索入口,可填写在线申请提前试用
We've shipped so many products the Cloudflare dashboard needed its own search engine
#管理面板 #搜索
Via @Cloudflare_CN
发布免费人机验证服务:Turnstile
🤖工作原理
运行一系列小的非交互式 JavaScript 验证,收集有关访客、浏览器环境信息,验证包括工作量证明(Picasso:轻量级设备类指纹)、空间证明、Web API 探测:检测识别不同浏览器独有的工作特性,以及与人类交互行为相关的各种其他验证,系统引入机器学习模型:会根据具体请求环境特征微调验证的难度,识别能够通过检测的访客共同特征,让计算难度因访客而异
⚙接入使用
Cloudflare用户,可以在账号页 Turnstile 选项卡下添加站点生成密钥对使用,后续可在面板上查看Turnstile使用状况:不同页面使用程度、通过率等
非Cloudflare用户,可以在此处申请注册试用
*Turnstile的部署使用与一般人机验证码产品部署使用无异
🏷限制
Turnstile 目前处于公开测试阶段,用户每月限制为 100 万次 siteverify 调用
Announcing Turnstile, a user-friendly, privacy-preserving alternative to CAPTCHA
#发布 #验证码
Via @Cloudflare_CN
🤖工作原理
运行一系列小的非交互式 JavaScript 验证,收集有关访客、浏览器环境信息,验证包括工作量证明(Picasso:轻量级设备类指纹)、空间证明、Web API 探测:检测识别不同浏览器独有的工作特性,以及与人类交互行为相关的各种其他验证,系统引入机器学习模型:会根据具体请求环境特征微调验证的难度,识别能够通过检测的访客共同特征,让计算难度因访客而异
⚙接入使用
Cloudflare用户,可以在账号页 Turnstile 选项卡下添加站点生成密钥对使用,后续可在面板上查看Turnstile使用状况:不同页面使用程度、通过率等
非Cloudflare用户,可以在此处申请注册试用
*Turnstile的部署使用与一般人机验证码产品部署使用无异
🏷限制
Turnstile 目前处于公开测试阶段,用户每月限制为 100 万次 siteverify 调用
Announcing Turnstile, a user-friendly, privacy-preserving alternative to CAPTCHA
#发布 #验证码
Via @Cloudflare_CN
发布电子邮件链接隔离防护
针对电子邮件中提供的访问链接提供额外防护功能
💡特性
◆解析识别恶意链接提前预警让用户保持警惕,以防止账号、密钥被盗被接管
◆自动阻止危险下载
◆防止恶意脚本在用户设备上执行
◆防止浏览器上的零日攻击
📜工作原理
系统从邮件中查找访问链接,解析识别后重写那些不安全链接,使它们通过远程浏览器打开,安全链接则走本地浏览器正常打开
⚙使用
目前处于测试阶段,在测试期间,它将在所有资费套餐中免费
在测试版之后,它仍将免费包含在的PhishGuard 计划中
有兴趣可以点此申请注册测试版
Automagical Browser Isolation for potentially unsafe links in email
#email #电子邮件 #隔离防护
Via @Cloudflare_CN
针对电子邮件中提供的访问链接提供额外防护功能
💡特性
◆解析识别恶意链接提前预警让用户保持警惕,以防止账号、密钥被盗被接管
◆自动阻止危险下载
◆防止恶意脚本在用户设备上执行
◆防止浏览器上的零日攻击
📜工作原理
系统从邮件中查找访问链接,解析识别后重写那些不安全链接,使它们通过远程浏览器打开,安全链接则走本地浏览器正常打开
⚙使用
目前处于测试阶段,在测试期间,它将在所有资费套餐中免费
在测试版之后,它仍将免费包含在的PhishGuard 计划中
有兴趣可以点此申请注册测试版
Automagical Browser Isolation for potentially unsafe links in email
#email #电子邮件 #隔离防护
Via @Cloudflare_CN
账号访问权限共享基于角色配置(RBAC)现在面向所有人可用
通过定义一系列权限(角色),为不同成员角色分配不同权限,轻松为团队实现最小权限分配,有效分割安全风险
🗂使用文档
Available roles
Now all customers can share access to their Cloudflare account with Role Based Access Controls
#权限配置 #团队协作
Via @Cloudflare_CN
通过定义一系列权限(角色),为不同成员角色分配不同权限,轻松为团队实现最小权限分配,有效分割安全风险
🗂使用文档
Available roles
Now all customers can share access to their Cloudflare account with Role Based Access Controls
#权限配置 #团队协作
Via @Cloudflare_CN
🎉频次限制功能:免费!
从今天开始,新的频次限制功能面向所有用户免费,不再有相关计量使用费用,同时上线新的 频次限制规则,用户可以通过多个字段灵活组合自行定义限制标识以及粒度
🏷使用额度
用户版本 Free Pro Biz Ent Ent+
最大采样周期 10 秒 | 60 秒 | 10 分钟 | 1 小时 | 1小时
最大超时时间 10 秒 | 1 小时 | 1 天 | 1 天 | 1天
规则数量 1 | 2 | 5 | 100 | 100条
🗂相关文档
Rate limiting rules
💬注意事项
◆从今天 9 月 29 日开始,Pro 和 Business 用户的管理面板中将提供新版频次限制;Free 用户将在 2022 年 10 月 3 日开始的一周内逐步可用
◆现有用户将在新的不计量系统中获得与他们当前在先前版本中使用时相同数量的规则(截至 2022 年 9 月 20 日)。例如,如果你是 Biz用户,在以前的版本中激活使用9条规则,那么你在新系统中也将获得9条规则
◆新的频次限制拥有旧版所有功能实现,旧版规则还在部署使用的仍会收费,请及时重写新规则完成迁移切换
◆旧版频次限制将会逐步淘汰弃用
一些特性
计数和缓解表达式现在可以分开
here's a birthday gift: Unmetered Rate Limiting
#WAF #频次限制
Via @Cloudflare_CN
从今天开始,新的频次限制功能面向所有用户免费,不再有相关计量使用费用,同时上线新的 频次限制规则,用户可以通过多个字段灵活组合自行定义限制标识以及粒度
🏷使用额度
用户版本 Free Pro Biz Ent Ent+
最大采样周期 10 秒 | 60 秒 | 10 分钟 | 1 小时 | 1小时
最大超时时间 10 秒 | 1 小时 | 1 天 | 1 天 | 1天
规则数量 1 | 2 | 5 | 100 | 100条
🗂相关文档
Rate limiting rules
💬注意事项
◆从今天 9 月 29 日开始,Pro 和 Business 用户的管理面板中将提供新版频次限制;Free 用户将在 2022 年 10 月 3 日开始的一周内逐步可用
◆现有用户将在新的不计量系统中获得与他们当前在先前版本中使用时相同数量的规则(截至 2022 年 9 月 20 日)。例如,如果你是 Biz用户,在以前的版本中激活使用9条规则,那么你在新系统中也将获得9条规则
◆新的频次限制拥有旧版所有功能实现,旧版规则还在部署使用的仍会收费,请及时重写新规则完成迁移切换
◆旧版频次限制将会逐步淘汰弃用
一些特性
计数和缓解表达式现在可以分开
here's a birthday gift: Unmetered Rate Limiting
#WAF #频次限制
Via @Cloudflare_CN
获得Cloudflare Stream免费使用额度
Cloudflare Stream 简化了视频的存储、编码和播放体验,用户可以很方便上传、发布传播视频内容
从 2022 年 12 月 1 日开始,所有付费用户(Pro、Biz订阅)获得Cloudflare Stream免费使用额度:
可存储 100 分钟的视频内容
播放 10000 分钟的视频内容
如果需超额的时长,可单独升级 Stream 订阅
🗂使用文档
Stream Docs
Business and Pro customers get bundled streaming video
#Stream #额度
Via @Cloudflare_CN
Cloudflare Stream 简化了视频的存储、编码和播放体验,用户可以很方便上传、发布传播视频内容
从 2022 年 12 月 1 日开始,所有付费用户(Pro、Biz订阅)获得Cloudflare Stream免费使用额度:
可存储 100 分钟的视频内容
播放 10000 分钟的视频内容
如果需超额的时长,可单独升级 Stream 订阅
🗂使用文档
Stream Docs
Business and Pro customers get bundled streaming video
#Stream #额度
Via @Cloudflare_CN