Ладно там на самом деле не совсем точно так как там запросы и к яндексу на метрику считает и запросы к сайту
Вот среднее за 7 дней если взять
Первая строка это запросы на яндекс метрику и ответы от метрики средние, вторая строка это запросы к бэкенду сайта
Это sentry, очень богатый инструмент, я правда еще изучаю и до настраиваю, но он в реалтайме может и гугловые показатели для конкретных пользователей показывать например а не просто пузомерка через пейджспид страницу, вот например главная, листинг и товары
можно привязать к релизам и видеть как твои изменения по сайту влияют на показатели у пользователей, короче много всего интересного можно вынуть из инструмента
Тогда я не очень понимаю зачем вы даете какую то статистику, может у вас там в Хорватии статический контент подгружается с кэша в виде текста, а я вам говорю про интернет магазин со 100к товаров, фильтрами, остатками, отзывами, ценами, скидками и все это на одной странице =)))
У меня есть куда более интересные и предсказуемые инструменты чем метрика и это вот статистика за час
Все это настраивается и без CF, да может чутка сложнее, может чутка придется посидеть и разобраться, но эти знания и настройки останутся у вас, а здесь у вас получается так называемый vendor lock, я надеюсь что CF как работал так и будет работать, но что вы будете делать если перестанет?
А как вы её хотите ощутить? Но как минимум TLS 1.3 быстрее чем TLS 1.2 при установке соединения, но да там на глаз особо не заметно =))
Кстати вас не смущает что у вас один и тот же сайт в Хорватии и Люксенбурге грузится с разницей х2 хотя между ними плюс минус 1000км? От Питера до Москвы пинг по моему 2мс. И да конечно, CF тут совсем не при чем
В вашем графике нету России и судя по всему она где то ниже, где уже точно больше 1.5 секунды.
Почему бы CF не пользоваться как DNS? Например даже для того, что частенько CF ставят как resolve сервера в настройках наряду с гугловыми, очень даже полезно. Плюсом проксирование всегда можно включить достаточно быстро.
Зачем мне все эти пляски? Ну вот просто для чего? Вы отключили основной с 2018 года протокол защиты транспортного уровня, это не то что машина во дворе, ну да =)) Я пользуюсь интернетом, я вижу как сайты становятся недоступными, вот недавний пример, прилегло все что могло прилечь, буквально несколько недель назад =)) Посмотрите сколько тут тем и как часто они начали появляться, профит то от этого какой? За последние 2 года на проекте 0 ддос атак =))
Да я тоже так считаю, каждый сам выбирает свой путь =) мне панелька не нужна чтоб настроить правила, у CF конечно защита на L7 прикольная, но как вы сказали все очень таки индивидуально
Т.е. Вы предлагаете отказаться от CF совсем, а использовать его только тогда, когда будет атака?Объясните только один момент, CF не подключается за 10-15 минут, иногда потребуется куда большее время, да хотя бы для того, чтоб прописать правила. А пока настраиваем, сайт ляжет раза 2-3. Что с этим делать то?
Ну не совсем так. DNS у вас уже на CF, правила работают только когда включено проксирование через CF, когда выключено, то CF это просто DNS сервер, прям таки устойчивый DNS. В случае атаки (в моем случае) подменяется IP на другой с этой же виртуалки и включается проксирование. А старый IP отключается от виртуалки чтоб на него напрямую долбится не могли. Как атака проходит, то IP снова подменяется на CF на старый всем известный и проксирование отключается. А так да, сидеть под CF с текущими проблемами не вижу никакого смысла на постоянке, сайт без CF например отвечает за 150ms в среднем, а с CF порой больше секунды, но меньше 600ms практически никогда.
Какие теоретические? Как мой nginx упадет если он до него не сможет достучаться? =)) И чтоб уронить nginx я не знаю даже что надо, раньше, прям сильно раньше упадут коннекты к БД, упадет php в очередях тредов и так далее, но точно уж не nginx =)) Я на nginx с 2Гб оперативки и 2 ядрами процессора держал 1000RPS и он даже особо не почувствовал =))
Да я так и понял, спасибо за полный график. Но в целом да там написан промежуток и что это за число =) Я поэтому и уточнил как может виртуалка от 3к уников упасть за сутки, так как это в среднем 2 запроса в минуту =)
waf сейчас по сути набор правил свой на nginx сделанный как выше писали на мапах, есть вот такие проекты https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker но я честно пока не пробовал, есть https://www.openappsec.io/ это с использованием ML какое то время учится потом включаешь и работает, есть панелька в облаке и естественно бесплатная версия.
А на картинке это просто графана, дашборд строится по метрикам из прометеуса, в прометеус пишет мой сайт, то есть кастомные штуки.
Всё, понятно с вами. Сервер у вас дополнительный перед сайтом который распределяет по DNS запросы. 2 аккаунт клоудфларе на всякий случай, чтобы чуть что подменить. 😀
Конечно, любой узел в сети увеличивает лентенси запроса, зачем ставить какую либо защиту перед сервером если никто не атакует, зато для всех увеличивает время загрузки вашего сайта? CF только на случай подменить и то потому что отключили ddos-guard по тем же причинам, но все конфиги и настройки всегда были на своих серверах, у CF как и у других на сколько помню есть ограничения на правила, плюс меняя провайдеров приходится каждый раз эти правила переизобретать.
