Cloudflare今日宣布面向所有付费用户开放Spectrum服务

Cloudflare Spectrum：全协议反代加速服务，可以为任意TCP/UDP应用提供安全防护与加速，目前普通付费用户限定常见应用协议，企业版支持全协议（单独议价）

专业（Pro）版：5G，支持：SSH、Minecraft，最大连接数：10
商业（Biz）版：10G，额外支持：RDP协议，最大连接数：100

*超过每月免费额度后：$1/GB

Cloudflare管理面板以及API服务异常

查看事件进度

北京时间
4月15日
23:38，出现：无法正常访问Cloudflare管理面板，大部分API接口不可用（返回非预期错误信息）

4月16日
00:01，对管理面板以及API服务展开调查
00:38，调查管理面板以及API服务所处数据中心网络连接问题
01:00，开始尝试修复
01:39，事件严重程度变更为：重大；主体核心服务离线维护状态，尝试修复到核心数据中心的网络连接
03:11，派遣网络工程师前往现场对设备进行故障排除，HKG节点网络异常（网络延迟响应、丢包）
04:13，已恢复与数据中心的连接，API和管理面板重新联机上线
04:44，除Argo隧道、数据分析服务部分降级工作，其它所有服务已恢复正常

4月15日晚Cloudflare管理面板以及API服务重大故障起因简述

起因
运维人员按计划在核心数据中心一个机柜更换设备，断开了机柜上的交换机连接，造成单点网络故障使得主核心数据处理中心（包含：主控制面板和数据库）与其它数据中心的网络连接中断，导致以下功能服务不可用：
Logging into the Dashboard
Using the API
Making any configuration changes (such as changing a DNS record)
Purging cache
Running automated Load Balancing health checks
Creating Argo Tunnel connections
Creating or updating Cloudflare Workers
Transferring domains to Cloudflare Registrar
Accessing Cloudflare Logs and Analytics
Encoding videos on Cloudflare Stream
Logging information from edge services (customers will see a gap in log data)

*即用户除无法访问管理面板、正常使用API管理更新应用配置和刷新缓存外，Cloudflare网络服务正常运行：代理访问回源、应用服务正常工作；Magic Transit，Cloudflare Access和Cloudflare Spectrum正常运行，所有安全服务（WAF等）正常运行

修复
北京时间4月16日
03:44，启用了10Gbps备用线路
03:51，线路修复1/4
03:52，管理面板以及API服务可用
04:16，线路修复2/4
04:19，线路修复3/4
04:31，修复了所有线路

事件：Cloudflare Dashboard and API Outage on April 15, 2020

Cloudflare API 相关—近期发生的一些变更

失效倒计时
以下域名数据分析接口将在2020年5月31日停用
GET /zones/:id:/analytics/dashboard
GET /zones/:id:/analytics/colos
*更换为 /graphql 构建查询请求可获得之前一致数据字段
GraphQL教程 | API迁移指南

严格验证
API加强了校验：提交的JSON数据存在空字段或非标准值、Content-Type（内容类型）为空或者错配将会收到 400,415 错误提示

降低滥用
近期开始（4月25日~）新增的免费域名（主要针对 .cf, .ga, .gq, .ml, .tk 后缀）使用CF API进行DNS解析记录的管理维护将会陆续收到 401 限制提示，若有需要请前往CF管理面板上进行解析的增删改查或者升级付费套餐

权限限制
启用了2FA（双因素验证）的用户不再支持通过 Cloudflare HOST API（老版 Cloudflare Partners 所用API）使用CF账号直接授权登录

CF API最近更新时间
2020/5/1 02:48:45 UTC+8

旧版防火墙事件API即将停用

下列API将在2020年7月24日停用
GET /zones/:id:/security/events
GET /zones/:id:/firewall/events
（管理面板用API，文档中未公开）

请根据自身业务需要，使用新API路由 /graphql 构建查询请求获取所需同等数据
GraphQL教程（英）

防火墙事件: 自定义防火墙规则、CF托管WAF、速率限制、安全等级、访问规则（IP、IPs、ASN以及国家/地区）、UA拦截、区域锁定（Zone Lockdown）、高级DDoS防护等的触发日志

*建议开发者向前兼容: 将所有涉及数据查询、分析的API全线迁移至 GraphQL 接口
*近期（30天内）使用过旧版防火墙事件API的用户将会收到图中API迁移邮件提示

Cloudflare API最近更新日期
2020年5月5日 06:53:06 AM GMT+8

Cloudflare: 2020年第一季度网络层DDoS攻击趋势

在？来测个网速！

Cloudflare发布在线测速网站
https://speed.cloudflare.com/

测试用户当前所处网络环境与最近Cloudflare数据中心之间的网络性能：上行下载、网络延迟抖动

*这里的最近非实际物理地址意义上的最近，它由Cloudflare组建的全球Anycast网络BGP路由就近调度的最近数据中心

Cloudflare.TV 上线

Cloudflare TV后续将通过Cloudflare网络在全球范围内进行24x7全天电视直播（部分节目有回看）

Cloudflare TV简介
这是Cloudflare尝试与社区建立资讯联系的实验平台，它不太可能会演变成面向广罗大众的网络电视平台（看美剧）

📋节目内容
访谈对话、时事周边：企业家对话、近期发生的事件
技术向：定期每周分享 Web性能，Internet安全，边缘计算和网络可靠性等话题与趋势发现

🗓近期节目安排时间表: cloudflare.tv/schedule

Ladies and Gentlemen… Cloudflare TV!

运行状况检查分析功能上线

通过预先创建好的运行状态检查来监测源站服务器的运行状态，今日上线的运行状况检查分析功能基于之前检查所得的上下文数据，提供在线可视化分析面板协助用户尽快定位发现源站服务异常，缩减解决问题所需时间以帮助用户提高应用服务的可靠性

当前分析可用字段
运行状况、区域（国家地区）、响应状态码、失败原因、源站服务器（IP）、运行状态变化、名称

*当前检测区域 13个，检测区每次发起 3个请求
*面向所有Cloudflare付费用户可用（Pro及以上）

说明: Health Check Analytics and how you can use it

请求经过部分Cloudflare数据中心返回502错误

受影响数据中心
欧洲(巴塞罗那，西班牙-(BCN))
亚洲(吉隆坡，马来西亚-(KUL))
北美(多伦多，安哥拉，加拿大-(YYZ))

导致
位于受影响数据中心的所有请求和服务不可用可见 502 错误提示

缓解
换用网络环境通过其它数据中心访问Cloudflare所有服务

事件进度追踪
Errors in some datacenters

缓存分析（Cache Analytics）上线

简介
缓存分析可用作通用分析工具，旨在帮助用户了解 Cloudflare 缓存机制以及网站当前缓存工作状态

在缓存分析页面上，可以根据缓存状态、主机名、路径、内容类型等进行筛选。例如，如果你期望减少某个特定子域的回源数据，或者试图缓存动态请求以优化 HTML 页面的访问性能，那么通过缓存分析可以帮助你快速确定近期调整的缓存策略是否有正确配置且符合预期

数据查看
专业版可访问3天的分析历史
商业或企业版可访问21天的分析历史
（后续开放更多额度以及分析场景）

*缓存分析面向所有付费用户可用（Pro及以上）

介绍 Introducing Cache Analytics

@Cloudflare_CN

Cloudflare 开放域名直接注册入口

服务目前支持域名后缀 259 个
*强制双因素身份验证（2FA）
*默认Whois隐私保护（需TLDs支持）
*默认域名注册商、注册管理机构锁定
*注册、续费按批发成本定价（无附加费用）
*图为常见域名当前（今日）每年注册续费价格
*一次最多可注册续费年限 10年

管理面板本地化语言新增
西班牙语（西班牙）
西班牙语（墨西哥）
韩语（韩国）
葡萄牙语（巴西）
繁体中文

Cloudflare 开放区域服务

起因
出于各种原因，一些组织表示倾向于保留对其数据的区域控制。例如：受到与自己客户协议或者政策的约束，其中包括对数据流或数据处理的地理限制。一些客户会要求控制网络流量以及具体应用服务仅在指定位置可用

现在
•可以完全控制流量的确切工作位置
•第7层（HTTP）应用服务可以配置为仅在这些地区内使用，而不能在这些地区外使用

*目前仅企业定制版可用

宣告 Introducing Regional Services

Cloudflare 人机验证异常

表现
JS人机验证（俗称：五秒盾）卡在请求授权验证用Token环节，返回非预期错误（400，无效请求）无法正常自动完成JS人机验证过程

*人机验证码（质询）模式正常可用

临时缓解建议
开启了全域五秒盾的用户，请根据自身业务需要配置防火墙规则启用人机验证码或临时关闭全域请求验证
一般用户，临时调整安全水平到基本关闭以尽可能放行更多正常访客
启用Rate Limit

@Cloudflare_CN

Cloudflare面板以及API 计划维护

预期
北京时间2020年7月23日 04:00-05:00

影响
例行维护期间，相关服务将处于分阶段降级运行状态，用户访问管理面板、使用 API 将会收到非预期错误响应或部分功能服务不可用，可用性随更新进度逐步恢复

通告
Cloudflare Dashboard and API Maintenance

#维护 #预告

Cloudflare 域名验证重试时间

算法公式
当前时间+最小等待时间(60*(1.05^重试次数),4*60*60)

*示例（秒）
60,63,66,69,72,76,80,84,88,93,242,279,321,369,424,488
*重试40次后锁定为每四小时验证一次，最多持续14天（120次）

文档
Validation Backoff Schedule

Cloudflare API、部分地区网络以及递归DNS服务异常

原因
Cloudflare因全球骨干网中的路由器宣布了错误的路由，导致部分网络服务不可用

反应
部分地区用户发起的请求可能会失败或得到非预期错误结果，受影响主体：DNS服务部分中断

受影响
数据中心
SJC，DFW，SEA，LAX，ORD，IAD，EWR，ATL，LHR，AMS，FRA，CDG

服务
Cloudflare站点和服务（Cloudflare API，Cloudflare递归DNS）

进度
Cloudflare Network and Resolver Issues
06:57 确认解决

#故障

Cloudflare 7月18日离线故障复盘

Cloudflare骨干网络中的配置错误导致网络和Cloudflare服务中断，整个网络的流量下降了约50％，持续约 27 分钟

中断发生原因
在处理从纽瓦克到芝加哥的部分骨干网无关的问题时，我们的网络工程团队更新了亚特兰大路由器上的配置，以缓解拥塞。该配置错误的导致跨主干网的所有流量都发送到亚特兰大。这很快使亚特兰大路由器不堪重负，并导致连接到主干网的Cloudflare各网络节点陆续出现故障

受影响的地点
圣何塞，达拉斯，西雅图，洛杉矶，芝加哥，华盛顿特区，里士满，纽瓦克，亚特兰大，伦敦，阿姆斯特丹，法兰克福，巴黎，斯德哥尔摩，莫斯科，圣彼得堡，圣保罗，库里蒂巴和阿雷格里港
*其他地区节点脱离Cloudflare骨干网，继续正常运行

时间线
04:25 EWR和ORD之间的主干链路丢失
04:25 ATL和IAD节点之间的骨干网拥塞
05:12~05:39 ATL吸引了来自整个骨干网的流量
05:39至05:47 ATL从主干网中删除，服务恢复
05:47至05:10 核心拥塞导致某些日志服务性能下降，边缘节点继续运行
06:10 全面恢复，包括日志和指标

*题图标注了当前Cloudflare全球骨干网节点

通告
Cloudflare outage on July 17, 2020

#故障 #复盘

自定义IP列表功能上线

•支持用户创建具有任何前缀长度的列表
•列表可与防火墙规则中现有指标、变量联合使用
•列表为账号级多域共享
•列表支持批量上传设置
（UI上操作复制粘贴IP列表将自动创建多行）
•目前每个账号下仅限创建一个列表：1000个条目
（后续将分级开放更多设置额度、付费订阅）
（现在就有更大数量、条目需要可以联系客户经理或发起工单申请）

即将到来
•支持设置国家地区、ASN列表
•支持指定列表有效期
•列表托管订阅功能：比如选择性订阅一些常见的第三方性能监控服务放入白名单；订阅常见的公共代理IP列表设置更低触发阀值阻截常见CC攻击负载
•上线：账号级防火墙规则，将进一步简化安全配置
•调整：防火墙工具选项卡下所有功能将逐一迁移至防火墙规则中

#防火墙 #IPS

Via @Cloudflare_CN