Server

Vollgas mit Cloudflare? Revolutionärer Dienst verspricht rasante Performance und hohe Sicherheit für beliebige Websites

19. März 2013
von

Webseiten sollen die eierlegenden Wollmilchsäue schlechthin sein. Extrem schnell, beständig vor Angreifern und am besten noch mit vielen Features. Das ist nicht leicht umzusetzen. Entweder müssen dafür Dutzende von Webentwicklern für einige Wochen in einen dunklen Raum gesteckt werden oder, neue Wege müssen her. Einen revolutionären Ansatz hat das StartUp Cloudflare aus San Francisco gewagt. Die Lösung: Leite einfach all deinen Traffic über unsere Server und wir erledigen den Rest. Ein Prinzip, das einfacher klingt als es ist.

cloudflare-logo-640px

Cloudflare und die nachlässig implementierte Router-Regel

Eins gleich vorweg: Es mag erstaunen, über einen Dienst zu sprechen, der absolute Sicherheit, Stabilität und Komfort verspricht und erst in der letzten Woche für eine Stunde fast 800.000 Webseiten in den Abgrund gerissen hat. Es erwies sich als nicht so schlau, eine Router-Regel ohne großen Testlauf auf allen Rechenzentren weltweit gleichzeitig auszurollen. Einsicht ist immerhin der erste Schritt auf dem Weg zur Besserung und man darf wohl mit Sicherheit davon ausgehen, dass sich ein solcher Fehler nicht wiederholen wird.

Dem grundsätzlichen Prinzip tut das überdies keinen Abbruch. Cloudflare versucht alles, um Webseiten im bestmöglichen Licht erscheinen zu lassen. Inhalte werden gecacht, Angriffe abgefangen, Code optimiert und wahlweise nützliche Apps on the fly eingefügt.

Das Prinzip hinter der Wolke

Ziel der Entwickler war es, eine Rundumsorglos-Lösung für Webseiten zu erschaffen. Einmal eingerichtet, sollten alle relevanten Abläufe über das eigene Netz laufen. Im Prinzip ganz einfach: Vor die eigentlichen Webserver wird der Dienst von Cloudflare geschaltet, der den Großteil der zu erledigenden Arbeiten leistet.

In 90 Sekunden erklärt Cloudflare sich selbst…

Ausgerechnet Ausfallsicherheit war dabei ein besonderes Kriterium der gesamten Plattform und so sind aktuell 23 Rechenzentren weltweit für den Dienst tätig.  Dabei wird via Anycast für jede Anfrage eine Route zu jedem Rechenzentrum angeboten –  jedoch nur das regional nächste bearbeitet die Anfrage.

Das System hat gleich mehrere Vorteile. Durch die weltweite unmittelbare Nähe zum Anwender werden die Anfragen zunächst mit geringer Latenz ausgeführt. Außerdem ist die Ausfallsicherheit sehr hoch. Bricht ein Rechenzentrum zusammen, bricht auch die Route zu diesem zusammen und mit Anycast wird einfach das zweitnächste Rechenzentrum angesteuert.

Eine durchdachte Infrastruktur ist jedoch nicht alles. Cloudflare versucht, möglichst alle Bereiche für die Auslieferung einer Webseite zu vereinheitlichen. Das fängt schon damit an, dass der Dienst eigene Nameserver betreibt – das sogar mit einer äußerst soliden Geschwindigkeit. Diese Nameserver müssen für die eigenen Web-Projekte hinterlegt werden. Die Installation der Nameserver ist auch schon die einzige komplizierte Tätigkeit für den Anwender.

Ab dann passiert alles automatisch – gesteuert über ein Webinterface. Grafiken werden gecacht und über das CDN ausgeliefert. Quellcodes werden optimiert. Mit einem Klick lässt sich eine vollständige IPV6-Unterstützung aktivieren, auch wenn der Ursprungsserver ausschließlich per IPv4 angebunden ist. Kleine Apps bieten nützliche Funktionen auch von Drittanbietern an.

Hauptaspekt hinter dem Cloudflare-Konzept ist jedoch: Sicherheit. Weltweit werden mit stetig wachsender Tendenz immer mehr Angriffe auf Webseiten gezählt. Große DDoS-Angriffe zwingen selbst internationale Webseiten in die Knie. Die Absicherung ist auf dem eigenen Server oft schwierig bis unmöglich.

Cloudflare verspricht, mit der zusätzlichen Schicht vor dem eigentlichen Webserver auch massive Angriffe abzufangen. Und anscheinend geht das Versprechen auf. Schon mehrmals hat der Dienst öffentlich teils massive Attacken auf das Netzwerk dokumentiert und erfolgreich bekämpft. Die mehrschichtige Sicherheit scheint zu funktionieren – zumindest die notwendigen technischen Ressourcen für die Sicherheit hat der Dienst.

Die Installation

Eigentlich müsste die Installation eines derart umfangreichen Dienstes kompliziert sein – ist sie jedoch nicht. In fünf Minuten ist alles erledigt, oft sogar schneller.

Wichtig für Einsteiger: Reduziert auf seine Grundfunktionen kostet der Dienst nichts. Auf Dauer kann die Webseite mit den Grundfunktionen kostenlos betrieben werden, die schon absolut ausreichen. Für den Einstieg einfach kurz anmelden und die eigene Domain eintragen. Es muss sich dabei um eine TLD handeln – nur eine Subdomain funktioniert nicht.

cloudflare-1

Danach lädt Cloudflare die bisherigen DNS-Informationen herunter. Das ist im Grunde sehr zuverlässig. Aber vor der endgültigen Umstellung sollten die Einträge auf jeden Fall noch einmal geprüft werden. Sonst ist unter Umständen nachher nicht alles erreichbar. Per Klick auf die Wolke kann noch ausgewählt werden, ob eine bestimmte Subdomain über Cloudflare beschleunigt werden soll oder nicht.

cloudflare-2
Das war es schon. Im nächsten Schritt werden die persönlichen DNS-Server für die jeweilige Domain angezeigt und nach dem Update beim Registrar landen alle Anfragen automatisch direkt bei Cloudflare. Die Grundeinstellungen erledigen schon einmal die grobe Arbeit und können einfach modifiziert werden. Es könnte kaum einfacher sein.

Probleme

Es scheint alles so schön: Sorgenlosigkeit nach fünf Minuten Einrichtung. Das stimmt nur mit Einschränkungen. Cloudflare ist zwar ein revolutionärer Dienst, aber nicht die ultimative Lösung.

Allein schon durch den doppelten Weg der Anfrage vom Benutzer zu Cloudflare und dann nochmals von Cloudflare zum eigentlichen Server nimmt die Reaktionszeit zu. Das ist ein strukturelles Problem, das sich optimieren lässt, aber mit dem man grundsätzlich leben muss. Bei einem normalen Seitenaufruf ist das schwer spür-, aber sehr deutlich messbar.

Nach meinen eigenen Messungen kann die Reaktionszeit bei einer normalen Seite durchaus regelmäßig 1600ms betragen, nicht wenig. Auch der oben erwähnte komplette Ausfall zeigt, was passieren kann, wenn man seine Website komplett einem Drittservice anvertraut. Ein doppelter Boden schadet demnach auch bei einer versprochenen Verfügbarkeit von 100% nicht. Dann kann Cloudflare auch wirklich Spaß machen.

In einem Folgebeitrag werden wir uns mit einzelnen Aspekten der Cloudflare-Infrastruktur näher befassen. Dabei wird es auch um den eben empfohlenen “doppelten Boden” gehen.

Haben Sie bereits Erfahrungen mit Cloudflare gemacht? Teilen Sie sie mit uns. Ich interessiere mich auch ganz persönlich sehr dafür ;-)

(dpe)

arbeitet als Kommunikationsberater für IT-Unternehmen und bloggt gerne über Webtechnologien.

Tags: , , , ,

12 Kommentare zu „Vollgas mit Cloudflare? Revolutionärer Dienst verspricht rasante Performance und hohe Sicherheit für beliebige Websites
  1. Stefan Petri am 19. März 2013 um 09:57

    Wir von http://www.psd-tutorials.de hatten auch paar Monate Cloudflare im Einsatz und kann davon nur abraten. Unsere Seite war deswegen fast täglich für paar Minuten offline oder aber Benutzer beschwerten sich über falsche Browserdarstellung, weil alles ja gecached wird.

    Auch der Upload von Video-Trainings war nicht mehr möglich, sofern die über 50 MB groß waren. Wir verzichten jetzt auf diesen Service. Schade eigentlich, weil die Idee ist gut und wir konnten durch das Caching-System von Cloudflare über 1 TB Traffic einsparen (wobei die Download-Rate von Videos oder Downloads erheblich gesunken ist, von ca. 5 MB die Sekunde auf nur noch 500 – 100 kbyte)

    • kerstin am 19. März 2013 um 11:58

      Danke für den Tip. Dachte mir schon das das zu gut klingt – irgendwie nach Werbung statt nach einem typischen Beitrag.

      • Dieter Petereit am 19. März 2013 um 13:05

        Werbung? Nee, wirklich nicht. Auf die Nachteile wird ja deutlich hingewiesen. Aber das Potenzial lässt sich nicht verleugnen, bestätigt ja auch Stefan.

  2. Uwe am 19. März 2013 um 10:30

    http://www.cloudflare.com/security-policy

    “As visitors browse our web site … we sometimes track them and their interactions …”
    “… CloudFlare may place cookies on the browsers of your visitors …”
    Selbst die kostenlosen Angebote sind nicht umsonnst – aber hier “zahlt” eben der Besucher.

    • Jan am 4. April 2013 um 16:36

      Ah, ein Datenschützer ^^
      Nur so als Hinweis nebenbei: JEDE Seite trackt ihre Besucher, noch nie was von Google Analytics und Co gehört?
      Das ist heutzutage schon fast normal geworden, schließlich wollen die Betreiber doch wohl wissen wie viele Besucher sie so haben..
      Außerdem bezahlst du wohl kaum mit irgendwelchen relevanten Daten, was soll an deiner IP-Adresse oder Bildschirmauflösung so persönlich sein?

  3. Timo Kühne am 19. März 2013 um 11:52

    Das hört sich alles sehr innovativ an. Aber es bleibt abzuwarten, wie sich das Ganze entwickelt. Ich werde wohl noch eine Weile warten bis ich das Ganze teste.

  4. Rainer Schlegel am 19. März 2013 um 13:16

    Kleiner Fehler im Text: “Es muss sich dabei um eine TLD handeln – nur eine Subdomain funktioniert nicht.”

    Eine TLD ist de/com/ch/at usw. Hier ist als Domain wohl die eigene Second Level Domain gemeint.

  5. Michael am 19. März 2013 um 20:55

    Wo ist der Unterschied zu Akamai, Level3 & Co.?

    • Dieter Petereit am 20. März 2013 um 09:46

      Akamai und Co. sind reine CDN und nur für Großkunden interessant. Kommt nächste Woche ein Beitrag zu.

  6. [...] The article was written by Adrian Bechtold and first published in our German sister publication Dr. Web Magazin. [...]

  7. Andy am 16. April 2013 um 16:46

    Es ist der passende Augenblick für mich das ich auf diese Seite gestoßen bin. Danke für den Artikel, ich installiere gerade das Plugin und hoffe es bringt das gewünschte Ergebnis.

  8. Sebastian Wagner am 1. August 2013 um 02:19

    danke für den guten Artikel. Ich werd die Tage mal Amazon für einen meiner Blogs testen. Cloudfare ist wirklich immer mal wieder offline und für professionelle Websiten nicht zu gebrauchen.

    Aber klar man kann von so kostenlosen Diensten nicht viel erwarten, da darf man nicht enttäuscht sein.

Ein Kommentar? Schön!

Wir freuen uns immer über Leser, die durch nützliche und konstruktive Beiträge zum Thema eine Diskussion anstoßen oder den Artikel mit weiteren Informationen anreichern. Alle Kommentare werden in diesem Sinne moderiert. Zum Kommentar-Fairplay gehört für uns auch der Einsatz von rel="nofollow". Bitte verwenden Sie zudem als Namen weder eine Domain noch ein spamverdächtiges Wort. Vielen Dank!