Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Adrian Bechtold 19. März 2013

Vollgas mit Cloudflare? Revolutionärer Dienst verspricht rasante Performance und hohe Sicherheit für beliebige Websites

Webseiten sol­len die eier­le­gen­den Wollmilchsäue schlecht­hin sein. Extrem schnell, bestän­dig vor Angreifern und am bes­ten noch mit vie­len Features. Das ist nicht leicht umzu­set­zen. Entweder müs­sen dafür Dutzende von Webentwicklern für eini­ge Wochen in einen dunk­len Raum gesteckt wer­den oder, neue Wege müs­sen her. Einen revo­lu­tio­nä­ren Ansatz hat das StartUp Cloudflare aus San Francisco gewagt. Die Lösung: Leite ein­fach all dei­nen Traffic über unse­re Server und wir erle­di­gen den Rest. Ein Prinzip, das ein­fa­cher klingt als es ist.

cloudflare-logo-640px

Cloudflare und die nachlässig implementierte Router-Regel

Eins gleich vor­weg: Es mag erstau­nen, über einen Dienst zu spre­chen, der abso­lu­te Sicherheit, Stabilität und Komfort ver­spricht und erst in der letz­ten Woche für eine Stunde fast 800.000 Webseiten in den Abgrund geris­sen hat. Es erwies sich als nicht so schlau, eine Router-Regel ohne gro­ßen Testlauf auf allen Rechenzentren welt­weit gleich­zei­tig aus­zu­rol­len. Einsicht ist immer­hin der ers­te Schritt auf dem Weg zur Besserung und man darf wohl mit Sicherheit davon aus­ge­hen, dass sich ein sol­cher Fehler nicht wie­der­ho­len wird.

Dem grund­sätz­li­chen Prinzip tut das über­dies kei­nen Abbruch. Cloudflare ver­sucht alles, um Webseiten im best­mög­li­chen Licht erschei­nen zu las­sen. Inhalte wer­den gecacht, Angriffe abge­fan­gen, Code opti­miert und wahl­wei­se nütz­li­che Apps on the fly ein­ge­fügt.

Das Prinzip hinter der Wolke

Ziel der Entwickler war es, eine Rundumsorglos-Lösung für Webseiten zu erschaf­fen. Einmal ein­ge­rich­tet, soll­ten alle rele­van­ten Abläufe über das eige­ne Netz lau­fen. Im Prinzip ganz ein­fach: Vor die eigent­li­chen Webserver wird der Dienst von Cloudflare geschal­tet, der den Großteil der zu erle­di­gen­den Arbeiten leis­tet.

In 90 Sekunden erklärt Cloudflare sich selbst…

Ausgerechnet Ausfallsicherheit war dabei ein beson­de­res Kriterium der gesam­ten Plattform und so sind aktu­ell 23 Rechenzentren welt­weit für den Dienst tätig.  Dabei wird via Anycast für jede Anfrage eine Route zu jedem Rechenzentrum ange­bo­ten –  jedoch nur das regio­nal nächs­te bear­bei­tet die Anfrage.

Das System hat gleich meh­re­re Vorteile. Durch die welt­wei­te unmit­tel­ba­re Nähe zum Anwender wer­den die Anfragen zunächst mit gerin­ger Latenz aus­ge­führt. Außerdem ist die Ausfallsicherheit sehr hoch. Bricht ein Rechenzentrum zusam­men, bricht auch die Route zu die­sem zusam­men und mit Anycast wird ein­fach das zweit­nächs­te Rechenzentrum ange­steu­ert.

Eine durch­dach­te Infrastruktur ist jedoch nicht alles. Cloudflare ver­sucht, mög­lichst alle Bereiche für die Auslieferung einer Webseite zu ver­ein­heit­li­chen. Das fängt schon damit an, dass der Dienst eige­ne Nameserver betreibt – das sogar mit einer äußerst soli­den Geschwindigkeit. Diese Nameserver müs­sen für die eige­nen Web-Projekte hin­ter­legt wer­den. Die Installation der Nameserver ist auch schon die ein­zi­ge kom­pli­zier­te Tätigkeit für den Anwender.

Ab dann pas­siert alles auto­ma­tisch – gesteu­ert über ein Webinterface. Grafiken wer­den gecacht und über das CDN aus­ge­lie­fert. Quellcodes wer­den opti­miert. Mit einem Klick lässt sich eine voll­stän­di­ge IPV6-Unterstützung akti­vie­ren, auch wenn der Ursprungsserver aus­schließ­lich per IPv4 ange­bun­den ist. Kleine Apps bie­ten nütz­li­che Funktionen auch von Drittanbietern an.

Hauptaspekt hin­ter dem Cloudflare-Konzept ist jedoch: Sicherheit. Weltweit wer­den mit ste­tig wach­sen­der Tendenz immer mehr Angriffe auf Webseiten gezählt. Große DDoS-Angriffe zwin­gen selbst inter­na­tio­na­le Webseiten in die Knie. Die Absicherung ist auf dem eige­nen Server oft schwie­rig bis unmög­lich.

Cloudflare ver­spricht, mit der zusätz­li­chen Schicht vor dem eigent­li­chen Webserver auch mas­si­ve Angriffe abzu­fan­gen. Und anschei­nend geht das Versprechen auf. Schon mehr­mals hat der Dienst öffent­lich teils mas­si­ve Attacken auf das Netzwerk doku­men­tiert und erfolg­reich bekämpft. Die mehr­schich­ti­ge Sicherheit scheint zu funk­tio­nie­ren – zumin­dest die not­wen­di­gen tech­ni­schen Ressourcen für die Sicherheit hat der Dienst.

Die Installation

Eigentlich müss­te die Installation eines der­art umfang­rei­chen Dienstes kom­pli­ziert sein – ist sie jedoch nicht. In fünf Minuten ist alles erle­digt, oft sogar schnel­ler.

Wichtig für Einsteiger: Reduziert auf sei­ne Grundfunktionen kos­tet der Dienst nichts. Auf Dauer kann die Webseite mit den Grundfunktionen kos­ten­los betrie­ben wer­den, die schon abso­lut aus­rei­chen. Für den Einstieg ein­fach kurz anmel­den und die eige­ne Domain ein­tra­gen. Es muss sich dabei um eine TLD han­deln – nur eine Subdomain funk­tio­niert nicht.

cloudflare-1

Danach lädt Cloudflare die bis­he­ri­gen DNS-Informationen her­un­ter. Das ist im Grunde sehr zuver­läs­sig. Aber vor der end­gül­ti­gen Umstellung soll­ten die Einträge auf jeden Fall noch ein­mal geprüft wer­den. Sonst ist unter Umständen nach­her nicht alles erreich­bar. Per Klick auf die Wolke kann noch aus­ge­wählt wer­den, ob eine bestimm­te Subdomain über Cloudflare beschleu­nigt wer­den soll oder nicht.

cloudflare-2
Das war es schon. Im nächs­ten Schritt wer­den die per­sön­li­chen DNS-Server für die jewei­li­ge Domain ange­zeigt und nach dem Update beim Registrar lan­den alle Anfragen auto­ma­tisch direkt bei Cloudflare. Die Grundeinstellungen erle­di­gen schon ein­mal die gro­be Arbeit und kön­nen ein­fach modi­fi­ziert wer­den. Es könn­te kaum ein­fa­cher sein.

Probleme

Es scheint alles so schön: Sorgenlosigkeit nach fünf Minuten Einrichtung. Das stimmt nur mit Einschränkungen. Cloudflare ist zwar ein revo­lu­tio­nä­rer Dienst, aber nicht die ulti­ma­ti­ve Lösung.

Allein schon durch den dop­pel­ten Weg der Anfrage vom Benutzer zu Cloudflare und dann noch­mals von Cloudflare zum eigent­li­chen Server nimmt die Reaktionszeit zu. Das ist ein struk­tu­rel­les Problem, das sich opti­mie­ren lässt, aber mit dem man grund­sätz­lich leben muss. Bei einem nor­ma­len Seitenaufruf ist das schwer spür-, aber sehr deut­lich mess­bar.

Nach mei­nen eige­nen Messungen kann die Reaktionszeit bei einer nor­ma­len Seite durch­aus regel­mä­ßig 1600ms betra­gen, nicht wenig. Auch der oben erwähn­te kom­plet­te Ausfall zeigt, was pas­sie­ren kann, wenn man sei­ne Website kom­plett einem Drittservice anver­traut. Ein dop­pel­ter Boden scha­det dem­nach auch bei einer ver­spro­che­nen Verfügbarkeit von 100% nicht. Dann kann Cloudflare auch wirk­lich Spaß machen.

In einem Folgebeitrag wer­den wir uns mit ein­zel­nen Aspekten der Cloudflare-Infrastruktur näher befas­sen. Dabei wird es auch um den eben emp­foh­le­nen “dop­pel­ten Boden” gehen.

Haben Sie bereits Erfahrungen mit Cloudflare gemacht? Teilen Sie sie mit uns. Ich inter­es­sie­re mich auch ganz per­sön­lich sehr dafür ;-)

(dpe)

Adrian Bechtold

arbeitet als Kommunikationsberater für IT-Unternehmen und bloggt gerne über Webtechnologien.

17 Kommentare

  1. Hallo, will gleich mal cloud­fla­re mit mei­ner Webseite tes­te, fra­ge mich nur gera­de, ob sich der Dienst bei Nichtgefallen auch wie­der pro­blem­los deak­ti­vie­ren lässt?

    Ist cloud­fla­re wegen dem Cache über­haupt für Webseiten geeig­net auf denen stän­dig neue User-Beträge dazu­kom­men oder eig­net sich die­ser mehr für Blogs auf denen nur alle paar Tage ein neu­er Artikel erscheint? Muss der Cache nach jedem neu­en Beitrage manu­ell geleert wer­den?

  2. Bekomme nur noch Fehlermeldung 522 time-out.
    Weiss der Teufel, Cloudflare für’n Müll ist.

  3. Danke für die Infos. Hatte auch dar­an gedacht es zu nut­zen, aber es auf­grund die­ses und ande­rer Artikel dann doch wie­der gelas­sen.
    Muss wohl doch mal ectes CDN für sta­tic data in betracht zie­hen.

  4. Ich habe kurz drü­ber nach­ge­dacht die­sen Diest zu nut­zen habe es aber ver­wor­fen da ich lie­ber mit einer lang­sa­me­ren Webseite lebe als mit Downtimes.
    Da ich eini­ge Seiten besucht woll­te und cloud­fla­re ein feh­ler ange­zeigt hat.

    mfg

  5. dan­ke für den guten Artikel. Ich werd die Tage mal Amazon für einen mei­ner Blogs tes­ten. Cloudfare ist wirk­lich immer mal wie­der off­line und für pro­fes­sio­nel­le Websiten nicht zu gebrau­chen.

    Aber klar man kann von so kos­ten­lo­sen Diensten nicht viel erwar­ten, da darf man nicht ent­täuscht sein.

  6. Es ist der pas­sen­de Augenblick für mich das ich auf die­se Seite gesto­ßen bin. Danke für den Artikel, ich instal­lie­re gera­de das Plugin und hof­fe es bringt das gewünsch­te Ergebnis.

  7. Wo ist der Unterschied zu Akamai, Level3 & Co.?

  8. Kleiner Fehler im Text: “Es muss sich dabei um eine TLD han­deln – nur eine Subdomain funk­tio­niert nicht.”

    Eine TLD ist de/com/ch/at usw. Hier ist als Domain wohl die eige­ne Second Level Domain gemeint.

  9. Das hört sich alles sehr inno­va­tiv an. Aber es bleibt abzu­war­ten, wie sich das Ganze ent­wi­ckelt. Ich wer­de wohl noch eine Weile war­ten bis ich das Ganze tes­te.

  10. http://www.cloudflare.com/security-policy

    “As visi­tors brow­se our web site … we some­ti­mes track them and their inter­ac­tions …”
    “… CloudFlare may place coo­kies on the brow­sers of your visi­tors …”
    Selbst die kos­ten­lo­sen Angebote sind nicht umsonnst – aber hier “zahlt” eben der Besucher.

    • Ah, ein Datenschützer ^^
      Nur so als Hinweis neben­bei: JEDE Seite trackt ihre Besucher, noch nie was von Google Analytics und Co gehört?
      Das ist heut­zu­ta­ge schon fast nor­mal gewor­den, schließ­lich wol­len die Betreiber doch wohl wis­sen wie vie­le Besucher sie so haben..
      Außerdem bezahlst du wohl kaum mit irgend­wel­chen rele­van­ten Daten, was soll an dei­ner IP-Adresse oder Bildschirmauflösung so per­sön­lich sein?

      • Ja das sehe ich ganz genau­so. Das ist heu­te lei­der wirk­lich fast schon nor­mal gewor­den, ob das gut ist muss jeder selbst wis­sen. Aber das ist nun­mal, genau wie Werbung der Preis für den kos­ten­lo­sen und umfang­rei­chen Content.

  11. Wir von http://www.psd-tutorials.de hat­ten auch paar Monate Cloudflare im Einsatz und kann davon nur abra­ten. Unsere Seite war des­we­gen fast täg­lich für paar Minuten off­line oder aber Benutzer beschwer­ten sich über fal­sche Browserdarstellung, weil alles ja gecached wird.

    Auch der Upload von Video-Trainings war nicht mehr mög­lich, sofern die über 50 MB groß waren. Wir ver­zich­ten jetzt auf die­sen Service. Schade eigent­lich, weil die Idee ist gut und wir konn­ten durch das Caching-System von Cloudflare über 1 TB Traffic ein­spa­ren (wobei die Download-Rate von Videos oder Downloads erheb­lich gesun­ken ist, von ca. 5 MB die Sekunde auf nur noch 500 – 100 kbyte)

Schreibe einen Kommentar zu Rainer Schlegel Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.