Рейтинг
0.00

Cloudflare Сервис

1 читатель, 5 топиков

Мнение Cloudflare об отключении OVHcloud 30 октября

30 октября 2024 года поставщик облачного хостинга OVHcloud (AS16276) столкнулся с кратковременным, но значительным отключением. Согласно их отчету об инциденте, проблема началась в 13:23 UTC и была описана просто как « Происходит инцидент на нашей магистральной инфраструктуре ». OVHcloud отметил, что инцидент закончился 17 минут спустя, в 13:40 UTC. Как крупный глобальный поставщик облачного хостинга, некоторые клиенты используют OVHcloud в качестве источника для сайтов, предоставляемых Cloudflare — если заданный контент-актив отсутствует в нашем кэше для сайта клиента, мы извлекаем актив из OVHcloud.

Мы наблюдали, как трафик начал падать в 13:21 UTC, как раз перед заявленным временем начала. К 13:28 UTC он был примерно на 95% ниже, чем до инцидента. Восстановление, по-видимому, началось в 13:31 UTC, а к 13:40 UTC, заявленному времени окончания инцидента, он достиг примерно 50% от уровня до инцидента.



Cloudflare обычно обменивается большей частью своего трафика с OVHcloud по пиринговым ссылкам. Однако, как показано ниже, объем пирингового трафика во время инцидента значительно упал. Похоже, что некоторый небольшой объем трафика на короткое время начал проходить по транзитным ссылкам из Cloudflare в OVHcloud из-за внезапных изменений в дата-центрах Cloudflare, в которых мы получали запросы OVHcloud. (Пиринг — это прямое соединение между двумя сетевыми провайдерами с целью обмена трафиком. Транзит — это когда одна сеть платит промежуточной сети за передачу трафика в сеть назначения.)




Поскольку мы пирингуем напрямую, мы обмениваемся большей частью трафика через наши частные сеансы пирингования с OVHcloud. Вместо этого мы обнаружили, что маршрутизация OVHcloud в Cloudflare полностью прекратилась на несколько минут, затем переключилась на один порт Internet Exchange в Амстердаме и, наконец, нормализовалась глобально через несколько минут.

Как показывают графики ниже, мы обычно видим наибольший объем трафика от OVHcloud в наших центрах обработки данных во Франкфурте и Париже, поскольку OVHcloud имеет крупные центры обработки данных в этих регионах. Однако при этом переходе к транзиту и переходе к точке обмена данными Amsterdam Internet Exchange мы увидели всплеск трафика, направляемого в наш центр обработки данных в Амстердаме. Мы подозреваем, что изменения маршрутизации являются самыми ранними признаками либо внутренней реконвергенции BGP, либо общего восстановления сети в пределах AS12676, начиная с их присутствия вблизи нашей точки обмена данными в Амстердаме.

В отчете о расследовании, опубликованном OVHcloud, отмечается, что инцидент был вызван « проблемой в конфигурации сети, ошибочно допущенной одним из наших пиринговых партнеров », и что « мы немедленно перенастроили наши сетевые маршруты для восстановления трафика ». Одним из возможных объяснений инцидента с магистральной сетью может быть утечка маршрута BGP упомянутым пиринговым партнером, когда OVHcloud мог принять полную таблицу Интернета от однорангового узла и, следовательно, перегрузить свою сеть или сеть пирингового партнера трафиком или вызвать неожиданные внутренние обновления маршрута BGP в AS12676.

При расследовании того, какая утечка маршрута могла стать причиной инцидента, затронувшего OVHcloud, мы обнаружили доказательства нарушения максимального порогового значения префикса на нашем пиринге с Worldstream (AS49981) в Амстердаме.
Oct 30 13:16:53  edge02.ams01 rpd[9669]: RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer 141.101.65.53 (External AS 49981) changed state from Established to Idle (event PrefixLimitExceeded) (instance master)

Поскольку количество полученных префиксов превысило лимиты, настроенные для нашего пирингового сеанса с Worldstream, сеанс BGP автоматически перешел в состояние ожидания. Это предотвратило влияние утечки маршрута на сеть Cloudflare. При анализе данных протокола мониторинга BGP (BMP) из AS49981 до автоматического отключения сеанса мы смогли подтвердить, что Worldstream отправлял объявления с AS-путями, которые содержали их транзитного провайдера Tier 1 восходящего потока.

За это время мы также обнаружили более 500 000 объявлений BGP от AS49981, поскольку Worldstream объявлял маршруты многим своим одноранговым узлам, что видно на Cloudflare Radar.


Позже Worldstream разместил на своей странице статуса уведомление, в котором говорилось, что в их сети произошла утечка маршрутов, в результате чего маршруты были непреднамеренно объявлены всем одноранговым узлам:
Из-за ошибки конфигурации на одном из основных маршрутизаторов все маршруты были на короткое время объявлены всем нашим одноранговым узлам. В результате мы получили больше трафика, чем ожидалось, что привело к перегрузке на некоторых путях. Чтобы решить эту проблему, мы временно отключили эти сеансы BGP, чтобы локализовать проблему и стабилизировать сеть. Приносим извинения за неудобства

Мы полагаем, что Worldstream также раскрыл маршруты в ходе пиринговой сессии OVHcloud в Амстердаме, что и привело к сегодняшним последствиям.

Заключение
Cloudflare уже писала о существенных утечках маршрутов, и существует несколько методов, позволяющих предотвратить влияние утечек маршрутов BGP на вашу сеть. Один из них — установить максимальные ограничения префиксов для однорангового узла, чтобы сеанс BGP автоматически разрывался, когда одноранговый узел отправляет больше префиксов, чем ожидается. Другие перспективные меры — это Autonomous System Provider Authorization (ASPA) для BGP, где Resource Public Key Infrastructure (RPKI) помогает защитить сеть от принятия маршрутов BGP с недействительным путем AS, или RFC9234, который предотвращает утечки, привязывая строгие отношения между клиентами и поставщиками к обновлениям BGP. Для повышения устойчивости Интернета мы рекомендуем операторам сетей следовать рекомендациям, определенным в MANRS для операторов сетей manrs.org/netops/

Cloudflare — требуется действие, предстоящее изменение цепочки сертификатов Let's Encrypt



Мы обращаемся к вам, чтобы сообщить вам о предстоящем изменении, которое повлияет на совместимость устройств с сертификатами Let's Encrypt, выпущенными после 15 мая 2024 г. Мы обращаемся к вам, поскольку мы определили, что вы в настоящее время используете сертификаты Let's Encrypt через Universal SSL, Advanced. Диспетчер сертификатов, специальные сертификаты или SSL для SaaS. Мы рекомендуем вам ознакомиться с изменением Let's Encrypt и заранее внести все необходимые изменения.

Обзор изменений
Let's Encrypt выдает сертификаты через две цепочки: корневую цепочку ISRG X1 и корневую цепочку ISRG X1, перекрестно подписанную корневым центром сертификации DST X3 компании IdenTrust. Цепочка с перекрестной подписью позволила сертификатам Let's Encrypt завоевать широкое доверие, в то время как чистая цепочка за последние 3 года обеспечила совместимость с различными устройствами, в результате чего количество Android-устройств, доверяющих ISRG Root X1, увеличилось с 66% до 93,9%.

Let's Encrypt объявила, что срок действия цепочки с перекрестной подписью истекает 30 сентября 2024 года. В результате Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью 15 мая 2024 года.

Влияние
Истечение срока действия цепочки с перекрестной подписью в первую очередь повлияет на старые устройства (например, Android 7.0 и более ранние версии) и системы, которые полагаются исключительно на цепочку с перекрестной подписью и не имеют цепочки ISRG Root X1 в своем хранилище доверенных сертификатов. Это изменение может привести к сбоям проверки сертификатов на этих устройствах, что потенциально может привести к появлению предупреждающих сообщений или проблемам с доступом для пользователей, посещающих ваш веб-сайт.

Влияние на сертификаты, выданные через Universal SSL, Advanced Certificate Manager или SSL для SaaS:
  • Чтобы подготовиться к истечению срока действия ЦС, после 15 мая Cloudflare больше не будет выдавать сертификаты из цепочки с перекрестной подписью. Сертификаты, выданные до 15 мая, будут по-прежнему выдаваться клиентам с цепочкой с перекрестной подписью. Сертификаты, выпущенные 15 мая или позже, будут использовать цепочку ISRG Root X1. Кроме того, это изменение влияет только на сертификаты RSA. Это не влияет на сертификаты ECDSA, выданные через Let's Encrypt. Сертификаты ECDSA сохранят тот же уровень совместимости, который они имеют сегодня.

Влияние на сертификаты, загруженные через пользовательские сертификаты:
  • Сертификаты, загруженные в Cloudflare, объединяются в цепочку сертификатов, которую Cloudflare считает наиболее совместимой и эффективной. После 15 мая 2024 года все сертификаты Let's Encrypt, загруженные в Cloudflare, будут объединены с цепочкой ISRG Root X1 вместо цепочки с перекрестной подписью. Сертификаты, загруженные до 15 мая, будут продолжать использовать цепочку с перекрестной подписью до тех пор, пока этот сертификат не будет продлен.

Важные даты
15 мая 2024 г.: Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью. Кроме того, пользовательские сертификаты Let's Encrypt, загруженные после этой даты, будут связаны с цепочкой ISRG X1 вместо цепочки с перекрестной подписью.
30 сентября 2024 г. Срок действия цепочки центров сертификации с перекрестной подписью истечет.

Рекомендации:
  • Чтобы уменьшить влияние этого изменения, мы рекомендуем предпринять следующие шаги:
  • Измените центры сертификации. Если ваши клиенты отправляют запросы к вашему приложению с устаревших устройств и вы ожидаете, что это изменение повлияет на них, мы рекомендуем использовать другой центр сертификации или загрузить сертификат из выбранного вами центра сертификации.
  • Мониторинг. После внедрения изменения мы рекомендуем отслеживать ваши каналы поддержки на предмет любых запросов, связанных с предупреждениями о сертификатах или проблемами доступа.
  • Обновите хранилище доверенных сертификатов. Если вы контролируете клиентов, подключающихся к вашему приложению, мы рекомендуем обновить хранилище доверенных сертификатов, включив в него цепочку ISRG Root X1, чтобы предотвратить влияние.

Обновление политики конфиденциальности и дополнения об обработке данных



Мы пишем, чтобы сообщить вам, что в соответствии с решением об адекватности, принятым Европейской комиссией в отношении передачи персональных данных в Соединенные Штаты, Cloudflare прошла сертификацию в соответствии с Рамочной программой конфиденциальности данных ЕС-США, Рамочной программой конфиденциальности данных между Швейцарией и США. и расширение Соединенного Королевства (Великобритании) к Соглашению о конфиденциальности данных ЕС-США (вместе именуемому «DPF»). В результате, если каждая структура будет признана адекватной, Cloudflare теперь будет полагаться на DPF как на юридический механизм передачи данных из ЕС, Швейцарии и Великобритании.

Как указано в нашем Дополнении об обработке данных, мы продолжим полагаться на Стандартные договорные условия ЕС (и Дополнение Великобритании) при переводах из ЕС, Швейцарии и Великобритании в другие третьи страны, которые не подлежат определению адекватности.

Мы также обновили нашу Политику конфиденциальности, включив в нее подробную информацию о нашей самостоятельной сертификации в DPF, в частности, о механизмах рассмотрения жалоб и надзоре, осуществляемых Федеральной торговой комиссией США.

Что мне нужно делать?
Если вы являетесь клиентом самообслуживания или корпоративным клиентом по нашему стандартному контракту (что означает отсутствие изменений в Дополнении об обработке данных), то никаких действий не требуется. Мы просим вас ознакомиться с нашим обновленным DPA, который включен посредством ссылки в наше Соглашение о подписке на самообслуживание и Соглашение о корпоративной подписке. Мы обновили наше Дополнение об обработке данных, чтобы отразить, что любая передача персональных данных за пределы Европейской экономической зоны, Великобритании или Швейцарии будет осуществляться в соответствии с Рамочным соглашением о конфиденциальности данных ЕС-США, расширением британско-американского соглашения о данных ЕС-США. Структура конфиденциальности и Соглашение о конфиденциальности данных между Швейцарией и США соответственно, при условии, что эти структуры признаны участвующими юрисдикциями в качестве адекватных правовых механизмов для передачи данных из ЕС, Великобритании и Швейцарии в США. Для переводов из ЕЭЗ, Великобритании и Швейцарии в любую другую страну, в которой нет действующего соглашения об адекватности, DPA Cloudflare продолжит включать соответствующие стандартные договорные положения.
www.cloudflare.com/terms/

Если у вас есть договорное соглашение: пожалуйста, свяжитесь с вашими менеджерами по работе с клиентами, если вы хотите обновить свое соглашение с Cloudflare.

Вам нужно больше рекомендаций?
Если у вас есть какие-либо вопросы, обратитесь к Cloudflare Trust Hub для получения дополнительной информации. www.cloudflare.com/trust-hub/gdpr/

Команда Cloudflare по вопросам конфиденциальности

Корректировка цен, введение годовых планов и ускорение инноваций

Cloudflare поднимает цены впервые за последние 12 лет. Начиная с 15 января 2023 года с новых регистраций будет взиматься плата в размере 25 долларов США в месяц для нашего плана Pro (ранее 20 долларов США в месяц) и 250 долларов США в месяц для нашего бизнес-плана (больше 200 долларов США в месяц). Любые платные клиенты, которые зарегистрируются до 15 января 2023 года, включая всех платящих клиентов, которые зарегистрировались в любой момент в течение последних 12 лет, будут использовать старую месячную цену до 14 мая 2023 года.

Мы также представляем вариант оплаты ежегодно, а не ежемесячно, на который, как мы надеемся, перейдет большинство клиентов. Годовые планы доступны сегодня со скидкой от новой месячной ставки до 240 долларов в год для плана Pro (эквивалент 20 долларов в месяц, экономия 60 долларов в год) и 2400 долларов в год для бизнес-плана (эквивалент 200 долларов в месяц, экономия 600 долларов в год). Другими словами, если вы решите платить за Cloudflare ежегодно, вы можете зафиксировать наши старые месячные цены.

После того, как мы не повышали цены в нашей истории, мы тщательно обдумали это, прежде чем принять решение. Хотя у нас за плечами более десяти лет расширения сети и инноваций, может показаться нелогичным, что наша цель не в том, чтобы увеличить доход от этого изменения. Нам нужно заранее инвестировать в создание нашей сети, и основная причина, по которой мы вносим это изменение, заключается в том, чтобы более точно сопоставить наш бизнес со сроками наших основных затрат. Это позволит нам еще больше ускорить расширение нашей сети и темпы внедрения инноваций, от чего выиграют все наши клиенты. Поскольку это большое изменение для нас, я хотел бы найти время, чтобы рассказать, как мы пришли к этому решению.

История Cloudflare
Cloudflare был запущен 27 сентября 2010 года. В то время у нас было два плана: один бесплатный план, который был бесплатным, и план Pro, который стоил 20 долларов в месяц. Наша сеть на тот момент состояла из «четырех с половиной» дата-центров: Чикаго, Иллинойс; Эшберн, Вирджиния; Сан-Хосе, Калифорния; Амстердам, Нидерланды; и Токио, Япония. Маршрутизация в Токио была настолько нестабильной, что мы отключали ее на полдня, чтобы не испортить маршрутизацию по всему миру. Самая большая разница в первые пару лет между нашими бесплатными и профессиональными планами заключалась в том, что только последний включал поддержку HTTPS.


В июне 2012 года мы представили наш бизнес-план за 200 долларов в месяц и корпоративный план, адаптированный для наших крупнейших клиентов. К тому времени мы не только добились надежной работы в Токио, но и добавили еще 18 центров обработки данных по всему миру, в общей сложности 23. В наш бизнес-план в качестве основного преимущества было добавлено смягчение последствий DDoS-атак, чего раньше мы боялись предлагать.


Перенесемся в сегодняшний день, и многое изменилось. Мы работаем более чем в 275 городах более чем в 100 странах мира. Мы включили поддержку HTTPS в наш бесплатный план с запуском Universal SSL в сентябре 2014 года. Мы включили неограниченную защиту от DDoS-атак в наш бесплатный план с запуском Unmetered DDoS Mitigation в сентябре 2017 года. Сегодня мы ежедневно останавливаем атаки для пользователей бесплатного плана. основе, что более чем в 10 раз превышает то, что было в заголовках новостей еще в 2013 году.


Наша стратегия всегда заключалась в том, чтобы развертывать функции, ограничивая их сначала платными клиентами более высокого уровня, но со временем развертывая их в наших планах и, в конечном итоге, даже для наших клиентов с бесплатным планом. Мы считаем, что каждый должен быть быстрым, надежным и безопасным в Интернете, независимо от его бюджета. И мы считаем, что наш дальнейший успех должен основываться в первую очередь на новых инновациях, а не на извлечении прибыли из старых функций.


И мы выполнили это обещание, ускорив развертывание новых функций на нашей платформе и включив их в наши существующие планы без повышения цен. То, что вы получаете сегодня с нашими бесплатными, профессиональными и бизнес-планами, на порядки более ценно по всем параметрам — производительности, надежности и безопасности — чем эти планы, когда они были запущены.

И все же мы знаем, что являемся инфраструктурой наших клиентов. Вы полагаетесь на нас. И поэтому мы очень неохотно поднимали цены только для того, чтобы забрать цену и получить больше дохода.

Годовые планы для еще более быстрого внедрения инноваций
Раньше мы взимали плату только ежемесячно, потому что мы были непроверенным сервисом, и мы знали, что клиенты рискуют. Сегодня это уже не так. Большинство наших клиентов используют нас годами и, судя по нашим разговорам с ними, планируют продолжать использовать нас в обозримом будущем. На самом деле, один из самых популярных запросов, которые мы получаем, исходит от клиентов, которые хотят платить один раз в год, а не получать счета каждый месяц.

Хотя я горжусь темпами наших инноваций, одной из наших проблем является управление денежными потоками для финансирования этих инвестиций так быстро, как мы хотели бы. Мы инвестируем авансом в создание нашей сети или разработку новой функции, но затем наши клиенты платят только ежемесячно. Это, по сути, является регулятором нашего темпа инноваций. Мы можем инвестировать еще быстрее — нанять больше инженеров, развернуть больше серверов — если те клиенты, которые знают, что будут использовать нас в следующем году, заплатят за нас авансом. У нас нет недостатка в вещах, которые, как мы знаем, клиенты хотят, чтобы мы построили, поэтому, собирая доход раньше, мы знаем, что можем открыть еще более быстрые инновации.

Другими словами, мы вносим это изменение, надеясь, что большинство из вас не будет платить нам больше, чем раньше. Вместо этого мы надеемся, что большинство из вас примут наши годовые планы — вы сможете зафиксировать существующие цены и поможете нам еще больше ускорить рост нашей сети и темпы инноваций.

Наконец, я хотел упомянуть, что кое-что не меняется: наш бесплатный план. Это все равно будет бесплатно. Он по-прежнему будет иметь все функции, которые есть сегодня. И мы по-прежнему стремимся со временем перевести многие другие функции, которые сегодня доступны только в платных планах, на бесплатный план. Наша миссия — помочь сделать Интернет лучше. Мы хотим победить, став самой инновационной компанией в мире. А это означает, что мы должны сделать наши услуги доступными как можно большему количеству людей, даже тем, кто не может позволить себе платить нам прямо сейчас.

Но для тех из вас, кто может заплатить: спасибо. Вы профинансировали наше новшество на сегодняшний день. И я надеюсь, что вы решите перейти на годовое выставление счетов, чтобы мы могли еще больше ускорить расширение нашей сети и темпы внедрения инноваций.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения, ускорять любой веб-сайт или интернет-приложение, предотвращать DDoS-атаки, держать хакеров в страхе и можем помочь вам на пути к нулевому доверию.

Важное обновление: Налог с продаж и освобождение от сертификации



15 июня или после 2019 Cloudflare начнет собирать налог на добавленную стоимость («НДС») по продажам своих услуг клиентам на территории Российской Федерации в соответствии с требованиями новых российских правил НДС, вступившие в силу с 1 января 2019 г. В соответствии новые правила, Cloudflare обязано взимать налог НДС в размере 20%. Другими словами, 16,67% от счета представляет собой НДС.

Пример:
  • Стоимость продукта: $ 100
  • НДС цены: $ 120
  • Сумма НДС: $ 20 ($ 100 * 20%)
  • Ставка НДС: 16,67% ($ 20/120)

Вы получили это уведомление, потому что ваш счет подлежит новому НДС. Наши данные свидетельствуют о том, что ваша компания или ее руководство находится в России или услуги выполняются в России. Если ваша компания или управление больше не находятся в России или услуги не производятся в России, пожалуйста, обновите ваш профиль учетной записи, следуя инструкции, приведенные здесь с помощью учетной записи электронной почты, связанную с вашей учетной записью CloudFlare. Там, вы можете также указать свой номер НДС России, если вы хотите, чтобы ваш номер НДС указан в счете-фактуре.

Спасибо за ваше сотрудничество.