Cloudflare to popularna usługa CDN i ochrony przed atakami DDoS, której możesz używać razem z hostingiem webh. Konfiguracja nie jest skomplikowana, ale kilka rzeczy różni się od typowego ustawienia serwera i warto je znać wcześniej, żeby uniknąć błędów SSL i problemów z wyświetlaniem strony.
Do czego Cloudflare się przydaje
Cloudflare działa jako pośrednik między odwiedzającymi a Twoim serwerem. Daje to kilka korzyści:
- CDN: statyczne zasoby strony (obrazki, CSS, JavaScript) są serwowane z serwerów Cloudflare rozmieszczonych bliżej odwiedzającego, co przyspiesza ładowanie dla zagranicznych użytkowników.
- Ochrona przed DDoS: ruch atakujący jest filtrowany przez infrastrukturę Cloudflare, zanim dotrze do serwera.
- Ukrycie adresu IP serwera: przy włączonym proxy odwiedzający nie widzą rzeczywistego IP hostingu.
Jeśli Twoja strona jest skierowana do polskich użytkowników i nie masz specjalnych wymagań bezpieczeństwa, hosting webh obsługuje Cię bezpośrednio i Cloudflare nie jest potrzebny. Warto rozważyć, czy dodatkowa warstwa między odwiedzającymi a serwerem naprawdę jest Ci potrzebna, bo nieuważna konfiguracja Cloudflare może powodować problemy z SSL i dostępem do plików.
Krok 1: znajdź prawidłowe rekordy DNS webh
Adres IP, który wpiszesz w Cloudflare, weź zawsze z panelu webh. Nie zgaduj go ani nie kopiuj z innych poradników, bo właściwy adres sprawdzisz tylko przy swojej usłudze.
- Zaloguj się do panelu klienta i przejdź Produkty/Usługi → Hosting WWW → Do panelu.
- Otwórz Strefy DNS → Rekordy dla swojej domeny.
- Znajdź rekord A dla domeny głównej, to adres IP, który wpisujesz w Cloudflare.
Pełna lista rekordów DNS (A, CNAME, MX, TXT) dla Twojej domeny jest zawsze dostępna w tym miejscu. Przy konfiguracji Cloudflare przepisz stamtąd wartości dla rekordów, które chcesz przenieść do CF.
Informacja
Gdy domena korzysta z naszych serwerów DNS (ns1/2/3.webh.cloud), zarządzasz rekordami bezpośrednio w panelu webh. Przejście na Cloudflare oznacza, że nameservery domeny zmienisz na te podane przez Cloudflare, a rekordy DNS utrzymujesz już po stronie CF, przenosząc tam wartości z naszego panelu.
Krok 2: proxy włączone czy wyłączone
Przy każdym rekordzie A lub CNAME w Cloudflare jest przełącznik w postaci chmurki:
- Pomarańczowa chmurka (Proxy włączone): ruch przechodzi przez Cloudflare. Odwiedzający łączą się z serwerami CF, a CF łączy się z Twoim hostingiem.
- Szara chmurka (Tylko DNS): Cloudflare służy wyłącznie jako serwer DNS. Ruch trafia bezpośrednio do Twojego serwera, bez proxy.
Dla zwykłej strony WWW i WordPress możesz włączyć proxy (pomarańczowa chmurka) i to jest ten tryb, w którym CF daje największe korzyści. Wymaga on jednak prawidłowej konfiguracji SSL po stronie Cloudflare (patrz niżej).
Rekordy MX (poczta) dodaj w Cloudflare z szarą chmurką (tryb „Tylko DNS"). Skoro domena korzysta z serwerów DNS Cloudflare, rekordy MX muszą istnieć właśnie tam, inaczej poczta w ogóle nie zostanie dostarczona. Szara chmurka sprawia, że poczta trafia bezpośrednio na nasze serwery pocztowe, bez przechodzenia przez proxy Cloudflare.
Krok 3: SSL przy włączonym proxy
Gdy proxy jest włączone, Cloudflare obsługuje połączenie SSL do odwiedzającego za pomocą swojego certyfikatu. Osobno szyfruje też połączenie między sobą a Twoim serwerem. Tu pojawia się pułapka.
W ustawieniach Cloudflare (sekcja SSL/TLS) wybierz tryb Full, nie Flexible.
- Flexible: CF szyfruje połączenie do odwiedzającego, ale łączy się z Twoim serwerem po zwykłym HTTP. Gdy serwer wymusza HTTPS (co jest domyślne), powstaje pętla przekierowań i strona przestaje działać.
- Full: CF szyfruje oba odcinki. To prawidłowe ustawienie, gdy na Twoim hostingu jest ważny certyfikat SSL (a jest, bo darmowy Let’s Encrypt generujesz w panelu, opisujemy to w poradniku o SSL).
Uwaga
Wybór Flexible przy wymuszonej redirekcji HTTPS na hostingu niemal zawsze powoduje błąd „Przekierowania są zapętlone" lub „ERR_TOO_MANY_REDIRECTS". Przełącz na Full i odśwież.
Odnawianie certyfikatu Let’s Encrypt a Cloudflare
Gdy proxy jest włączone, Twój serwer widzi ruch z adresów IP Cloudflare, a nie od rzeczywistych odwiedzających. Certyfikat Let’s Encrypt na hostingu webh odnawia się automatycznie i nadal działa. Nie musisz nic zmieniać z powodu Cloudflare.
Znane problemy przy włączonym proxy
Certyfikat SSL pokazuje domenę inną niż Twoja
Zdarza się przy niekompletnej konfiguracji, gdy rekord A wskazuje na zły adres IP. Sprawdź rekord A w Cloudflare; powinien wskazywać na IP z panelu webh (zakładka Strefy DNS → Rekordy), a nie na losowy IP.
wp-admin niedostępne z zagranicy
Hosting webh ma domyślnie włączony firewall, który ogranicza dostęp do paneli administracyjnych (w tym wp-admin) do polskich adresów IP. Cloudflare proxy sprawia, że do serwera docierają adresy IP z Cloudflare (które mogą być zagraniczne), co może powodować blokadę. Jeśli po włączeniu CF przestałeś się dostawać do wp-admin, skonfiguruj wyjątek w .htaccess zgodnie z opisem w poradniku o firewallu.
Proxy a niestandardowe porty
Na darmowym planie Cloudflare proxy (pomarańczowa chmurka) obsługuje tylko standardowe porty 80 i 443. Jeśli aplikacja działa pod nietypowym portem, przełącz rekord w tryb DNS only (szara chmurka), aby ruch trafiał bezpośrednio na serwer.
Zmiana serwerów DNS na nasze, gdy domena jest w Cloudflare
Przejście z DNS Cloudflare na nasze serwery ns*.webh.cloud czasem wymaga naszej pomocy. U części rejestratorów zmiana serwerów DNS na nasze może się nie powieść za pierwszym razem, dopóki domena pozostaje obsługiwana przez Cloudflare.
Masz wtedy dwa wyjścia:
- zostać na Cloudflare z przepisanymi rekordami z naszego panelu (działa w pełni poprawnie),
- albo napisać do nas, a przygotujemy płynne przejście domeny na nasze serwery DNS.
Więcej o wyborze między naszymi serwerami DNS a usługą zewnętrzną znajdziesz w poradniku o domenach i DNS.
Cloudflare a poczta
Poczty nigdy nie kieruj przez proxy Cloudflare. Rekordy MX (oraz TXT dla SPF/DKIM) dodaj w Cloudflare z szarą chmurką, przepisując wartości z naszego panelu. Pamiętaj, że muszą się tam znaleźć, bo bez rekordów MX w Cloudflare poczta nie będzie dostarczana. Więcej o konfiguracji poczty znajdziesz w poradniku o MX, SPF i DKIM.