@Network 不是什么特殊情况感觉cloudflare tunnel挺好,要是不用cdn的话用的是nixos 的acme服务,还有caddy和 traefik(适合在docker中用)自带自动申请证书
@reo 整个服务器只开一个ssh端口(不一定是22),不开80和443。
这样都不用设防火墙。web应用直接转发到nginx的http端口,不用申请证书。docker上的web服务,连nginx都不用配了🥹
在甲骨文的话,也不用配gfw,直接防火墙开一个ssh端口就ok了
@Network 现在是一个ipv6公网内部用nginx反代的docker容器,用的证书是acme自动生成的,然后套cloudflare用ipv6回源,我只开了443端口
@Network 其它服务用过tunnel,好处是真的不用暴露公网接口,坏处是除了http其他支持都难说,tcp要用客户端连接,websocket好像有点问题,而且cloudflared 在docker有点难用,反正我没配好,装在host上感觉和tailscale定位冲突了
@Network 哦,当时没用tunnel还有一个原因是好像tunnel回源nginx服务器的话好像无法根据域名转发到不同的服务,不想为公网额外写一个nginx配置
@Network 装在host很好用,但是我不想所有服务直接暴露给cloudflared,所以想用docker单独跑一个cloudflared做出口,这时候就很难配网络了
@Network 因为我的nginx在host上,所以网络请求是 client -> cloudflared (docker)-> nginx (host) -> service(docker)
@reo https://cmx.dzm.pp.ua/@Network/113589246634741385
我考虑的只有这些。如果再烦的话,那还不如直接依靠HTTPS证书得了,不想暴露端口为什么要用VPS😇
@reo 安全性不亚于CDN,并且不需要更新证书,中间人攻击的风险也跟定时使用certbot一样小
从操作难度来看,CDN你既要防止暴露IP,又要安装并配置certbot,又要配置nginx,还要配置IP标头,还要配置防火墙仅放行cloudflare的IP。中间错一步都很蛋疼。
tunnel你只要装个cloudflared,然后映射给本地80端口就行,CDN要考虑的事情就多了🌚
@Network 不过2我在自己机器上用过tunnel,tunnel 默认用h3会疯狂断连,要切换到http2,然后就是熟悉的自己访问自己的服务要先走美国再回家,笑死,流量环游世界
@reo 在家直接配固定IP,写host(主要是家里的台式机)和dnsmasq。cloudflare通道给网友走,或者自己出门时走🌚
@reo cloudflare的优点就是穷鬼的福音,可以免费挡下ddos🤤虽然最近也有用cloudflare的象友的服务器被人打爆了