Giới thiệu về Cloudflare và Cách cấu hình Cloudflare Full DNS

Mình có nhận được kha khá câu hỏi của nhiều anh/chị/em/bạn (em gọi tắt là ace) về các hướng dẫn thiết lập các tính năng của Cloudflare một cách hiệu quả, do tài liệu (docs) của Cloudflare (Developers Page) viết bằng tiếng Anh.

Nên mình (em xin phép xưng hô là mình để cho gần gũi ạ) sẽ bắt đầu viết một số bài hướng dẫn cụ thể để chia sẻ cách cấu hình các dịch vụ của Cloudflare, và bằng tiếng Việt ạ.

Mong ace hưởng ứng ạ :D

Bài 01 được dựa trên tài liệu mà Cloudflare đã cùng làm với Distributor Sonic Technology, cảm ơn anh Tien Nguyen Duy và các anh em!

Open Table of contents

Cloudflare hoạt động như thế nào?
Cloudflare DNS
Các bước cài đặt Full DNS (Kèm hình ảnh minh hoạ)
Conclusion

Cloudflare hoạt động như thế nào?

Cloudflare đứng giữa origin server và khách hàng. Ở vị trí này, Cloudflare có thể:

Thiết lập các lệnh bảo mật (chống DDoS, WAF, bảo vệ API, Quản lý bot)
Tăng tốc (CDN, Argo Smart Routing, quản lý Cache)
Phân tải traffic giữa các server ở phạm vi toàn cầu (Load Balancing).
Ngoài ra, Cloudflare nổi tiếng với quản lý DNS (100% uptime SLA), SSL/TLS.

Cloudflare hoạt động như một reverse proxy>. Với reverse proxy, khi những request hướng tới website sẽ hit Cloudflare trước khi vào server gốc. Chỉ cần traffic của anh/chị được route qua Cloudflare (Proxy mode), Cloudflare sẽ tự động bảo vệ khỏi DDoS và cache tại mạng lưới CDN với 330+ PoP (Edge location) trên toàn thế giới và 06 PoP tại VN, tiết kiệm chi phí cho server gốc.

Vì vậy, sau khi set up set up account, domain, anh/chị nên bật proxy mode. IP thực của origin cũng sẽ bị ẩn đi (hide IP) mà chỉ hiển thị IP của Cloudflare, giúp anh/chị chống được rất nhiều loại tấn công.

Cloudflare DNS image

Cloudflare DNS

Cloudflare DNS (Hệ thống phân giải tên miền) là một dịch vụ DNS nhanh và bảo mật được cung cấp bởi Cloudflare. Nó giúp chuyển đổi các tên miền dễ đọc (như www.example.com) thành các địa chỉ IP mà máy tính sử dụng để nhận diện nhau trên internet.

Lợi ích của Cloudflare DNS ⚡ Hiệu suất trong top trong ngành

DNS của Cloudflare nhanh hàng đầu, mọi người có thể tự tra các report, với tốc độ tra cứu DNS trung bình chỉ 11ms, đảm bảo các trang web tải nhanh nhất có thể.

🔄 Độ tin cậy vượt trội

Mạng lưới toàn cầu của chúng tôi cung cấp độ dự phòng tối ưu, với việc phân giải DNS có sẵn tại mỗi trung tâm dữ liệu của chúng tôi trên hơn 330 thành phố.

🔒 Ngăn chặn các cuộc tấn công dựa trên DNS

Cloudflare cung cấp bảo vệ DDoS tích hợp và DNSSEC chỉ với một cú nhấp chuột để đảm bảo ứng dụng của bạn luôn được bảo vệ khỏi các cuộc tấn công DNS.

🌐 DNS dễ sử dụng

Tất cả các tên miền của bạn có thể được quản lý qua giao diện thân thiện với người dùng của chúng tôi hoặc qua API, bất kể bạn lưu trữ tài sản Internet của mình ở đâu.

Ngắn gọn vậy thôi, mình xin qua phần triển khai!

Các bước cài đặt Full DNS (Kèm hình ảnh minh hoạ)

Trong trường hợp khách hàng muốn sử dụng Cloudflare là nhà cung cấp dịch vụ DNS chính và quản lý các bản ghi DNS trên nền tảng của Cloudflare.

=> Cloudflare sẽ yêu cầu sử dụng cài đặt full setup.

Bước 1: Trước khi bắt đầu

Trước khi cập nhật domain nameservers (hay viết tắt là NS), khách hàng cần kiểm tra lại các yêu cầu sau:

Khách hàng đã sở hữu một tên miền (ví dụ như example.com or cloudflare.com).

Lưu ý:

Nếu khách hàng không có sẵn tên miền, Khách hàng có thể đăng ký một tên miền thông qua Cloudflare Registrar (Có phí).

Tất cả tên miền được mua thông qua Cloudflare Registrar sẽ tự động sử dụng Cloudflare là một authoritative DNS, và khách hàng có thể bỏ qua toàn bộ các bước thiết lập trong hướng dẫn này khi đăng ký một tên miền trên Cloudflare Registrar.

Khách hàng đã tạo một tài khoản CloudFlare trước đó. Vô hiệu hoá DNSSEC tại registrar của khách hàng (Nơi mà bạn mua tên miền). Hướng dẫn dành riêng cho nhà cung cấp.

Lưu ý:

Nếu nhà cung cấp trước đây cho phép bạn add thêm bản ghi DNSKEY trên zone apex và sử dụng các bản ghi này để phản hồi lại các truy vấn DNS, hãy tham khảo hướng dẫn migration này để biết cách migrate zone với DNSSEC được kích hoạt.

Bước 2: Add site vào Cloudflare. Tại giao diện Cloudflare dashboard, add your domain.

2.1. Truy cập vào Cloudflare dashboard Login to Cloudflare dashboard

2.2. Tại thanh điều hướng trên cùng, click Add site. Choose domain on Cloudflare dashboard

2.3. Nhập tên miền của Website ( ví dụ example.com) và sau đó click Continue Add website domain on Cloudflare

2.4. Chọn gói dịch vụ mong muốn. Chi tiết về tính năng và giá khách hàng có thể tham tại Plans pages của CloudFlare, hoặc ping em Cuong Le Sy ạ :D

Lưu ý:

Nếu Cloudflare không thể xác định tên miền của bạn là tên miền đã đăng ký, khách hàng vui lòng đảm bảo rằng đang sử dụng miền cấp cao nhất hiện có (.com, .net, .biz hoặc các miền khác). Ngoài ra, Cloudflare yêu cầu miền apex của khách hàng phải thấp hơn một cấp so với TLD hợp lệ được xác định trong Danh sách hậu tố công khai (Public Suffix List). Cloudflare plans

2.5. Review Lại bản ghi DNS. Review DNS records Cloudflare

Bước 3: Review lại bản ghi DNS. 3.1. Khi khách hàng add một trang web mới vào CloudFlare, Cloudflare sẽ tự động quét các bản ghi phổ biến và add chúng vào DNS zone. Các bản ghi sẽ được hiển thị ở DNS Zone tương ứng tại Records pages.

** Bên cạnh đó, ace có thể import và export file config: https://developers.cloudflare.com/dns/manage-dns-records/how-to/import-and-export/

Cloudflare DNS records dashboard

3.2. Click Save và Continue

3.3. Xem qua Quick Start Guide và khi khách hàng hoàn tất, click Finish. Cloudflare dashboard

** Trong trường hợp các bản ghi DNS chưa được đầy đủ thì chúng ta cần thêm bản ghi thủ công.

3.1’. Thêm bản ghi DNS thủ công.

3.1’.1. Click Add record. Add DNS record Cloudflare

3.1’.2. Chọn record Type. Add DNS record Cloudflare

3.1’.3. Hoàn thành các trường yêu cầu. Đối với mỗi loại bản ghi khác nhau yêu cầu có thể khác nhau. Tuy nhiên một số trường thông tin quan trọng (đối với một vài bản ghi) bao gồm:

Proxy status: Đối với các bản ghi A, AAAA, và CNAM, quyết định xem liệu rằng lưu lượng truy cập hostname có được proxied qua Cloudflare.

Lưu ý là

>“Proxied” là trạng thái mà toàn bộ traffic tới domain/subdomain sẽ được đi qua Cloudflare, được bảo vệ và được sử dụng các dịch vụ của Cloudflare như các tính năng CDN, Argo Smart Routing, SSL, DDOS protection…
TTL: Viết tắt của Time to Live, Trường thông tin này kiểm soát thời gian hợp lệ của của mỗi bản ghi - và kết quả là - mất bao lâu cập nhật bản ghi đến tay người dùng cuối.
Comment và Tag: Note lại những thông tin có ý nghĩa

Bước 4: Cập nhật Nameservers Mỗi khi một tên miền được thêm vào Cloudflare, Tên miền đó sẽ nhận được hai authoritative nameservers được chỉ định.

Lưu ý:>

Trong trường hợp tên miền của khách hàng không mong muốn downtime (đặc biệt nhạy cảm với downtime), Khách hàng vui lòng xem xét khuyến nghị của Cloudflare để giảm thiểu downtime.

Bước 4.1: Lấy thông tin nameservers 4.1.1. Truy cập vào Cloudflare dashboard và lựa chọn tài khoản được mapping với tên miền Cloudflare login dashboard

4.1.2. Mục Overview, hai Cloudflare nameservers sẽ là thông tin sử dụng để thay thế NS hiện tại của tên miền:

4.1.3. Giữ cửa sổ này mở trong khi bạn thực hiện bước tiếp theo..

Lưu ý:

Cloudflare tự động gán nameservers cho một miền và không thể thay đổi các phép gán này.

Bước 4.2: Cập nhật tại Registrar của khách hàng 4.2.1. Truy cập vào tài khoản admin của domain registrar của khách hàng ( ví dụ như freenom, pavietnam, matbao hoặc namecheap).

4.2.2. Xoá authoritative nameservers hiện có.

4.2.3. Add nameservers được cung cấp bởi Cloudflare (Cloudflare Nameservers được lấy ở bước 4-1).

Lưu ý không được giữ lại NS của nhà cung cấp hiện tại. Bước 4.3 Xác nhận thay đổi Chờ trong vòng 24 giờ trong khi đơn vị cung cấp tên miền (Registrar) cập nhật lại nameservers. Khi tên miền được kích hoạt:

Khách hàng sẽ nhận được email từ Cloudflare. Tên miền của khách hàng sẽ có trạng thái Active trên trang website. Các công cụ online như https://www.whatsmydns.net/ sẽ show nameservers được chỉ định bởi Cloudflare (hầu hết các công cụ này sẽ sử dụng kết quả truy vấn được lưu trên cached, nên sẽ mất nhiều thời gian để show kết quả về nameservers được cập nhật). CLI commands sẽ show nameservers được chỉ định bởi Cloudflare. dig and nslookup cloudflare

Bước 5 Kích hoạt lại DNSSEC Khi cập nhật nameservers, khách hàng nên vô hiệu hoá tính năng DNSSEC tại nhà cung cấp tên miền. và sau khi cập nhật hoàn tất tính năng này nên được kích hoạt lại ngay để bảo vệ tên miền của khách hàng để chống lại việc giả mạo tên miền.

5.1. Truy cập vào Cloudflare dashboard Cloudflare domain view dashboard

5.2. Truy cập vào DNS > Settings và Click Enable DNSSEC Cloudflare DNSSEC

5.3. Tại hộp thoại, khách hàng có truy cập vào vài giá trị cần thiết để tại DS record tại nhà cung cấp tên miền của họ. Mỗi khi đóng họp thoại, khách hàng có thể truy cập vào thông tin này bằng cách click DS record trên DNSSEC card. Cloudflare DNSSEC

Bước 6: Thêm DS record vào nhà cung cấp tên miền - Sử dụng Cloudflare DNSSEC với DNSimple Thêm DS record vào nhà cung cấp tên miền của khách hàng. Đối với Thuật toán 13 - Lựa chọn mật mã ưa thích của Cloudflare - không được nhà đăng ký của khách hàng liệt kê, nó cũng có thể được gọi là ECDSA Curve P-256 với SHA-256.

6.1. Truy cập vào tài khoản DNSimple, tại trang quản lý tên miền. Click “Manage” trên tab DNSSEC tab. Cloudflare DNSSEC

6.2. Cuối cùng, nhập thông tin chi tiết cho bản ghi DS bằng thông tin do Cloudflare cung cấp. Nếu cơ quan đăng ký tên miền của khách hàng hỗ trợ DNSSEC thì bản ghi DS sẽ được bật. Cloudflare DNSSEC

Conclusion

Và thế là xong phần cấu hình Full DNS trên Cloudflare.

Bài sau mình sẽ nói về cách cấu hình theo CNAME.

Thiết lập một phần (CNAME Setup) cho phép khách hàng sử dụng Cloudflare’s reverse proxy trong khi vẫn duy trì nhà cung cấp dịch vụ DNS chính và uỷ quyền của mình. Cùng đón xem ạ.