Cloudflare — платформа, которая делает сайты быстрее, безопаснее и надёжнее. Работает как прослойка между вашим сервером и посетителями: раздаёт контент через глобальную сеть, защищает от атак и управляет DNS. Бесплатный тариф покрывает большинство задач личного или небольшого рабочего проекта, и подключение занимает минут двадцать без единой строчки кода.
Этот материал — практический разбор Cloudflare как слоя для владельца сайта. Что именно вы получаете бесплатно, как устроена работа, как подключить домен за 5 шагов и какие ошибки подключения ломают почту, SSL и доступ к сайту. Технические детали про DNS-типы, Workers и Tunnels — в отдельных материалах.
Что это
Cloudflare — американская компания, которая управляет одной из крупнейших сетей серверов в мире (более 330 дата-центров в 120+ странах). Через эту сеть проходит около 20% всего интернет-трафика.
Для владельца сайта Cloudflare выполняет три функции: управляет DNS-записями домена, кэширует и раздаёт статику через CDN (Content Delivery Network) и защищает от DDoS-атак и вредоносного трафика. Всё это работает как обратный прокси — посетитель заходит на домен, попадает на ближайший сервер Cloudflare, получает кэшированный контент или перенаправляется к вашему серверу.
На бесплатном тарифе доступны DNS, CDN, базовая DDoS-защита, SSL-сертификат и ряд дополнительных сервисов — Pages, Workers, R2, Email Routing, Tunnels. Для личного сайта, блога, портфолио или небольшого рабочего проекта бесплатного тарифа хватает с запасом.
Зачем нужно
Cloudflare решает задачи, для которых раньше нужно было несколько отдельных платных сервисов или ручная настройка сервера.
- Ускорить сайт без переезда — CDN раздаёт статику с ближайшего сервера, страницы грузятся быстрее даже на медленном VPS.
- Скрыть IP сервера — оранжевое облако прячет реальный адрес, прямые атаки на сервер перестают работать.
- Получить HTTPS бесплатно — Universal SSL-сертификат выпускается автоматически и обновляется без вашего участия.
- Защититься от DDoS — фильтрация вредоносного трафика включена на всех тарифах, даже на Free.
- Поднять почту на своём домене без почтового сервера — Email Routing пересылает письма на ваш Gmail.
- Задеплоить статический сайт без своего хостинга — Cloudflare Pages делает это из GitHub за минуту.
- Хранить файлы без платы за трафик — R2 даёт 10 ГБ бесплатно с нулевой стоимостью egress.
- Управлять DNS без боли — панель записей, мгновенное обновление, поддержка всех типов записей.
Как устроено
Cloudflare работает как обратный прокси (reverse proxy). Схема простая:
flowchart LR
A["Посетитель"] --> B["Cloudflare CDN"]
B --> C{"Есть в кэше?"}
C -->|Да| D["Отдаёт из кэша"]
C -->|Нет| E["Запрос к серверу"]
E --> F["Ваш сервер"]
F --> B
B --> A
Посетитель вводит адрес сайта, DNS направляет его на ближайший сервер Cloudflare. Cloudflare проверяет запрос — фильтрует ботов и DDoS. Если контент есть в кэше — отдаёт мгновенно. Если нет — запрашивает у вашего сервера, кэширует и отдаёт.
Оранжевое облако в панели DNS — индикатор проксирования. Если облако оранжевое, трафик идёт через Cloudflare (CDN + защита). Если серое — запись работает как обычный DNS, без проксирования. Для веб-трафика (A и CNAME сайтов) включайте оранжевое, для MX и SSH/FTP — серое.
Быстрый старт: добавляем сайт за 5 шагов
Вам нужен зарегистрированный домен у любого регистратора.
- Регистрация. Откройте dash.cloudflare.com/sign-up, введите email и пароль, подтвердите email.
- Добавьте сайт. В панели нажмите Add a site, введите домен (например, mysite.ru), выберите тариф Free. Cloudflare автоматически просканирует текущие DNS-записи.
- Проверьте DNS-записи. Cloudflare покажет найденные записи. Сверьте: A-запись с IP сервера, CNAME для www, MX-записи для почты.
Внимательно проверьте все записи перед переключением. Если что-то пропущено — почта или поддомены перестанут работать после смены nameservers.
- Смените nameservers. Cloudflare выдаст два NS-адреса, например anna.ns.cloudflare.com и bob.ns.cloudflare.com. Зайдите в панель регистратора и замените текущие nameservers на эти два. Где именно менять — зависит от регистратора: Reg.ru — Домены → Управление → DNS-серверы; Namecheap — Domain List → Manage → Nameservers → Custom DNS; GoDaddy — My Products → DNS → Nameservers → Change; Beget — Домены → DNS.
- Дождитесь активации. Обычно nameservers обновляются за 10–30 минут, но может занять до 24 часов. Cloudflare пришлёт email, когда домен активируется. После активации Cloudflare автоматически выпустит SSL-сертификат — HTTPS заработает без дополнительных настроек.
Панель управления: что где находится
После добавления сайта вы попадаете в дашборд. Разделы упорядочены по задачам: от диагностики до кастомизации.
| Раздел | Что делает |
|---|---|
| Overview | Общая статистика: трафик, угрозы, кэширование |
| DNS | Управление DNS-записями (A, AAAA, CNAME, MX, TXT) |
| SSL/TLS | Настройки шифрования: Flexible, Full, Full (Strict) |
| Speed | Оптимизация скорости: минификация, сжатие, Rocket Loader |
| Caching | Настройки кэширования: TTL, очистка кэша |
| Security | Уровень защиты, WAF-правила, Bot Fight Mode |
| Rules | Page Rules, редиректы, трансформации запросов |
| Workers | Серверные функции на Edge |
| Pages | Хостинг статических сайтов |
| Email Routing — маршрутизация почты |
Когда использовать
| Ситуация | Подходит ли Cloudflare | Почему |
|---|---|---|
| Личный сайт, блог, портфолио | Да | Free закрывает всё, что нужно: CDN, SSL, базовая защита |
| Защита существующего VPS | Да | Оранжевое облако прячет IP, DDoS фильтруется на Edge |
| Почта на своём домене без почтового сервера | Да | Email Routing пересылает на Gmail за 5 минут |
| Доступ к домашнему серверу (NAS, Raspberry Pi) | Да | Tunnels без белого IP, с HTTPS, до 50 пользователей Access |
| Telegram-бот, API-прокси, обработчик вебхуков | Да | Workers — 100 000 запросов/день бесплатно |
| Хранилище файлов и картинок | Да | R2 — 10 ГБ, egress бесплатно |
| Коммерческий сайт с WAF-правилами | Pro за $25/мес | Managed Rules включены только на Pro и выше |
| Корпоративный сайт с оптимизацией изображений | Pro за $25/мес | Polish + Mirage доступны только на Pro |
| Госсайт с жёсткими требованиями к локализации | Осторожно | Cloudflare — американская компания, нужно проверять комплаенс |
Экосистема сервисов
Cloudflare давно вышел за рамки CDN. Сейчас это платформа с десятками сервисов. Карта самых полезных для владельца сайта и разработчика:
Хостинг и вычисления
- Cloudflare Pages — хостинг статических сайтов с деплоем из GitHub и GitLab. Поддерживает Astro, Next.js, Hugo, SvelteKit. Бесплатно: 500 деплоев в месяц, неограниченный трафик.
- Workers — серверный JavaScript и TypeScript на Edge. 100 000 запросов в день бесплатно. Подходит для API-прокси, редиректов, ботов, обработки вебхуков.
- D1 — SQLite-база данных на Edge. 5 ГБ бесплатно. Работает напрямую с Workers, идеально для небольших реляционных данных без отдельного Postgres.
Хранение данных
- R2 — S3-совместимое объектное хранилище. Бесплатно: 10 ГБ, 1 миллион запросов на запись и 10 миллионов на чтение в месяц. Главное преимущество — нулевая стоимость исходящего трафика (egress бесплатно), тогда как у AWS S3 egress платный.
- KV — key-value хранилище для Workers. Бесплатно: 100 000 чтений в день. Оптимизирован под чтение, записи eventual-consistent.
Сеть и доступ
- Tunnels (cloudflared) — безопасный туннель от Cloudflare до вашего локального сервера. Работает без белого IP, без проброса портов, без настройки NAT. Бесплатно, неограниченно.
- Zero Trust / Access — закрытие доступа к внутренним инструментам (панели, дашборды) через авторизацию Cloudflare. До 50 пользователей бесплатно.
Почта
- Email Routing — маршрутизация почты на кастомном домене. Письма на hello@mysite.ru пересылаются на ваш Gmail или любой другой ящик. Бесплатно, без ограничений на количество правил.
Безопасность
- WAF (Web Application Firewall) — набор правил для защиты от SQL-инъекций, XSS и других атак. Managed Rules доступны на платных тарифах, но базовые правила и Bot Fight Mode работают бесплатно.
- Turnstile — бесплатная CAPTCHA-альтернатива (замена reCAPTCHA). Работает без раздражающих галочек и картинок, проверяет поведение пользователя через машинное обучение.
Cloudflare vs другие сервисы
Сравнение по задачам — кому есть альтернативы, а где Cloudflare де-факто стандарт.
| Задача | Cloudflare | Альтернативы |
|---|---|---|
| CDN | Бесплатно, без ограничений по трафику | Fastly, AWS CloudFront (платно) |
| DNS | Бесплатно, быстрый, с проксированием | Route 53 (AWS, платно), deSEC (бесплатно) |
| Хостинг статики | Cloudflare Pages — бесплатно | Vercel, Netlify, GitHub Pages |
| Серверные функции | Workers — 100K запросов/день бесплатно | AWS Lambda, Vercel Functions |
| Хранилище | R2 — 10 ГБ, egress бесплатно | AWS S3 (egress платный), Backblaze B2 |
| Туннели | Tunnels — бесплатно | ngrok (лимиты на бесплатном) |
Частые проблемы
Шесть типичных ситуаций, которые ломают работу сразу после подключения. У всех есть конкретное решение.
Сайт показывает ошибку 522 или 521
Cloudflare не может подключиться к вашему серверу. Проверьте, что сервер работает и принимает подключения на портах 80 и 443. Убедитесь, что IP-адрес в DNS-записи совпадает с реальным IP сервера. Частая причина — сервер перезагрузился и IP сменился, а в DNS остался старый.
Бесконечный редирект ERR_TOO_MANY_REDIRECTS
Почти всегда проблема в режиме SSL. Если на сервере уже стоит SSL-сертификат, переключите режим на Full или Full (Strict). Режим Flexible вызывает цикл редиректов, когда сервер тоже пытается перенаправить HTTP на HTTPS — Cloudflare видит HTTPS и не вмешивается, сервер снова перенаправляет, и так до бесконечности.
Почта перестала работать
MX-записи нельзя проксировать через Cloudflare. Убедитесь, что облако для MX-записей серое (DNS only), а не оранжевое. Если облако оранжевое — почта просто не доходит до вашего почтового сервера, потому что Cloudflare пытается проксировать SMTP, который не поддерживает.
Изменения DNS не применяются
Cloudflare обновляет DNS быстро (секунды), но у провайдеров и браузеров есть собственный кэш. Подождите 5–10 минут. Для проверки используйте dns.google или команду dig mydomain.com в терминале — это покажет актуальные NS-записи без кэша браузера.
Страницы отдают устаревший контент
Cloudflare кэширует статику на Edge-серверах. После обновления сайта очистите кэш: Caching → Configuration → Purge Everything — удалит весь кэш сразу. Если нужно точечно — Purge by URL и укажите конкретный адрес страницы или файла.
Низкая скорость после подключения
Cloudflare кэширует статику, и в большинстве случаев сайт становится быстрее. Но если сайт динамический (WordPress, любой бэкенд с каждой страницей уникальной), Cloudflare может не угадать, что кэшировать, и каждый запрос идёт на сервер. Включите APO (Automatic Platform Optimization) для WordPress или используйте Cache Rules для принудительного кэширования статических путей.
Пример
Самая частая настройка после подключения домена — выбор режима SSL/TLS. Cloudflare выпускает бесплатный SSL-сертификат сразу после активации, но режим шифрования нужно выбрать правильно.
| Режим | Как работает | Когда использовать |
|---|---|---|
| Off | Без шифрования | Никогда |
| Flexible | HTTPS между посетителем и Cloudflare, HTTP между Cloudflare и сервером | Если на сервере нет SSL и нет возможности поставить |
| Full | HTTPS на обоих участках, сертификат сервера не проверяется | Если на сервере самоподписанный сертификат |
| Full (Strict) | HTTPS на обоих участках, сертификат сервера проверяется | Рекомендуемый вариант. Используйте Origin Certificate от Cloudflare |
Всегда стремитесь к Full (Strict). Режим Flexible создаёт иллюзию безопасности — трафик между Cloudflare и сервером идёт в открытом виде, и ключ API или пароль из запроса можно перехватить на любом узле маршрута.
Параллельно с SSL/TLS стоит включить Always Use HTTPS в разделе SSL/TLS → Edge Certificates — это перенаправит все HTTP-запросы на HTTPS одним правилом. И Bot Fight Mode в разделе Security → Bots — базовая защита от вредоносных ботов, доступна на Free.
Ограничения
Ограничения
Что учитывать
Cloudflare бесплатен, но Free — это реальный Free, не Pro с триалом. У него есть жёсткие границы, о которых важно знать заранее.
WAF Managed Rules доступны только на Pro за $25/мес
на Free работают только базовые правила и Bot Fight Mode, сложные SQL-инъекции или XSS фильтруются хуже.
Image Optimization (Polish, Mirage)
только на Pro и выше — автоматическое сжатие картинок и lazy-loading на Free недоступны.
Page Rules на Free
только 3 правила — для сложной маршрутизации и редиректов нужно укладываться в лимит или переходить на Pro (20 правил) или Business (50).
Workers
100 000 запросов в день на всех тарифах — для API-прокси хватает, но для серьёзного продакшн-трафика нужно оптимизировать или переходить на платный план.
Cloudflare Pages
500 деплоев в месяц — лимит щедрый, но при активной разработке с ежедневными коммитами в main можно упираться, особенно в команде.
Cloudflare Access
до 50 пользователей бесплатно — для команды из 100+ человек нужен платный план.
Cloudflare
американская компания, подчиняется законам США — для проектов с жёсткими требованиями к локализации данных или санкционными ограничениями нужно проверять комплаенс.
Антипаттерны
Антипаттерны
Чего не делать
Типичные ошибки, которые ломают сайт, почту или SSL сразу после подключения.
Включать оранжевое облако для MX-записей
почта перестанет ходить, Cloudflare проксирует только HTTP/HTTPS.
Оставлять режим SSL Flexible как постоянное решение
между Cloudflare и сервером трафик идёт в открытом виде, ключи API и пароли можно перехватить.
Не проверять DNS-записи перед сменой nameservers
если пропустили MX или специфичный CNAME, после смены NS почта или поддомены отвалятся.
Ставить самоподписанный сертификат на сервер при режиме Full (Strict)
Cloudflare откажется принимать соединение и сайт вернёт 502, либо переключитесь на Full (без Strict), либо используйте Origin Certificate от Cloudflare.
Открывать SSH/FTP через оранжевое облако — Cloudflare их не проксирует, а серое облако отдаёт IP сервера всем.
Для SSH используйте Cloudflare Access.
Игнорировать кэш при обновлении контента — после публикации новой версии сайта пользователи видят старое из кэша Cloudflare.
Используйте Purge Everything или Purge by URL.
Рассчитывать на Free для продакшна с серьёзным трафиком
100 000 запросов Workers в день и 500 деплоев Pages в месяц закончатся быстро, для серьёзного прода нужны Pro или альтернативы.
hello@mysite.ru
, нужно включить маршрут в Email → Email Routing, одной MX-записи мало.
Чеклист
Чеклист
Проверка после подключения
После смены nameservers и получения email об активации пройдитесь по чеклисту — если что-то не отмечено, рабочая связка скорее всего сломается в первые дни.
Домен добавлен в Cloudflare и nameservers заменены у регистратора
статус домена в дашборде показывает Active.
Cloudflare активирован
пришёл email о выпуске SSL-сертификата.
DNS-записи проверены
A, CNAME, MX, TXT импортированы корректно.
SSL/TLS режим установлен в Full (Strict)
не Flexible.
Оранжевое облако включено для веб-записей (A, CNAME сайта) и выключено для MX.
HTTPS работает на сайте
открывается по https:// без предупреждений браузера.
Always Use HTTPS включён в SSL/TLS
Edge Certificates.
Bot Fight Mode включён в Security
Bots — базовая защита от вредоносных ботов.
Email Routing включён, если нужна почта на своём домене
письма пересылаются на Gmail.
DNSSEC включён в DNS
Settings и DS-запись добавлена у регистратора.