Cloudflare — платформа, которая делает сайты быстрее, безопаснее и надёжнее. Работает как прослойка между вашим сервером и посетителями: раздаёт контент через глобальную сеть, защищает от атак и управляет DNS. Бесплатный тариф покрывает большинство задач личного или небольшого рабочего проекта, и подключение занимает минут двадцать без единой строчки кода.

Этот материал — практический разбор Cloudflare как слоя для владельца сайта. Что именно вы получаете бесплатно, как устроена работа, как подключить домен за 5 шагов и какие ошибки подключения ломают почту, SSL и доступ к сайту. Технические детали про DNS-типы, Workers и Tunnels — в отдельных материалах.

Что это

Cloudflare — американская компания, которая управляет одной из крупнейших сетей серверов в мире (более 330 дата-центров в 120+ странах). Через эту сеть проходит около 20% всего интернет-трафика.

Для владельца сайта Cloudflare выполняет три функции: управляет DNS-записями домена, кэширует и раздаёт статику через CDN (Content Delivery Network) и защищает от DDoS-атак и вредоносного трафика. Всё это работает как обратный прокси — посетитель заходит на домен, попадает на ближайший сервер Cloudflare, получает кэшированный контент или перенаправляется к вашему серверу.

На бесплатном тарифе доступны DNS, CDN, базовая DDoS-защита, SSL-сертификат и ряд дополнительных сервисов — Pages, Workers, R2, Email Routing, Tunnels. Для личного сайта, блога, портфолио или небольшого рабочего проекта бесплатного тарифа хватает с запасом.

Зачем нужно

Cloudflare решает задачи, для которых раньше нужно было несколько отдельных платных сервисов или ручная настройка сервера.

  • Ускорить сайт без переезда — CDN раздаёт статику с ближайшего сервера, страницы грузятся быстрее даже на медленном VPS.
  • Скрыть IP сервера — оранжевое облако прячет реальный адрес, прямые атаки на сервер перестают работать.
  • Получить HTTPS бесплатно — Universal SSL-сертификат выпускается автоматически и обновляется без вашего участия.
  • Защититься от DDoS — фильтрация вредоносного трафика включена на всех тарифах, даже на Free.
  • Поднять почту на своём домене без почтового сервера — Email Routing пересылает письма на ваш Gmail.
  • Задеплоить статический сайт без своего хостинга — Cloudflare Pages делает это из GitHub за минуту.
  • Хранить файлы без платы за трафик — R2 даёт 10 ГБ бесплатно с нулевой стоимостью egress.
  • Управлять DNS без боли — панель записей, мгновенное обновление, поддержка всех типов записей.

Как устроено

Cloudflare работает как обратный прокси (reverse proxy). Схема простая:

flowchart LR
 A["Посетитель"] --> B["Cloudflare CDN"]
 B --> C{"Есть в кэше?"}
 C -->|Да| D["Отдаёт из кэша"]
 C -->|Нет| E["Запрос к серверу"]
 E --> F["Ваш сервер"]
 F --> B
 B --> A

Посетитель вводит адрес сайта, DNS направляет его на ближайший сервер Cloudflare. Cloudflare проверяет запрос — фильтрует ботов и DDoS. Если контент есть в кэше — отдаёт мгновенно. Если нет — запрашивает у вашего сервера, кэширует и отдаёт.

Оранжевое облако в панели DNS — индикатор проксирования. Если облако оранжевое, трафик идёт через Cloudflare (CDN + защита). Если серое — запись работает как обычный DNS, без проксирования. Для веб-трафика (A и CNAME сайтов) включайте оранжевое, для MX и SSH/FTP — серое.

Быстрый старт: добавляем сайт за 5 шагов

Вам нужен зарегистрированный домен у любого регистратора.

  1. Регистрация. Откройте dash.cloudflare.com/sign-up, введите email и пароль, подтвердите email.
  2. Добавьте сайт. В панели нажмите Add a site, введите домен (например, mysite.ru), выберите тариф Free. Cloudflare автоматически просканирует текущие DNS-записи.
  3. Проверьте DNS-записи. Cloudflare покажет найденные записи. Сверьте: A-запись с IP сервера, CNAME для www, MX-записи для почты.

Внимательно проверьте все записи перед переключением. Если что-то пропущено — почта или поддомены перестанут работать после смены nameservers.

  1. Смените nameservers. Cloudflare выдаст два NS-адреса, например anna.ns.cloudflare.com и bob.ns.cloudflare.com. Зайдите в панель регистратора и замените текущие nameservers на эти два. Где именно менять — зависит от регистратора: Reg.ru — Домены → Управление → DNS-серверы; Namecheap — Domain List → Manage → Nameservers → Custom DNS; GoDaddy — My Products → DNS → Nameservers → Change; Beget — Домены → DNS.
  2. Дождитесь активации. Обычно nameservers обновляются за 10–30 минут, но может занять до 24 часов. Cloudflare пришлёт email, когда домен активируется. После активации Cloudflare автоматически выпустит SSL-сертификат — HTTPS заработает без дополнительных настроек.

Панель управления: что где находится

После добавления сайта вы попадаете в дашборд. Разделы упорядочены по задачам: от диагностики до кастомизации.

РазделЧто делает
OverviewОбщая статистика: трафик, угрозы, кэширование
DNSУправление DNS-записями (A, AAAA, CNAME, MX, TXT)
SSL/TLSНастройки шифрования: Flexible, Full, Full (Strict)
SpeedОптимизация скорости: минификация, сжатие, Rocket Loader
CachingНастройки кэширования: TTL, очистка кэша
SecurityУровень защиты, WAF-правила, Bot Fight Mode
RulesPage Rules, редиректы, трансформации запросов
WorkersСерверные функции на Edge
PagesХостинг статических сайтов
EmailEmail Routing — маршрутизация почты

Когда использовать

СитуацияПодходит ли CloudflareПочему
Личный сайт, блог, портфолиоДаFree закрывает всё, что нужно: CDN, SSL, базовая защита
Защита существующего VPSДаОранжевое облако прячет IP, DDoS фильтруется на Edge
Почта на своём домене без почтового сервераДаEmail Routing пересылает на Gmail за 5 минут
Доступ к домашнему серверу (NAS, Raspberry Pi)ДаTunnels без белого IP, с HTTPS, до 50 пользователей Access
Telegram-бот, API-прокси, обработчик вебхуковДаWorkers — 100 000 запросов/день бесплатно
Хранилище файлов и картинокДаR2 — 10 ГБ, egress бесплатно
Коммерческий сайт с WAF-правиламиPro за $25/месManaged Rules включены только на Pro и выше
Корпоративный сайт с оптимизацией изображенийPro за $25/месPolish + Mirage доступны только на Pro
Госсайт с жёсткими требованиями к локализацииОсторожноCloudflare — американская компания, нужно проверять комплаенс

Экосистема сервисов

Cloudflare давно вышел за рамки CDN. Сейчас это платформа с десятками сервисов. Карта самых полезных для владельца сайта и разработчика:

Хостинг и вычисления

  • Cloudflare Pages — хостинг статических сайтов с деплоем из GitHub и GitLab. Поддерживает Astro, Next.js, Hugo, SvelteKit. Бесплатно: 500 деплоев в месяц, неограниченный трафик.
  • Workers — серверный JavaScript и TypeScript на Edge. 100 000 запросов в день бесплатно. Подходит для API-прокси, редиректов, ботов, обработки вебхуков.
  • D1 — SQLite-база данных на Edge. 5 ГБ бесплатно. Работает напрямую с Workers, идеально для небольших реляционных данных без отдельного Postgres.

Хранение данных

  • R2 — S3-совместимое объектное хранилище. Бесплатно: 10 ГБ, 1 миллион запросов на запись и 10 миллионов на чтение в месяц. Главное преимущество — нулевая стоимость исходящего трафика (egress бесплатно), тогда как у AWS S3 egress платный.
  • KV — key-value хранилище для Workers. Бесплатно: 100 000 чтений в день. Оптимизирован под чтение, записи eventual-consistent.

Сеть и доступ

  • Tunnels (cloudflared) — безопасный туннель от Cloudflare до вашего локального сервера. Работает без белого IP, без проброса портов, без настройки NAT. Бесплатно, неограниченно.
  • Zero Trust / Access — закрытие доступа к внутренним инструментам (панели, дашборды) через авторизацию Cloudflare. До 50 пользователей бесплатно.

Почта

  • Email Routing — маршрутизация почты на кастомном домене. Письма на hello@mysite.ru пересылаются на ваш Gmail или любой другой ящик. Бесплатно, без ограничений на количество правил.

Безопасность

  • WAF (Web Application Firewall) — набор правил для защиты от SQL-инъекций, XSS и других атак. Managed Rules доступны на платных тарифах, но базовые правила и Bot Fight Mode работают бесплатно.
  • Turnstile — бесплатная CAPTCHA-альтернатива (замена reCAPTCHA). Работает без раздражающих галочек и картинок, проверяет поведение пользователя через машинное обучение.

Cloudflare vs другие сервисы

Сравнение по задачам — кому есть альтернативы, а где Cloudflare де-факто стандарт.

ЗадачаCloudflareАльтернативы
CDNБесплатно, без ограничений по трафикуFastly, AWS CloudFront (платно)
DNSБесплатно, быстрый, с проксированиемRoute 53 (AWS, платно), deSEC (бесплатно)
Хостинг статикиCloudflare Pages — бесплатноVercel, Netlify, GitHub Pages
Серверные функцииWorkers — 100K запросов/день бесплатноAWS Lambda, Vercel Functions
ХранилищеR2 — 10 ГБ, egress бесплатноAWS S3 (egress платный), Backblaze B2
ТуннелиTunnels — бесплатноngrok (лимиты на бесплатном)

Частые проблемы

Шесть типичных ситуаций, которые ломают работу сразу после подключения. У всех есть конкретное решение.

Сайт показывает ошибку 522 или 521

Cloudflare не может подключиться к вашему серверу. Проверьте, что сервер работает и принимает подключения на портах 80 и 443. Убедитесь, что IP-адрес в DNS-записи совпадает с реальным IP сервера. Частая причина — сервер перезагрузился и IP сменился, а в DNS остался старый.

Бесконечный редирект ERR_TOO_MANY_REDIRECTS

Почти всегда проблема в режиме SSL. Если на сервере уже стоит SSL-сертификат, переключите режим на Full или Full (Strict). Режим Flexible вызывает цикл редиректов, когда сервер тоже пытается перенаправить HTTP на HTTPS — Cloudflare видит HTTPS и не вмешивается, сервер снова перенаправляет, и так до бесконечности.

Почта перестала работать

MX-записи нельзя проксировать через Cloudflare. Убедитесь, что облако для MX-записей серое (DNS only), а не оранжевое. Если облако оранжевое — почта просто не доходит до вашего почтового сервера, потому что Cloudflare пытается проксировать SMTP, который не поддерживает.

Изменения DNS не применяются

Cloudflare обновляет DNS быстро (секунды), но у провайдеров и браузеров есть собственный кэш. Подождите 5–10 минут. Для проверки используйте dns.google или команду dig mydomain.com в терминале — это покажет актуальные NS-записи без кэша браузера.

Страницы отдают устаревший контент

Cloudflare кэширует статику на Edge-серверах. После обновления сайта очистите кэш: Caching → Configuration → Purge Everything — удалит весь кэш сразу. Если нужно точечно — Purge by URL и укажите конкретный адрес страницы или файла.

Низкая скорость после подключения

Cloudflare кэширует статику, и в большинстве случаев сайт становится быстрее. Но если сайт динамический (WordPress, любой бэкенд с каждой страницей уникальной), Cloudflare может не угадать, что кэшировать, и каждый запрос идёт на сервер. Включите APO (Automatic Platform Optimization) для WordPress или используйте Cache Rules для принудительного кэширования статических путей.

Пример

Самая частая настройка после подключения домена — выбор режима SSL/TLS. Cloudflare выпускает бесплатный SSL-сертификат сразу после активации, но режим шифрования нужно выбрать правильно.

РежимКак работаетКогда использовать
OffБез шифрованияНикогда
FlexibleHTTPS между посетителем и Cloudflare, HTTP между Cloudflare и серверомЕсли на сервере нет SSL и нет возможности поставить
FullHTTPS на обоих участках, сертификат сервера не проверяетсяЕсли на сервере самоподписанный сертификат
Full (Strict)HTTPS на обоих участках, сертификат сервера проверяетсяРекомендуемый вариант. Используйте Origin Certificate от Cloudflare

Всегда стремитесь к Full (Strict). Режим Flexible создаёт иллюзию безопасности — трафик между Cloudflare и сервером идёт в открытом виде, и ключ API или пароль из запроса можно перехватить на любом узле маршрута.

Параллельно с SSL/TLS стоит включить Always Use HTTPS в разделе SSL/TLS → Edge Certificates — это перенаправит все HTTP-запросы на HTTPS одним правилом. И Bot Fight Mode в разделе Security → Bots — базовая защита от вредоносных ботов, доступна на Free.

Ограничения

Ограничения

Что учитывать

Cloudflare бесплатен, но Free — это реальный Free, не Pro с триалом. У него есть жёсткие границы, о которых важно знать заранее.

WAF Managed Rules доступны только на Pro за $25/мес

на Free работают только базовые правила и Bot Fight Mode, сложные SQL-инъекции или XSS фильтруются хуже.

Image Optimization (Polish, Mirage)

только на Pro и выше — автоматическое сжатие картинок и lazy-loading на Free недоступны.

Page Rules на Free

только 3 правила — для сложной маршрутизации и редиректов нужно укладываться в лимит или переходить на Pro (20 правил) или Business (50).

Workers

100 000 запросов в день на всех тарифах — для API-прокси хватает, но для серьёзного продакшн-трафика нужно оптимизировать или переходить на платный план.

Cloudflare Pages

500 деплоев в месяц — лимит щедрый, но при активной разработке с ежедневными коммитами в main можно упираться, особенно в команде.

Cloudflare Access

до 50 пользователей бесплатно — для команды из 100+ человек нужен платный план.

Cloudflare

американская компания, подчиняется законам США — для проектов с жёсткими требованиями к локализации данных или санкционными ограничениями нужно проверять комплаенс.

Антипаттерны

Антипаттерны

Чего не делать

Типичные ошибки, которые ломают сайт, почту или SSL сразу после подключения.

Включать оранжевое облако для MX-записей

почта перестанет ходить, Cloudflare проксирует только HTTP/HTTPS.

Оставлять режим SSL Flexible как постоянное решение

между Cloudflare и сервером трафик идёт в открытом виде, ключи API и пароли можно перехватить.

Не проверять DNS-записи перед сменой nameservers

если пропустили MX или специфичный CNAME, после смены NS почта или поддомены отвалятся.

Ставить самоподписанный сертификат на сервер при режиме Full (Strict)

Cloudflare откажется принимать соединение и сайт вернёт 502, либо переключитесь на Full (без Strict), либо используйте Origin Certificate от Cloudflare.

Открывать SSH/FTP через оранжевое облако — Cloudflare их не проксирует, а серое облако отдаёт IP сервера всем.

Для SSH используйте Cloudflare Access.

Игнорировать кэш при обновлении контента — после публикации новой версии сайта пользователи видят старое из кэша Cloudflare.

Используйте Purge Everything или Purge by URL.

Рассчитывать на Free для продакшна с серьёзным трафиком

100 000 запросов Workers в день и 500 деплоев Pages в месяц закончатся быстро, для серьёзного прода нужны Pro или альтернативы.

hello@mysite.ru

, нужно включить маршрут в Email → Email Routing, одной MX-записи мало.

Чеклист

Чеклист

Проверка после подключения

После смены nameservers и получения email об активации пройдитесь по чеклисту — если что-то не отмечено, рабочая связка скорее всего сломается в первые дни.

Домен добавлен в Cloudflare и nameservers заменены у регистратора

статус домена в дашборде показывает Active.

Cloudflare активирован

пришёл email о выпуске SSL-сертификата.

DNS-записи проверены

A, CNAME, MX, TXT импортированы корректно.

SSL/TLS режим установлен в Full (Strict)

не Flexible.

Оранжевое облако включено для веб-записей (A, CNAME сайта) и выключено для MX.

HTTPS работает на сайте

открывается по https:// без предупреждений браузера.

Always Use HTTPS включён в SSL/TLS

Edge Certificates.

Bot Fight Mode включён в Security

Bots — базовая защита от вредоносных ботов.

Email Routing включён, если нужна почта на своём домене

письма пересылаются на Gmail.

DNSSEC включён в DNS

Settings и DS-запись добавлена у регистратора.