今天,我們宣佈推出 Zone Holds,這是一項面向企業方案客戶的新功能,讓他們可以控制其他人是否以及何時可以將同一區域新增到另一個 Cloudflare 帳戶。當公司的多個團隊想要使用 Cloudflare 時,一個團隊可能會意外地進入另一個團隊的區域,並嘗試在兩個帳戶中管理同一區域。使用 Zone Holds,除了區域帳戶所有者授予明確許可權的情況外,可以強制只有一個帳戶能夠包含給定域(可選擇包含子網域或自訂主機名稱),從而確保這種情況不會發生。
如今可能出現的問題
Cloudflare 已經要求在通過我們的全球網路代理流量之前透過 DNS 對區域進行驗證。這可確保只有網域擁有者才能授權透過 Cloudflare 傳送和控制流量。然而,我們的許多客戶都是大型組織,許多團隊都在努力保護和加速他們的 Web 資產。在這些情況下,一個團隊可能沒有意識到給定網域已受到 Cloudflare 的保護。如果他們在 Cloudflare 中啟動同一網域的第二個執行個體,他們最終會替換另一個團隊已經使用 Cloudflare 管理的原始區域。這可能會造成停機或安全問題,直到可以重新啟動原始區域為止。如果這兩個團隊相互瞭解並進行溝通,那麼在大多數情況下,可以透過多種選項之一來避免問題——子網域、自訂主機名稱等。我們如何確保這些團隊在犯這些錯誤之前意識到潛在的風險?
Zone Holds 如何保護客戶
使用 Zone Holds,任何新增被保留網域的嘗試都會傳回錯誤,讓使用者知道他們需要先聯絡網域擁有者。預設情況下,所有企業區域均啟用 Zone Holds。可以從「區域概觀」螢幕管理保留。或者,可以擴展保留以套用至子網域和自訂主機名稱。停用保留時,您可以將保留設定為在設定的時間後重新啟用。這可以確保您不會意外地使保留永久停用。讓我們深入研究一個範例,瞭解 Zone Holds 如何協助客戶。
作用中區域保留不包括保護子網域
Example Corp:在使用 Zone Holds 前
Example Corp 是 Cloudflare 的大客戶。具體來說,他們的基礎架構團隊使用 Cloudflare 來保護 example.com 上的所有流量。這包括其行銷網站 www.example.com 和面向客戶的 API api.example.com。當他們使用 Cloudflare 時,他們讓管理公司所有 DNS 的 IT 部門在註冊機構處設定 DNS 記錄,使 example.com 的所有流量都通過 Cloudflare 路由。
一年後,他們的市場部希望採用 Cloudflare 的機器人管理解決方案來處理 www.example.com 上的流量。他們註冊了 example.com,並聯絡 IT 部門在註冊機構處設定所提供的 NS 記錄。IT 部門沒有意識到 Cloudflare 已經在使用中,因此他們沒有考慮到這將影響基礎架構團隊管理的現有區域。新區域被啟動後發生了網路事件,不僅 www.example.com 的流量受到影響,api.example.com 的流量也受到了影響。如果有了 Zone Holds,這一事件就可以避免。讓我們看看是如何避免的。
Example Corp:現在採用 Zone Holds 後
Example Corp 註冊 Cloudflare 並將 example.com 新增到其帳戶中作為 ENT 區域。網域上將自動啟用 Zone Hold,這將阻止任何其他 Cloudflare 帳戶新增 example.com。他們還可以為 example.com 網域下的任何子網域或自訂主機名稱啟用保留。
後來 ACME 的行銷部門希望開始將 Cloudflare 用於 www.example.com。當他們嘗試將該網域新增到 Cloudflare 時,他們會收到一條錯誤訊息,通知他們需要聯絡網域擁有者。
ACME 的行銷部門聯絡內部並得知基礎架構團隊正在管理此網域,並且啟用此區域會導致事件!但是,兩個團隊都認為行銷團隊應該新增 www.example.com 的子網域,以便他們可以控制行銷網站。基礎架構團隊解除了對 acme.com 的子網域保留,行銷團隊將 www.example.com 新增到他們自己的帳戶中。
設定並啟用後,他們現在就可以開始利用機器人管理來保護他們的行銷網站,而且不會出現意外影響。
開始使用 Zone Holds
Zone Holds 現在可供所有企業區域使用,預設情況下在網域層級啟用。可以從任何企業區域的「區域概觀」螢幕管理 Zone Holds。或者,可以延伸保留以套用至子網域和自訂主機名稱。停用保留時,您可以將保留設定為在設定的時間後重新啟用。這可以確保您不會意外地使保留永久停用。