1. Cloudflare took down our website (robindev.substack.com)
Cloudflare 强制客户升级企业计划并导致网站宕机事件摘要
事件概述
一家拥有约400万月活用户的在线赌场公司,自2018年起一直使用 Cloudflare Business 计划(250美元/月),主要用于CDN和DDOS防护。2023年4月起,Cloudflare 通过邮件以“滥用问题”为由联系该公司,实则施压要求其升级至 Enterprise 计划。
经过详情
初次接触与施压
- Cloudflare 以“滥用问题”为由发送邮件,实为销售团队接触,要求考虑企业计划。
- 两周后再次邮件,指控该公司使用多个镜像域名可能违反服务条款(TOS),但未明确具体违规域名。
- 与所谓“信任与安全团队”的通话实为销售代表,对方开出 每月1万美元(需预付全年12万美元) 的合同,并声称这是唯一解决方案。
谈判与胁迫
- 公司尝试协商,提出无需那么多功能、希望按月支付等,均被拒绝。
- Cloudflare 给出 24小时 的签约最后通牒,后经公司高层交涉才延长一周。
- 当公司提到正与竞争对手(Fastly)接触后,Cloudflare 数小时内删除了所有域名配置,导致:
- 公共网站、客户邮件(包括支持邮件)、内部基础设施全部瘫痪。
- 仅剩的客服邮件(如工单系统)也无人回应。
- 团队被迫紧急迁移至Fastly,造成数小时至48小时不等的DNS传播延迟,持续数周影响。
Cloudflare 的回应
- 删除配置前发邮件声称“不影响现有服务”,与实际情况严重不符。
- “信任与安全团队”始终未主动联系,账户持续被锁定。
作者提出的警告与建议
关于 Cloudflare 的商业行为
- 定价不透明:企业计划价格基于公司估计的客户支付能力,而非固定标准,同类服务报价可能相差十倍。
- 销售手段强硬:会利用任何借口(如多域名使用)强迫升级至企业计划,并设下不合理期限施压。
- 支持渠道有限:低价客户难以获得非销售相关的支持回应。
技术迁移与准备建议
- 域名注册:切勿在 Cloudflare 注册域名,以免迁移时被卡脖子。
- 缓存配置:避免使用自定义缓存规则,应设置为“始终缓存”并“遵循源标头”,便于未来迁移至其他代理。
- 避免使用专有产品:尽量不使用 Cloudflare 特有功能(如 Zero Trust、Workers),优先采用兼容第三方的标准方案。
- 备份配置:务必备份所有在 Cloudflare 上的配置(DNS、邮件记录、速率限制规则等)。
- 评估必要性:考虑是否真的需要 Cloudflare。它主要防御大规模DDOS,对针对具体应用层的攻击可能效果有限,且专业攻击服务常针对 Cloudflare 用户进行绕过。
商业模式认知
- 作者认为 Cloudflare 的商业模式是二选一:要么你以低价“利用”它的服务,要么它以高价“榨取”你的价值,没有中间地带。
总结
此事件暴露了 Cloudflare 在商业操作上可能存在的胁迫性销售策略和风险。对于依赖其服务的企业,尤其是流量增长后可能面临强制升级的客户,必须提前规划技术方案的独立性与迁移准备,避免业务因服务提供商的单方面决定而陷入瘫痪。