Service – Page 2 – Gea-Suan Lin's BLOG

Cloudflare Zaraz 的新價錢

Cloudflare Zaraz 有點像是 GA4、Mixpanel 或是 Amplitude 這種產品：

Cloudflare Zaraz is a solution that developers and marketers use to load third-party tools like Google Analytics 4, Facebook CAPI, TikTok, and others.

剛剛看到 Cloudflare Zaraz 的宣佈的新價錢：「Zaraz launches new pricing」，翻資料的時候發現去年七月的時候也有宣佈過價錢，但當時看起來反彈頗大而暫緩：「Cloudflare Zaraz steps up: general availability and new pricing」。

先看一下去年七月當時宣佈的價錢，這邊用了 Zaraz Loads 這個特別的 term：

If you exceed the free Zaraz Loads allocations, you'll be charged $0.50 for every additional 1,000 Zaraz Loads, but the service will continue to function.

看起來 Zaraz Load 包括了 script loading 以及 pageview event 都各算一次：

A Zaraz Load is counted each time a web page loads the Zaraz script within it, and/or the Pageview trigger is being activated.

這樣的話 1M event 就要 US$500，隔壁棚 Mixpanel 可以在「Pricing - Mixpanel | Product Analytics」這邊試拉，同樣 1M event 只要 $140，難怪當時被幹剿到不行...

這次公佈的價錢則是又用了新的 term，叫做 Zaraz Events，這個看起來就是一般理解的 event：

One of the biggest changes we made was changing the metric we used for pricing Zaraz. One Zaraz Event is an event you’re sending to Zaraz, whether that’s a pageview, a zaraz.track event, or similar.

而價錢直接下殺到 1M event 收 US$5，跟之前的差異巨大：

With the new Zaraz pricing model, every Cloudflare account gets 1,000,000 Zaraz Events per month for free. If your account needs more than that, every additional 1,000,000 Zaraz Events are only $5 USD, with volume discounting available for Enterprise accounts.

只是不知道 Zaraz 可以做到什麼程度，「理論上」會比較陽春，但不知道夠不夠用？

Scaleway 的 RISC-V 伺服器

看到「Scaleway launches RISC-V servers (scaleway.com)」這篇，Scaleway 推出了 RISC-V 的伺服器：「Elastic Metal RV1」。

先看對消費者比較有感覺的部分，未稅 €15.99/mo 大約是 US$17.34/mo，有 16GB RAM 這點算是蠻有競爭力的，目前常見的 VPS 大約是 1:5 左右 (1GB RAM 大約要 $4/mo)，這邊直接接近到 1:1，光是這點在吃 memory 比較重的環境下就蠻吃香的。

另外從 Scaleway 的角度來看，有蠻多特別的特性，像是超省電與超高密度：

EM-RV1 servers are extremely energy-efficient, consuming between 0.96W and 1.9W per 1.8GHz core.

Incredibly dense, a 52U rack holds up to 672 EM-RV1s!

所以一台機器的 4 core 跑滿大約是 7.6W，看功耗與手機用的 ARM CPU 有點像，只是不知道 CPU 效能到底在哪個區間，等後續看看好了？

首先是在 Hacker News 的 best 頁上看到「Netlify just sent me a $104k bill for a simple static site (reddit.com)」這篇，點進去以後是 Reddit 的「Netlify just sent me a $104K bill for a simple static site」這篇，看了一下作者的敘述，是個用 Netlify 的服務，上面有個 3.44MB 的音檔被針對攻擊，造成 190TB 的流量，以及 $104K 的帳單 (十萬多美金)，之後 Netlify 的客服同意這是 DDoS 攻擊，給他 95% discount，也就是還是要付 $5K 左右...

Reddit 下面最高分的回應是：

[–]thankyoufatmember 2262 points 14 hours ago
Don't pay, post the story to Hackernews!

Okay，我想說我就是從 Hacker News 上看到點過來的... 回去看一下好了，結果在 Hacker News 的留言最上方是：

bobfunk 10 hours ago | next [–]

Netlify CEO here.

Our support team has reached out to the user from the thread to let them know they're not getting charged for this.

It's currently our policy to not shut down free sites during traffic spikes that doesn't match attack patterns, but instead forgiving any bills from legitimate mistakes after the fact.

Apologies that this didn't come through in the initial support reply.

然後我剛好在喝茶，就嗆到了...

人家常說 Ptt 的電蝦板 (PC_Shopping) 是全台灣最大的客服中心，遇到各種不公不義的問題貼上去就會解決了... 這點倒是頗像的。

找出任意 S3 bucket 對應的 AWS Account ID

在 Hacker News 上看到「How to find the AWS account ID of any S3 bucket (tracebit.com)」這篇，作者利用不同的額外條件，讓 S3 bucket 產生不同的 response，進而取得 AWS 的 Account ID。

首先是先確定 S3 bucket 在哪一區，這個部分比較簡單，即使是 denied response 也會附上 x-amz-bucket-region 這個資訊。

接下來是在對應的區域建立 VPC 以及 VPC Endpoint for S3，接著準備一台 EC2 instance 確認是否透過 VPC Endpoint for S3 存取 Amazon S3 的資料。

接下來的重點就在「Modify the VPC Endpoint policy to determine whether the account ID of the target bucket starts with "0"」這段了，建立一個 policy，限制只能存取 Account ID 是 0* 的 S3 bucket：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*",
            "Condition": {
                "StringLike": {
                    "s3:ResourceAccount": "0*"
                }
            }
        }
    ]
}

然後發 request 去要檔案，理論上在 command line 這邊都會收到 denied 的訊息，但在 CloudTrail 裡面會有兩種不同的情境，如果 CloudTrail 裡面有這筆記錄，表示 Account ID 是 0*；如果沒有的話，表示 Account ID 不是 0*：

If we find our request in CloudTrail, it means that the VPC Endpoint policy permitted the request - i.e. the Account ID of the bucket starts with 0. If we don't find the request, then the VPC Endpoint policy blocked the request - i.e. the Account ID of the bucket does not start with 0.

有了這個破口後，後續的事情就可以自動化了，平行測試以及二分搜尋法拿出來用就可以加速進行。

而 AWS 的 Account ID 雖然不是敏感資訊，但能挖出來還是頗... 有趣的？

CloudFront 端出 Embedded Points of Presence

看到 CloudFront 的產品新聞稿：「Amazon CloudFront announces availability of Embedded Points of Presence」，AWS 在 CloudFront 上端出了 Embedded Points of Presence 服務，看名字就是更彈性的 CDN PoP，不過想知道更細節的東西得去看 FAQs 的部分...

從這段可以看到應該是 AWS 的 appliance，然後放到實體機房裡面提供服務：

These embedded POPs are owned and operated by Amazon and deployed in the last mile of the ISP/MNO networks to avoid capacity bottlenecks in congested networks that connect end viewers to content sources, improving performance.

比較特別的消息是，這個不會額外收費：

Q. Is there a separate charge for using embedded POPs?
No, there is no additional charge for using CloudFront embedded POPs.

另外這個服務會是 opt-in 選擇加入，但不需要額外設定 distribution，而且 CloudFront 會針對有 opt-in 的 distribution 自動混搭：

Embedded POPs are an opt-in capability intended for the delivery of large scale cacheable traffic. Please contact your AWS sales representative to evaluate if embedded POPs are suitable for your workloads.

No, you do not need to create a new distribution specifically for embedded POPs. If your workload is eligible, CloudFront will enable embedded POPs for your existing distribution upon request.

You don't have to choose between CloudFront embedded POPs or CloudFront POPs for content delivery. Once your CloudFront distribution is enabled for embedded POPs, CloudFront's routing system dynamically utilizes both CloudFront POPs and embedded POPs to deliver content, ensuring optimal performance for end users.

下一章「Compliance」的部分有提到 embedded POPs 是不包括在 PCI DSS、HIPAA 以及 SOC 這些 compliance 的，所以也可以回頭看到在提到推薦掛上來的內容，有避開掉敏感服務，主要是以大家都會看到一樣的內容的東西為主：

Embedded POPs are custom built to deliver large scale live-streaming events, video-on-demand (VOD), and game downloads.

看起來有點像是 Netflix 的 Open Connect 或是 Google 的 GGC，讓 ISP 或是 MNO 可以放 cache service 降低對外消耗的流量。

這應該會回到老問題，ISP/MNO 當然是希望 CloudFront 花錢放機器進來，不會是 ISP/MNO 自己申請放，這不是技術問題而是商業問題...

Google Groups 脫離 Usenet 系統

先前在「Google Groups 將在 2024/02/22 斷開與 Usenet 的連接」這邊提到的，Google Groups 在 2024/02/22 會斷開與 Usenet 的 NNTP peering，日子到了...

在 Google Groups 上官方更新 banner 訊息了：

從我自己架的 News Server 上也可以從 innreport 中 incoming feed 的各個指標看到差異了：

可以再觀察幾個月看看後續的量，原先使用 Google Groups 的人會跑來 Usenet 上面嗎？或是 Usenet 就繼續萎縮下去...？

從 Backblaze 的年度報告裡看 HGST 的 4K 盤的問題

Backblaze 照慣例放出了年度報告，這次是 2023 年整年的回顧：「Backblaze Drive Stats for 2023」。

樣本數量少的跳過，這次比較特別的是可以發現 HGST 這邊 HUH721212ALN604 這顆樣本數破萬，而且 AFR 高到 3.69% 了：

他上面那顆 HUH721212ALE604 只差了一個字母 (N -> E)，AFR 只有 0.95%，這個差距有點大。

拉了 datasheet 來確認：「Data Sheet: Ultrastar DC HC520 (He12)」，可以看到兩顆的規格幾乎一模一樣，唯一的差別是：

Format: Sector size (bytes)
4Kn: 4096
512e: 512

另外可以從「How to Read the Ultrastar Model Number」這邊看到 4Kn 與 512e 的說明：

E6 = 512e SATA 6Gb/s,
N6 = 4Kn SATA 6Gb/s

文章裡面沒有看到討論到這點，但好像很值得研究一下...？

測 IPv4 NAT VPS，以及架設 HTTPS Proxy

因為 AWS 開始收 Public IPv4 address 費用的關係 (而且頗貴，參考「AWS 將開始收取 IPv4 的 Public IP 費用」)，我把其中一台主機改成只有 IPv6 address 後遇到不少問題 (在「把 AWS 上的 EC2 instance 改成 IPv6-only」這邊)。

由於有 proxy 的需求，剛好找機會玩一下 IPv4 NAT VPS... 這種 VPS 最基本的大概就是會給一個 IPv4 address 上 non-standard port 當作 SSH port，讓你可以連進去管理；另外通常會給 port forwarding 的功能，而且是固定不能換的，讓你可以開一些 port 出來用。

我的用途是 IPv6 address 的 proxy，所以要找有給固定的 IPv6 address 的，另外希望跑在日本，這樣其他用途也比較方便。

過年期間翻了一下找到 NAT VPS，有 256MB 跑個 proxy 類的應用應該還 OK，實際上是 256MB RAM + 64MB swap 的 OpenVZ 類環境，kernel 有到 5.2.0 還算堪用，上面可以選 Ubuntu 22.04 安裝。

費用的部分 US$7/year 還行，網路上是有看到 128MB RAM 的機器，但這樣連裝東西都綁手綁腳的，太容易 OOM。

(剛拿到機器的時候還試著裝 Percona Server for MySQL，結果就 OOM 跑不完 setup 的流程，看起來得自己改設定混過去，但只是想確認 256MB RAM + 64MB swap 可以弄到什麼程度，就反安裝了...)

在上面把想測的東西測試完後，實際的 proxy 設定比較簡單... 先設定一個只有 IPv6 address 的 domain 申請 Let's Encrypt 的 SSL certificate，然後掛給 Squid 用。

然後在 IPv6-only 的機器上用 curl -v --proxy https://username:password@proxy-jp.example.com:12345/ https://home.gslin.org/robots.txt 確認沒問題後就可以把服務都掛過去。

有些服務會吃環境變數 HTTP_PROXY 與 HTTPS_PROXY，有些是在設定檔內設定，基本上都是照著文件設就可以了。

我遇到的 application & library 都可以吃 HTTPS Proxy 協定，就沒什麼大問題... 如果有遇到不行的，也可以考慮在 Squid 裡面直接放行特定的 IPv6 address。

雲端的流量費用

在「Cloud Egress Costs (getdeploying.com)」這邊看到的文章，原文在「Cloud Egress Costs」這邊，主要是整理了表格出來可以快速了解不同雲端的流量費用差異，裡面不是單純 VPS 比較，而是各類的服務都拿出來比，像是 storage 類的以及 CDN 類的都有放進來...

Backblaze 的頻寬費用算法頗有趣，每個月給資料量的三倍大小當作免費頻寬，沒記錯的話因為 Cloudflare 是 Backblaze 的 partner，兩邊的傳輸費用不計費，如果資料是可以公開的，可以透過這個方式接出來；如果真的得走一般的流量輸出，收費是 US$0.01/GB (所以換算後是 US$10/TB)。

三家常被擺在一起的 VPS (Linode、DigitalOcean、Vultr) 的頻寬也都是 US$10/TB。

以前沒注意到的是 OVH Cloud 與 Scaleway 的頻寬費用居然是免費的？另外 Hetzner 雖然要收費但也很低？有機會好像該玩看看，看一下品質如何？

停止使用 Spamhaus DNSBL

剛剛看到「If you query Spamhaus Projects’ legacy DNSBLs via DigitalOcean move to the free Data Query Service」這篇，覺得愈來愈詭異了，研究了目前的情況後決定停用 Spamhaus。

現在已經愈來愈少自己架設 mail server 了，不過我自己還是留了幾個 domain 跑在自己架設的 Postfix 上面，最主要是 command line 下面用 Mutt 讀信還是蠻方便的，另外一方面是確保一個信箱是不受到大企業的管制。

如果不是拿套裝軟體直接架設的話，自己架設 mail server 會有不少東西要設定：在 MTA 這端通常會使用 DNSBL 擋掉已知會發 spam 的 IP address。

DNSBL 的原理不難，就是拿 IPv4 address 組合一個 hostname，透過 DNS 查詢就會知道這個 IPv4 address 是否在清單；換句話說，就是拿 DNS protocol 當作 API，當作資料庫查詢。

舉個例子來說，假設我要查 188.235.18.134 這個位置的情況 (從「Worst /24 blocks based on total spam count」這邊翻出來的)，這邊使用 SpamCop 的清單，我先把 IPv4 address 反過來變成 134.18.235.188，然後再加上 SpamCop 所指定的 bl.spamcop.net，變成 134.18.235.188.bl.spamcop.net，接下來查詢就可以查到：

134.18.235.188.bl.spamcop.net has address 127.0.0.2

如果是 168.95.1.1 的話，同樣方法組合成 1.1.95.168.bl.spamcop.net 可以看到沒有在 SpamCop 清單內：

Host 1.1.95.168.bl.spamcop.net not found: 3(NXDOMAIN)

這邊選擇用 DNS 的好處包括了 DNS resolver 及 DNS library 自然的 cache，不需要 Postfix 這類 MTA 再自己實作 cache 層，對於有大量信件 (無論是正常的或是 spam) 進來的時候也不會造成提供清單的服務大量的負載。

回頭來說 Spamhaus 的情況，他們公告要擋 DigitalOcean 的理由很奇怪，因為 DigitalOcean 架設了自己的 mirror 所以他們不知道使用的量，要使用者去 Spamhaus 上註冊申請後拿到一個自己的 your_DQS_key.zen.dq.spamhaus.net 使用。

有了 unique key 在 query，這樣就給了 Spamhaus 很清晰追蹤資料，加上 Privacy Policy 裡面的資訊：

We may have to share your personal data with the parties set out below for the purposes set out in the table in paragraph 4.
[...]
– Third parties to whom we may choose to sell, transfer, or merge parts of our business or our assets. Alternatively, we may seek to acquire other businesses or merge with them. If a change happens to our business, then the new owners may use your personal data in the same way as set out in this privacy notice.

這樣就知道他們想要做什麼了...

另外一方面，查資料的時候發現他們已經擋掉 Google Public DNS 以及 Cloudflare DNS：

這是我自己架設 Unbound 的查詢：

gslin@home [~] [05:09/W4] host 2.0.0.127.zen.spamhaus.org
2.0.0.127.zen.spamhaus.org has address 127.0.0.10
2.0.0.127.zen.spamhaus.org has address 127.0.0.4
2.0.0.127.zen.spamhaus.org has address 127.0.0.2

這是 Google Public DNS (8.8.8.8)：

gslin@home [~] [05:09/W4] host 2.0.0.127.zen.spamhaus.org 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 

Host 2.0.0.127.zen.spamhaus.org not found: 3(NXDOMAIN)

這是 Cloudflare DNS (1.1.1.1)：

gslin@home [~] [05:09/W4] host 2.0.0.127.zen.spamhaus.org 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases: 

2.0.0.127.zen.spamhaus.org has address 127.255.255.254

在 Spamhaus 的「Frequently Asked Questions (FAQ)」這篇裡面有提到 127.255.255.254 的回應是「Query via public/open resolver」：

127.255.255.252	Any	Typing error in DNSBL name
127.255.255.254	Any	Query via public/open resolver
127.255.255.255	Any	Excessive number of queries

所以還蠻清楚這家的東西已經不能碰了...

Category: Service

Cloudflare Zaraz 的新價錢

Scaleway 的 RISC-V 伺服器

一個害我嗆到的故事... (Netlify 帳單的故事？)

從 Backblaze 的年度報告裡看 HGST 的 4K 盤的問題

測 IPv4 NAT VPS，以及架設 HTTPS Proxy

停止使用 Spamhaus DNSBL