а еще я сегодня купил pci-e wifi и обнаружил что у меня не доступного PCI-E (закрывет видяха)

не знал, вообще задача звучит как трафик через cloudflare пропустить в istio который в aws, по умолчанию там istio создает NLB c которым вот такая проблема, можно ALB сделать вроде, но в идеале вообще не юзать aws load balancer

а какие плюшки теряются?

если не юзать, то только на хост порты отдельных машин заводить, которые отдать под gateway и выкинуть туда istio

все кроме dns)

не понимаю почему теряются, можно их все включить обернув cname в cloudflare

мы так и живём примерно

Я тут только что открыл для себя Америку

Делаю с домашней сети 200-500 днс резолвов за ~10 секунд на 8.8.8.8, после чего любой днс сервак перестает отвечать (да, любой - 1.1.1.1, 7.7.7.7, 8.8.8.8). Долго ковырялся, оказалось, если завернуть это в VPN или DNS Over HTTPS, то уже никто не банит.

Видимо, провайдер перехватывает DNS, резолвит его сам, а мне спуфит ответ от имени того же гугла. Дело в Москве. Не то, чтобы это неочевидно, но я чет удивлен

А dnssec?

Хороший вопрос. Надо потестить

это как?

С ним тоже перестает днс резолвить, если  сделать 3-4 сотни запросов

я может не понял вопроса) но втыкаешь в cloudflare nlb, включаешь проксирование и вперёд

хотя в моих замерах быстрее работало cloudflare -> alb

в случае nlb, ты прописываешь cname и значит трафик идет напрямую в aws а не через cloudflare

ты всегда прописываешь CNAME

но если делаешь вот так

то они оборачивают в себя трафик и подменяют его на A-запись

ну в смысле понятно, что по классике ты прописываешь A-запись, но если проксировать на любого вида балансеры, то вот такая схема там прям рекомендуемая