Aller au contenu principal

Cloudflare

Statut

Document de cadrage DevOps — version initiale.

Rôle

Cloudflare est stratégique pour l'écosystème DMV, principalement comme couche d'entrée réseau et sécurité.

Il peut contribuer à DNS, proxy, TLS, cache, protection, Pages, Workers et éventuellement gateway pour certains usages futurs.

État actuel visible

Le workspace ne contient pas de fichier wrangler ou de configuration Cloudflare dédiée visible hors documentation.

Le frontend public contient une dépendance @marsidev/react-turnstile, ce qui indique un usage possible de Cloudflare Turnstile côté interface publique.

La documentation sécurité mentionne Cloudflare comme couche utilisée ou prévue. La configuration production effective reste à confirmer.

Usages cibles

UsageRôle
DNSCentraliser la gestion des domaines et sous-domaines.
ProxyMasquer l'origine et absorber une partie du trafic.
TLSFournir HTTPS et renouvellement simplifié côté edge.
CacheAccélérer assets et contenus publics.
WAFFiltrer requêtes suspectes et protéger routes sensibles.
PagesDéploiement possible de frontends statiques si retenu.
WorkersAutomatisations edge ciblées, sans logique métier sensible.
TurnstileProtection anti-abus sur formulaires publics.

Politique de cache

Le cache doit rester prudent.

Peuvent être cacheables :

  • assets statiques ;
  • images publiques ;
  • pages publiques explicitement non personnalisées ;
  • contenus publics peu sensibles.

Ne doivent pas être cacheés sans règle stricte :

  • réponses authentifiées ;
  • backoffice ;
  • données utilisateur ;
  • endpoints de paiement ;
  • webhooks ;
  • réponses IA personnalisées ;
  • espaces mairie, AssoSuite ou administration privés.

IA et Cloudflare

Cloudflare peut devenir une brique d'infrastructure pour une gateway, du filtrage ou des Workers.

Cela relève de la vision cible. La logique IA métier doit rester centralisée côté backend ou AI Gateway, sans accès direct non contrôlé aux données.

Principes

  • Cloudflare complète Laravel et Nginx, il ne les remplace pas.
  • Les règles critiques doivent exister aussi côté backend.
  • Toute règle WAF doit être testée pour éviter les faux positifs.
  • Les changements DNS doivent être tracés.
  • Les webhooks Stripe doivent rester compatibles avec la validation de signature.

Points à clarifier

  • Zones Cloudflare réellement actives.
  • Plan Cloudflare utilisé.
  • Règles WAF et cache en production.
  • Usage de Cloudflare Pages ou Workers.
  • Politique Turnstile.
  • Procédure de désactivation temporaire en cas d'incident.