Kurzes Update zum Thema CloudFlare vs. Deutsche Telekom - wir haben gestern um ca. 15:00 Uhr HTTP/3 mit QUIC für pcgameshardware.de wieder aktiviert. Gefühlt lief das gestern abend und heute früh auch bzw. gerade über eine D1-Verbindung merklich flüssiger - möglicherweise ist das allerdings confirmation bias, da ich so etwas erwarte, da QUIC gerade den Handshake deutlich beschleunigt.
Ich möchte Euch bitten, dass Ihr Euch meldet, falls Ihr vermehrt wieder längere Hänger beim Verbindungsaufbau feststellen solltet - wenn die Route sauber funktioniert, ist QUIC nämlich schneller; wenn sie jedoch Ärger macht, ist QUIC dagegen leider empfindlicher - wir müssen also abwägen, wie wir hier weiter verfahren und immer mal wieder testen, was geht und was nicht.
Das grundsätzliche Problem, dass die beiden Parteien sich nach wie vor bzgl. direct routing zwischen CloudFlare- und DTAG-Netz nicht einigen konnten, besteht weiterhin. D.h. die Routen sind z.T. deutlich länger als sie sein müssten, so dass gerade in den Abendstunden Pakete von einem CF-Edge-Server in Frankfurt zu einem Client in Frankfurt mit T-Online- oder T-Mobile-Vertrag einen Weg über die US-Ostküste nehmen.
Dieses Routing-Problem besteht unabhängig vom verwendeten Protokoll. Da QUIC allerdings über UDP läuft, während HTTP/2 noch TCP verwendet, ist HTTP/3 mit QUIC deutlich empfindlicher gegenüber schlechteren Routen, da UDP im Gegensatz zu TCP über keine eingebauten Mechanismen gegen Packet Loss (Congestion Control, Retransmission) auf Protokollebene verfügt - da muss sich dann der Browser drum kümmern und der tut sich da mitunter schwerer, wenn das ganze erst auf Applikationsebene gehandelt werden kann.
Ich durfte mich vorgestern auf der it-sa in Nürnberg etwas länger mit einem Interconnect-Menschen von CloudFlare unterhalten: Der Streit zwischen CloudFlare und der DTAG ist nach deren Darstellung rein politisch, nicht technisch. Soviel können ein paar Border Router in Anschaffung und Betrieb sicher nicht kosten, dass man sich da jahrelang nicht einigen kann. Das Problem ist eher, dass die Telekom auf dem Standpunkt steht, dass die Erlöse, die sie über Verträge mit Mobilfunk-, DSL und Standleitungskunden einnimmt, zwar ganz nice sind, dass es aber eben für den Umsatz noch massiv viel nicer wäre, wenn zusätzlich zu Euch auch Content-Provider wie beispielsweise Netflix, Amazon oder eben auch CloudFlare monatlich Geld an die Telekom überweisen würden. Die Argumentation ist, dass Upstream und Downstream der Netze ja äußerst asymmetrisch sind, also sei das kein Peering auf Augenhöhe, bei dem beide Parteien in etwa gleichviel Traffic in beide Richtungen austauschen. Die Telekom steht daher auf dem Standpunkt, dass sich die Netzneutralität in ihrem Fall gehackt legen darf, nur wer zahlt soll vollen Zugang zu ihren Kunden bekommen.
CloudFlare auf der anderen Seite steht auf dem Standpunkt, dass sie hier keine Kompromisse eingehen können, denn wenn die Telekom ihren Willen bekommt, dann werden das auch andere große Provider - und das gegenwärtige unmetered traffic Modell wäre so nicht länger tragbar. Das hätte auch Auswirkungen auf CloudFlare-Kunden wie uns, da die Kosten sicher weitergegeben werden müssten - wir können es uns allerdings schlicht nicht leisten, Apothekenpreise für Web Application Firewall, CDN und andere Dienste zu zahlen, die wir über CloudFlare beziehen. Und wer sich evtl. noch an die großen DDOS-Wellen von ca. 2012 erinnert, die über den Zeitraum von ein paar Monaten regelmäßig unsere Seiten genuked haben, der wird verstehen, warum wir über die letzten Jahre an sich sehr happy mit CloudFlare gewesen sind - denn solche Angriffe laufen nach wie vor, in der Regel sogar mit noch sehr viel mehr Bandbreite als noch vor über zehn Jahren, das sind Kaliber, die mitunter bereits die Uplinks unseres Rechenzentrums überfordern würden, wenn sie denn nicht bereits durch CloudFlare abgefangen würden.
Laut CloudFlare-Vertreter wurde allerdings in den letzten Monaten insgesamt einiges gerade im europäischen Netz ausgebaut, so dass sich die Routing-Situation selbst bei ein paar Hops mehr deutlich besser darstellen sollte als noch vor einem Jahr. Daher wollen wir jetzt erst einmal wieder testen, ob wir das Setting wieder aktivieren können.
Viele Grüße
Markus