Things Worth Sharing

Wildebeest: self-host Mastodon trên Cloudflare stack — federated trên Workers

KhaVan — Sun, 22 Mar 2026 00:00:00 GMT

Wildebeest = ActivityPub server tương thích Mastodon, chạy entirely trên Workers + D1 + R2 + KV. 1 Worker thay 10 service Mastodon truyền thống. $0-5/tháng vs $50-200 VPS.

VibeSDK: build AI coding platform riêng trên Cloudflare stack

KhaVan — Sun, 15 Feb 2026 00:00:00 GMT

VibeSDK = open-source vibe coding platform (v0/Bolt/Lovable clone). Workers + Workers AI + AI Gateway + Containers + R2 + D1. AI Gateway cache cắt 60% LLM cost. Self-host wins về privacy.

Remote SWE agents: autonomous coding với AWS Strands Agents

KhaVan — Mon, 12 Jan 2026 00:00:00 GMT

AWS Strands Agents + Bedrock AgentCore cho autonomous SWE agent. GitHub issue → PR. Threat model, IAM blast radius, audit. So sánh Copilot Workspace và Devin.

Migration AWS/Vercel sang Cloudflare: playbook thực tế

KhaVan — Thu, 01 Jan 2026 00:00:00 GMT

Playbook migrate production từ AWS (Lambda, DynamoDB, RDS, S3, SQS, ElastiCache) sang Cloudflare: mapping primitive, 3 chiến lược, data migration, cutover, rollback, 10 pitfall.

Cost model Cloudflare Developer Platform: tier, so sánh AWS

KhaVan — Wed, 24 Dec 2025 00:00:00 GMT

Pricing từng primitive Cloudflare (Workers, D1, KV, R2, Queues, DOs, Vectorize, Workers AI), breakpoint, so sánh AWS, 3 scenario: blog, SaaS 10k user, app 100M req/tháng.

Security cho Worker: secrets, CSP, Bot Management, Turnstile

KhaVan — Wed, 17 Dec 2025 00:00:00 GMT

Defense-in-depth cho Cloudflare Worker: WAF + Bot Management, Turnstile, Access JWT, secret management, CSP/HSTS, 4 pattern auth, validation Zod, và anti-pattern cần tránh.

Observability cho Worker: Logs, Tail Workers, Analytics

KhaVan — Tue, 09 Dec 2025 00:00:00 GMT

4 tầng observability Cloudflare: Workers Logs (retention 3 ngày), Tail Workers (realtime), Logpush (batch tới R2/SIEM), Analytics Engine. Structured logging, alert, debug prod.

Agentic Inbox: self-host email assistant trên Cloudflare stack

KhaVan — Mon, 08 Dec 2025 00:00:00 GMT

Tự host email AI assistant bằng Agentic Inbox: IMAP polling Worker, R2 attachment, Workers AI classify, D1 thread state, RBAC chống prompt injection. $5/tháng vs Superhuman $30.

Stream và Images: media pipeline ở edge, khi nào dùng product nào

KhaVan — Mon, 01 Dec 2025 00:00:00 GMT

3 cách xử lý media của Cloudflare: Stream cho video (HLS/DASH), Images cho upload-transform-deliver, Image Resizing / cf.image. Pipeline, giá, responsive, OG động.

MCP server: Cloudflare Workers vs AWS Bedrock AgentCore — chọn cái nào

KhaVan — Sun, 30 Nov 2025 00:00:00 GMT

So sánh MCP server Cloudflare (Workers + R2/D1/KV, OAuth) với AWS Bedrock AgentCore (IAM, dài-hạn). Latency, cost, auth, kịch bản dùng — và tôi chọn cái nào.

Durable Objects cho realtime: chat, collab, game state

KhaVan — Mon, 24 Nov 2025 00:00:00 GMT

Durable Object là single-writer coordination của Cloudflare: 1 roomId = 1 instance, WebSocket hibernation, storage persistent. 6 pattern, API cốt lõi, và khi nào DO là quá mức.

Vectorize + RAG: embeddings, top-K, hybrid search edge

KhaVan — Sun, 16 Nov 2025 00:00:00 GMT

Vectorize là vector DB native của Cloudflare, kết hợp Workers AI bge-m3 cho RAG trọn edge. Pipeline ingest + query, chunking, lọc metadata, hybrid search D1, reranking.

Workers AI + AI Gateway: catalog, pricing, vs Bedrock/OpenAI

KhaVan — Sat, 08 Nov 2025 00:00:00 GMT

Workers AI chạy inference trên edge GPU, AI Gateway proxy OpenAI/Anthropic/Bedrock/Google với cache + rate limit. Catalog, giá, khi nào chọn cái nào, retry/fallback production.

CI/CD với Wrangler + GitHub Actions: pipeline, smoke test

KhaVan — Sat, 01 Nov 2025 00:00:00 GMT

Pipeline 4 bước: test → build → deploy → smoke. Scoped API token, smoke test 19 assertion, concurrent lock, preview env, rollback 10 giây. Full workflow file từ blog này.

Astro, Remix, SvelteKit trên Workers: adapter và trade-off

KhaVan — Fri, 24 Oct 2025 00:00:00 GMT

3 framework full-stack trên Workers khác nhau về render, JS client, adapter và bindings. Thiết lập thực tế từng cái, SSG vs SSR vs hybrid, và vì sao blog này chọn Astro.

ORM cho D1: Drizzle, Prisma, hay raw SQL

KhaVan — Thu, 16 Oct 2025 00:00:00 GMT

3 lựa chọn: SQL thô (0KB), Drizzle (10KB, TS-first), Prisma (500KB WASM). Quy trình, pattern query phức tạp, migration, type safety, và khi nào ORM hại nhiều hơn lợi.

cloudflare/agents trên Workers + Durable Objects — production patterns

KhaVan — Wed, 15 Oct 2025 00:00:00 GMT

Cloudflare Agents framework dùng Durable Objects cho long-running state. Hibernation, tool calling, multi-agent WebSocket, schedule(). Cost ~$0.04/agent/tháng.

Router cho Workers: vanilla, Itty, hay Hono

KhaVan — Wed, 08 Oct 2025 00:00:00 GMT

3 lựa chọn: vanilla fetch (0 bundle), Itty (3KB), Hono (13KB). Cú pháp, chuỗi middleware, validate Zod, khi nào chọn cái nào, và vì sao blog này dùng vanilla dù có 40 route.

Queues và Durable Objects: async messaging và single-writer state

KhaVan — Wed, 01 Oct 2025 00:00:00 GMT

2 primitive khó nhất khi Worker cần state. Queues cho fire-and-forget job với retry và DLQ. Durable Objects cho single-writer coordination. Khi nào dùng cái nào, pattern và gotcha.

R2 object storage: S3-compat, egress free, và 4 access pattern

KhaVan — Tue, 23 Sep 2025 00:00:00 GMT

R2 là object storage S3-compatible của Cloudflare, không phí egress. So sánh R2 vs S3, 4 pattern phục vụ object, migration từ S3, gotcha về consistency, metadata, lifecycle.

D1 trong production: primary-replica, batch, và 7 gotcha

KhaVan — Mon, 15 Sep 2025 00:00:00 GMT

D1 là SQLite ở edge với primary region và read replica: kiến trúc, 5 query method, Sessions API cho read replica, prepared statement cache, migration, và 7 gotcha production.

AWS Well-Architected custom lens: build riêng cho cloud security ở scale

KhaVan — Mon, 08 Sep 2025 00:00:00 GMT

Custom lens AWS Well-Architected: thêm pillar riêng cho org, JSON schema, deploy CloudFormation, attach workload. Use case Vietnam compliance Circular 09, Decree 53.

KV deep-dive: cache toàn cầu, eventual consistency, vs D1

KhaVan — Mon, 08 Sep 2025 00:00:00 GMT

Cloudflare KV là eventually-consistent KV store với cache tại từng PoP. Consistency model thực tế, giới hạn, 5 pattern đúng, 3 anti-pattern phổ biến, và gotcha thực tế.

Wrangler và Miniflare dev loop: từ init tới deploy trong 30 phút

KhaVan — Sun, 31 Aug 2025 00:00:00 GMT

Dev loop thực tế của Workers: wrangler init, dev local với Miniflare, vitest, D1 migration, secret, triển khai 300+ PoP trong 30 giây. Vòng đời từ file trống đến production.

Mental model 3 tầng binding: Request, Identity, Storage

KhaVan — Tue, 19 Aug 2025 00:00:00 GMT

Khung tư duy chung cho mọi Worker: Request là cửa vào, Identity là ai đang gọi, Storage là đọc ghi đâu. Áp dụng vào Worker đang chạy blog này và cách chọn storage primitive đúng.

Workers runtime mental model: lifecycle, context, limit

KhaVan — Sat, 16 Aug 2025 00:00:00 GMT

fetch handler, ExecutionContext, waitUntil, giới hạn subrequest, CPU vs wall time, cold start thực tế. 6 ngộ nhận khi dev từ Node/Lambda sang Workers. Code mẫu từ blog này.

eBPF metrics cho production — Cloudflare's ebpf_exporter pattern

KhaVan — Fri, 15 Aug 2025 00:00:00 GMT

ebpf_exporter expose kernel metrics qua Prometheus, không cần sidecar. So sánh CloudWatch agent và Datadog kernel module. Pattern Cloudflare dùng cho hàng ngàn host.

Cloudflare developer platform là gì, và vì sao khác Lambda

KhaVan — Fri, 08 Aug 2025 00:00:00 GMT

Cloudflare không còn chỉ là CDN. Workers, D1, R2, KV, Queues, DOs, Workers AI, Vectorize tạo thành nền tảng edge-native. Mental model đầu tiên, so sánh với Lambda.

AWS Security Services Best Practices: đọc cuốn cẩm nang mới

KhaVan — Thu, 31 Jul 2025 00:00:00 GMT

AWS vừa publish best-practices guide cho 10 dịch vụ bảo mật (GuardDuty, Security Hub, Macie, Inspector, WAF, Network Firewall). Cấu trúc guide và lộ trình triển khai thực tế.

AWS Security Maturity Model v2: 4 phase áp dụng thực tế

KhaVan — Sun, 27 Jul 2025 00:00:00 GMT

AWS Security Maturity Model v2: 74 kiểm soát chia 4 giai đoạn (Quick Wins, Foundational, Efficient, Optimized), thứ tự nên làm, bẫy thường gặp, ánh xạ vào Organization.

Bedrock từ Workers qua OIDC federation — case study production

KhaVan — Tue, 22 Jul 2025 00:00:00 GMT

Worker mint RS256 JWT → STS AssumeRoleWithWebIdentity → Bedrock Claude Opus. Số liệu thực: token 5ms, STS 200ms, Bedrock 2-3s, cached 50ms.

AWS SMM Assessment Tool: đánh giá posture trong một chiều

KhaVan — Sun, 20 Jul 2025 00:00:00 GMT

Ghi chú dùng AWS Security Maturity Model Assessment Tool đánh giá posture theo 4 giai đoạn (Quick Wins, Foundational, Efficient, Optimized): kiến trúc, quy trình, JSON/Excel.

Email Security: chặn phishing, BEC, và bài toán DMARC forwarder

KhaVan — Tue, 08 Jul 2025 00:00:00 GMT

Email Security deep-dive cho Cloudflare One: MX inline vs API journaling, bẫy DMARC forwarder/subdomain docs không nói, FP homoglyph, user report → retract < 1h tự động.

DLP: pattern, classification và 55% false positive

KhaVan — Mon, 30 Jun 2025 00:00:00 GMT

DLP đào sâu cho Cloudflare One: tinh chỉnh từ 55% FP về 3%, regex vs Luhn vs context vs EDM, profile CCCD Việt Nam, Gateway HTTP inline vs CASB API.

CASB: posture và misconfig SaaS (GWorkspace, M365, SF)

KhaVan — Mon, 23 Jun 2025 00:00:00 GMT

CASB deep-dive cho Cloudflare One từ 3 lần triển khai: 4 trụ cột Gartner, inline vs API, phản ứng 8000 finding tuần đầu, shadow IT discovery, tenant lock, khi nào KHÔNG dùng CASB.

Browser Isolation (RBI): render risky web trong sandbox remote

KhaVan — Thu, 19 Jun 2025 00:00:00 GMT

Browser Isolation deep-dive cho Cloudflare One: kiến trúc remote browser (NVR), kích hoạt isolation, kiểm soát dữ liệu (copy/paste/print/download/keyboard), compliance, chi phí.

Device posture và continuous verification mọi request

KhaVan — Sat, 07 Jun 2025 00:00:00 GMT

Device posture đào sâu cho Zero Trust: WARP check (OS, mã hóa ổ đĩa, firewall), EDR (CrowdStrike, SentinelOne, Defender), continuous verification trong Access policy, truy nguyên.

hardeneks: EKS security checks ở CI vs sau-deploy

KhaVan — Wed, 04 Jun 2025 00:00:00 GMT

hardeneks là Python CLI chạy 100+ EKS best-practice check. Lý do tôi chạy ở PR thay vì weekly cron, so sánh kube-bench/kube-hunter, finding thực tế.

DEX: Digital Experience Monitoring và proactive SLO

KhaVan — Fri, 30 May 2025 00:00:00 GMT

DEX đào sâu cho Cloudflare One: khi control plane UP mà người dùng thấy chậm, chẩn đoán từng chặng (DNS/TCP/TLS/TTFB), SLO framework, 5 chế độ hỏng DEX không thấy.

Logs pipeline: Logpush, R2, SIEM và cross-layer correlation

KhaVan — Fri, 23 May 2025 00:00:00 GMT

Logs deep-dive cho Cloudflare One: các dataset, Logpush (R2/S3/Splunk/Sentinel), tương quan đa tầng, retention hot/warm/cold, kiểm soát chi phí, rule phát hiện SIEM mẫu.

Cloudflare Access vs AWS IAM Identity Center cho team admin

KhaVan — Thu, 15 May 2025 00:00:00 GMT

Đừng cố unify Cloudflare Access và AWS IAM Identity Center. Pattern thực dụng: Okta/Entra → SSO cả hai, SCIM provisioning, per-app policy, audit correlation.

Network policy L4: chặn non-HTTP, DoH bypass và app rule

KhaVan — Thu, 15 May 2025 00:00:00 GMT

Network policy deep-dive: chặn non-HTTP (SSH, RDP, SMTP), chặn DoH bypass DNS filter, app rule cho SaaS, kết hợp WARP, checklist production và playbook siết chặt.

Gateway HTTP filtering và TLS decryption: khi DNS không đủ

KhaVan — Sun, 11 May 2025 00:00:00 GMT

HTTP inspection deep-dive: cài root CA (MDM, GPO), cạm bẫy cert pinning, mẫu DLP, tenant CASB, lan can pháp lý/quyền riêng tư, playbook triển khai, checklist production.

Gateway DNS filtering: lớp đầu tiên của Secure Web Gateway

KhaVan — Wed, 30 Apr 2025 00:00:00 GMT

Gateway DNS deep-dive: kiến trúc resolver, thứ tự policy, DoH per-device vs DNS location per-site, threat intel category, custom list, log SIEM, checklist production.

Magic WAN: kết nối site và cloud qua Cloudflare backbone

KhaVan — Sat, 26 Apr 2025 00:00:00 GMT

Magic WAN deep-dive: tunnel network-layer thay SD-WAN/MPLS. 4 tuỳ chọn tunnel (IPsec, GRE, Anycast IP, CNI), BGP peering, multi-cloud, Magic Firewall, playbook chuyển đổi.

AWS KMS Key Policies: hiểu đúng để không mất quyền truy cập

KhaVan — Fri, 18 Apr 2025 00:00:00 GMT

Cơ chế evaluation của KMS key policy, cross-account access, condition keys, grants, key rotation, production patterns. Kèm JSON policy examples và checklist cho production.

GuardDuty auto-remediation: cô lập EC2 và thu hồi IAM

KhaVan — Mon, 14 Apr 2025 00:00:00 GMT

Pipeline tự động phản ứng sự cố bảo mật với GuardDuty, EventBridge và Lambda: cô lập instance, snapshot forensic, thu hồi credentials, mở rộng multi-account với Organizations.

WARP client và device enrollment flow

KhaVan — Thu, 10 Apr 2025 00:00:00 GMT

Kiến trúc WARP, enrollment, device posture (built-in vs CrowdStrike/Intune), split tunnel 2 chế độ, Local Domain Fallback, DNS, triển khai MDM, truy nguyên 6 trường hợp.

lol-html: streaming HTML rewriter trên Workers — 3 production patterns

KhaVan — Wed, 09 Apr 2025 00:00:00 GMT

CSS-selector streaming HTML rewriter trên Cloudflare Workers. 3 pattern production: CSP nonce per request, rewrite analytics URL, A/B variant inject.

Cloudflare Tunnel deep-dive: đưa internal service ra ngoài

KhaVan — Sun, 30 Mar 2025 00:00:00 GMT

Kiến trúc daemon cloudflared, ingress rules, HA replicas, protocol non-HTTP (SSH/RDP/SMB), chuyển từ VPN, truy nguyên 6 trường hợp. Tunnel là nền tảng kết nối cho Zero Trust.

SCIM và group sync: tự động off-board khi nhân viên nghỉ

KhaVan — Sat, 22 Mar 2025 00:00:00 GMT

SCIM giải quyết cửa sổ lỗi thời: IdP đẩy cập nhật thời gian thực thay vì CF kéo claim khi đăng nhập. Thiết lập SCIM cho Okta/Entra/Google, vòng đời người dùng, xung đột.

Flan: vulnerability scanner Cloudflare dùng trong production

KhaVan — Wed, 12 Mar 2025 00:00:00 GMT

Flan wrap nmap NSE + Vulners API trong Docker, xuất HTML/JSON. Vì sao Cloudflare tự host thay vì mua Tenable/Qualys, và cách integrate vào CI gate CVE.

Service tokens và mTLS: authentication cho CI/CD, bot, device

KhaVan — Tue, 11 Mar 2025 00:00:00 GMT

Khi client không phải người dùng. Phân biệt service token vs mTLS, cách thiết lập cả hai, chiến lược rotate, audit log, và anti-pattern phổ biến.

Integrate IdP: Okta, Entra ID, Google Workspace, SAML generic

KhaVan — Fri, 07 Mar 2025 00:00:00 GMT

Ma trận 4 IdP phổ biến với Cloudflare Access: OIDC vs SAML, cạm bẫy group claim, claim mapping, group sync timing, pattern multi-IdP, checklist trước production.

AWS Secrets Manager vs Cloudflare Secrets Store: khi nào dùng cái nào

KhaVan — Fri, 28 Feb 2025 00:00:00 GMT

AWS Secrets Manager $0.40/secret/mo + auto-rotation Lambda vs Cloudflare Secrets Store free trên Workers Paid. Khi nào chọn cái nào, replication pattern.

Cloudflare Access: ZTNA cơ bản trong 30 phút

KhaVan — Sun, 23 Feb 2025 00:00:00 GMT

Thay VPN cho ứng dụng nội bộ bằng Cloudflare Access: giải phẫu, luồng đăng nhập, 5 bước thiết lập (app, IdP, policy, Tunnel, test), thứ tự đánh giá policy, truy nguyên.

Đọc lại roadmap.sh Cyber Security 2026: góc nhìn cloud sec

KhaVan — Wed, 19 Feb 2025 00:00:00 GMT

roadmap.sh chia con đường cyber security thành 6 khối kỹ năng. Đọc lại đối chiếu với cloud security và Zero Trust, chỗ đúng, chỗ đã cũ, và thứ tự học nếu bắt đầu lại hôm nay.

Mental model 4 tầng: Client, Identity, Policy, Resource

KhaVan — Sat, 15 Feb 2025 00:00:00 GMT

Khung tư duy cho mọi tính năng Cloudflare One: mỗi request đi qua 4 tầng sinh tín hiệu, policy đánh giá rồi đi tới 1 trong 5 kết quả. Triển khai và truy nguyên dễ hơn nhiều.

Code review: thực hành tốt — từ roadmap.sh đến thực tế đi làm

KhaVan — Wed, 12 Feb 2025 00:00:00 GMT

roadmap.sh có trang tổng hợp thực hành code review. Mở rộng thành sổ tay: 4 trục (tác giả, reviewer, quy trình, công cụ), ví dụ, chỉ số đo, và lỗi hay gặp ở đội vừa và nhỏ.

Pingora vs AWS ALB/NLB — khi nào self-host reverse proxy thắng

KhaVan — Tue, 04 Feb 2025 00:00:00 GMT

Pingora xử lý 40M+ req/sec ở Cloudflare. Khi nào self-host bằng pingora-core/pingora-proxy thắng AWS ALB $20/tháng + LCU và NLB managed.

SASE, SSE, Zero Trust, ZTNA: phân biệt thuật ngữ trước khi sa lầy

KhaVan — Tue, 04 Feb 2025 00:00:00 GMT

Ba thuật ngữ dễ dùng lẫn lộn trong RFP, design doc và tiếp thị. Phân biệt phạm vi, thời điểm xuất hiện, cách dùng đúng, và decision tree nhỏ để chọn đúng từ trong từng ngữ cảnh.

Workload Identity Federation AWS sang GCP: keyless auth

KhaVan — Mon, 27 Jan 2025 00:00:00 GMT

Workload Identity Federation deep dive: vì sao Service Account Key là anti-pattern, luồng token AWS STS → Google STS, attribute mapping, impersonation, threat model, Terraform.

Xin chào, Things Worth Sharing

KhaVan — Thu, 16 Jan 2025 00:00:00 GMT

Một góc nhỏ trên internet để ghi lại những ý tưởng, bài học và điều thú vị đáng chia sẻ.

Cloudflare One là gì, và vì sao SASE quan trọng

KhaVan — Sat, 04 Jan 2025 00:00:00 GMT

Một tổng quan thực dụng về Cloudflare One: SASE, SSE, Zero Trust, 6 nhóm sản phẩm chính, cách so sánh với Zscaler/Netskope, và mô hình tư duy cần có trước khi triển khai.

AWS IAM Access Key rotation: Lambda + Secrets Manager

KhaVan — Tue, 31 Dec 2024 00:00:00 GMT

Một giải pháp AWS-native để rotate, disable và delete IAM access key theo chính sách: đi sâu vào kiến trúc nhiều account, đánh đổi và vận hành thực tế.

Chạy CSPM trên hơn chục AWS Landing Zone

KhaVan — Fri, 20 Dec 2024 00:00:00 GMT

Cách mình thiết kế CSPM engine nội bộ quét song song nhiều AWS Landing Zone bằng Prowler, lưu finding vào D1, artifact vào R2, dashboard duy nhất cho Security Operations.

Chuyển blog tĩnh từ Cloudflare Pages sang Workers Assets

KhaVan — Mon, 16 Dec 2024 00:00:00 GMT

Vì sao tôi chuyển blog từ Pages sang Workers Assets, những đánh đổi thực tế, và vài cấu hình nhỏ nên biết trước khi triển khai.

Ghi chép sau 3 tháng triển khai Zero Trust

KhaVan — Wed, 04 Dec 2024 00:00:00 GMT

Những điều thực sự hiệu quả, những thứ không như kỳ vọng, và các bài học vận hành khi triển khai Cloudflare Zero Trust cho tổ chức quy mô hàng ngàn người dùng.

Năm lưu ý về schema D1 mình rút ra từ những bài học đau thương

KhaVan — Sat, 30 Nov 2024 00:00:00 GMT

Composite primary key, khi nào vẫn cần FTS, vì sao không nên index theo cảm tính, và vì sao row count ở edge quan trọng hơn bạn nghĩ.

cloudflared internals — build from source, ingress patterns, debugging

KhaVan — Sat, 23 Nov 2024 00:00:00 GMT

Build cloudflared từ Go source, ingress.yaml advanced patterns (path routing, HTTP/2, origin cert), tunnel info JSON cho monitoring, top 5 debug technique.

Boringtun: WireGuard userspace cho WARP — tại sao nhanh hơn corporate VPN

KhaVan — Tue, 19 Nov 2024 00:00:00 GMT

Boringtun Rust userspace WireGuard, kiến trúc bên trong WARP client, vì sao userspace WG thắng kernel module ở mobile/edge, MASQUE evolution.

CFSSL trong production — Cloudflare's PKI toolkit cho internal CA

KhaVan — Fri, 15 Nov 2024 00:00:00 GMT

Tự host internal CA bằng CFSSL: cfssl init, intermediate CA, OCSP responder, multirootca, CI short-lived certs. So sánh AWS Private CA $400/tháng.