Чуть более десяти лет назад Cloudflare была запущена на TechCrunch Disrupt. В то время мы говорили о трех основных принципах, которые отличали Cloudflare от традиционных поставщиков систем безопасности: быть более безопасным, более производительным и смехотворно простым в использовании. Простота использования лежит в основе каждого решения, которое мы принимаем, и Cloudflare Tunnel не является исключением.
Вот почему мы рады объявить сегодня, что создание туннелей, для чего ранее требовалось до 14 команд в терминале, теперь можно выполнить в только что три простых шага непосредственно с панели Zero Trust.
Если вы услышали достаточно, перейдите к регистрации/командам, чтобы отключить VPN и начать строить свою частную сеть с помощью Cloudflare. Если вам интересно узнать больше о наших мотивах для этого выпуска и о том, что мы создаем дальше, продолжайте прокручивать.
Наш коннектор
Cloudflare Tunnel — это самый простой способ подключить вашу инфраструктуру к Cloudflare, будь то локальный HTTP-сервер, веб-сервисы, обслуживаемые кластером Kubernetes, или сегмент частной сети. Это подключение стало возможным благодаря нашему легкому коннектору с открытым исходным кодом, cloudflared
. Наш коннектор предлагает высокую доступность по своей конструкции, создавая четыре долговременных соединения с двумя отдельными центрами обработки данных в сети Cloudflare. Это означает, что независимо от того, отключается ли отдельное соединение, сервер или центр обработки данных, ваша сеть остается работоспособной. Пользователи также могут поддерживать избыточность в своей среде, развертывая несколько экземпляров коннектора на случай, если один хост выйдет из строя по той или иной причине.
Исторически сложилось так, что лучший способ развертывания нашего коннектора — через cloudflared
CLI. Сегодня мы рады сообщить, что запустили новое решение для удаленного создания, развертывания и управления туннелями и их конфигурацией непосредственно с панели инструментов Zero Trust. Это новое решение позволяет нашим клиентам предоставлять своим сотрудникам доступ к сети Zero Trust в 15 минут или меньше.
интерфейс командной строки? графический интерфейс? Почему не оба
Интерфейсы командной строки исключительны в том, что они делают. Они позволяют пользователям передавать команды на своей консоли или терминале и напрямую взаимодействовать с операционной системой. Эта точность предоставляет пользователям точный контроль над взаимодействием, которое они могут иметь с данной программой или службой, где эта точность требуется.
Однако они также имеют более высокую кривую обучения и могут быть менее интуитивными для новых пользователей. Это означает, что пользователям необходимо тщательно изучить инструменты, которые они хотят использовать, прежде чем опробовать их. Многие пользователи не могут позволить себе роскошь проводить исследования такого уровня, а только для того, чтобы протестировать программу и обнаружить, что она не подходит для решения их проблемы.
И наоборот, графические интерфейсы, такие как наша панель инструментов Zero Trust, могут обучать на практике. Для начала практически не требуется знаний программы. Пользователей можно интуитивно привести к желаемым результатам, и им нужно только исследовать, как и почему они выполнили определенные шаги. после они знают, что это решение подходит для их проблемы.
Когда мы впервые выпустили Cloudflare Tunnel, у него было менее десяти различных команд для начала работы. Теперь у нас есть гораздо больше, чем это, а также множество новых вариантов использования для их вызова. Это превратило то, что раньше было простой в использовании библиотекой CLI, в нечто более громоздкое для пользователей, только что открывших для себя наш продукт.
Простые опечатки привели к огромному разочарованию некоторых пользователей. Представьте, например, что пользователю необходимо объявить IP-маршруты для своего туннеля частной сети. Это может быть обременительно помнить cloudflared tunnel route ip add <IP/CIDR>
. С помощью панели инструментов Zero Trust вы можете забыть о семантике библиотеки CLI. Все, что вам нужно знать, это имя вашего туннеля и диапазон сети, к которой вы хотите подключиться через Cloudflare. Просто введите my-private-net
(или как вы хотите его назвать), скопируйте сценарий установки и введите свой сетевой диапазон. Это так просто. Если вы случайно введете неверный IP-адрес или блок CIDR, на панели управления появится удобочитаемая ошибка, которая поможет вам действовать.
Независимо от того, предпочитаете ли вы интерфейс командной строки или графический интерфейс, они в конечном итоге достигают одного и того же результата с помощью разных средств. У каждого есть достоинства, и в идеале пользователи получают лучшее из обоих миров в одном решении.

Устранение точек трения
Туннели обычно требуют локально управляемого файла конфигурации для маршрутизации запросов в соответствующие пункты назначения. Этот файл конфигурации никогда не создавался по умолчанию, но требовался почти во всех случаях использования. Это означало, что пользователям нужно было использовать командную строку для создания и заполнения файла конфигурации с использованием примеров из документации для разработчиков. Поскольку функциональность была добавлена в cloudflared
, файлы конфигурации стали громоздкими в управлении. Понимание параметров и значений, которые нужно включить, а также того, куда их включать, стало бременем для пользователей. Эти проблемы часто было трудно обнаружить невооруженным глазом, а устранение неполадок было болезненным для пользователей.
Мы также хотели улучшить концепцию разрешений туннеля в нашем последнем выпуске. Ранее пользователям требовалось управлять двумя отдельными токенами: cert.pem
и Tunnel_UUID.json
файл. Вкратце, cert.pem
выпущенный во время cloudflared tunnel login
Команда предоставила возможность создавать, удалять и перечислять туннели для своей учетной записи Cloudflare через интерфейс командной строки. Tunnel_UUID.json
выпущенный во время cloudflared tunnel create <NAME>
команда, предоставляющая возможность запуска указанного туннеля. Однако, поскольку туннели теперь можно создавать непосредственно из вашей учетной записи Cloudflare на панели инструментов Zero Trust, больше не требуется аутентификация вашего источника перед созданием туннеля. Это действие уже выполняется во время начального входа в систему Cloudflare.
В сегодняшнем выпуске пользователям больше не нужно локально управлять файлами конфигурации или токенами. Вместо этого Cloudflare будет управлять этим за вас на основе входных данных, которые вы предоставляете на панели инструментов Zero Trust. Если пользователи опечатают имя хоста или службы, они узнают об этом заранее, прежде чем пытаться запустить свой туннель, что сэкономит время и нервы. Мы также будем управлять вашими токенами для вас, и если вам понадобится обновить свои токены в какой-то момент в будущем, мы также будем чередовать токен от вашего имени.
Клиент или без клиента Zero Trust
Мы обычно называем Cloudflare Tunnel «входом» в нашу платформу Zero Trust. После подключения вы можете легко связать его с WARP, Gateway или Access, чтобы защитить свои ресурсы с помощью политик безопасности Zero Trust, чтобы каждый запрос проверялся на соответствие правилам устройства и идентификации вашей организации.
Безклиентское нулевое доверие
Пользователи могут добиться бесклиентского развертывания с нулевым доверием, объединив Cloudflare Tunnel с Access. В этой модели пользователи будут следовать потоку, изложенному на панели инструментов Zero Trust. Во-первых, пользователи называют свой туннель. Далее пользователям будет предоставлен единый сценарий установки, адаптированный к исходной операционной системе и системной архитектуре. Наконец, они создадут либо общедоступные имена хостов, либо частные сетевые маршруты для своего туннеля. Как указывалось ранее, этот шаг устраняет необходимость в файле конфигурации. Общедоступные имена хостов теперь заменяют правила входа для удаленно управляемых туннелей. Просто добавьте общедоступное имя хоста, через которое вы хотите получить доступ к своему частному ресурсу. Затем сопоставьте значение имени хоста со службой за исходным сервером. Наконец, создайте политику доступа Cloudflare, чтобы только те пользователи, которые соответствуют вашим требованиям, могли получить доступ к этому ресурсу.
Нулевое доверие на основе клиента
Кроме того, пользователи могут соединить Cloudflare Tunnel с WARP и Gateway, если они предпочитают клиентский подход Zero Trust. Здесь они будут следовать тому же алгоритму, описанному выше, но вместо создания общедоступного имени хоста они добавят частную сеть. Этот шаг заменяет cloudflared tunnel route ip add <IP/CIDR>
шаг из библиотеки CLI. Затем пользователи могут перейти в раздел Cloudflare Gateway на панели инструментов Zero Trust и создать два правила для проверки подключения к частной сети и приступить к работе.
- Имя: Разрешить <текущему пользователю> для
Политика: IP-адрес назначения вИ адрес электронной почты пользователя <Текущий адрес электронной почты пользователя>
Действие: Разрешить - Имя: Запрет по умолчанию для
Политика: IP-адрес назначения в
Действие: блокировать
Важно отметить, что при любом подходе в большинстве случаев требуется только один туннель. Туннель может рекламировать как общедоступные имена хостов, так и частные сети без конфликтов. Это помогает упростить оркестровку. На самом деле, мы предлагаем начать с наименьшего возможного количества туннелей и использовать реплики для обеспечения избыточности, а не дополнительных туннелей. Это, конечно, зависит от среды каждого пользователя, но, как правило, разумно начинать с одного туннеля и создавать дополнительные только тогда, когда есть необходимость в логическом разделении сетей или служб.
Что дальше
С тех пор, как мы запустили Cloudflare Tunnel, были созданы сотни тысяч туннелей. Это много туннелей, которые необходимо перевести на наш новый метод оркестровки. Мы хотим сделать этот процесс беспроблемным. Вот почему в настоящее время мы разрабатываем инструменты для беспрепятственного переноса конфигураций, управляемых локально, в конфигурации, управляемые Cloudflare. Это будет доступно через несколько недель.
При запуске мы также не будем поддерживать глобальные параметры конфигурации, перечисленные в нашей документации для разработчиков. Эти параметры требуют индивидуальной поддержки, и со временем мы будем добавлять эти команды постепенно. В частности, это означает, что лучший способ настроить cloudflared
уровни ведения журнала по-прежнему будут изменяться путем изменения команды запуска службы Cloudflare Tunnel и добавления --loglevel
флаг в команду запуска службы. Это станет приоритетом после выпуска мастера миграции.
Как видите, у нас есть захватывающие планы на будущее удаленного управления туннелями, и мы продолжим инвестировать в них по мере продвижения вперед. Проверьте это сегодня и разверните свой первый туннель Cloudflare с панели управления, выполнив три простых шага.