几个月前,我们宣布我们希望对每个人提供零信任安全,无论大小,规模或资源如何。 ARGO隧道,我们将资源直接连接到CloudFlare的安全方法是下一块拼图。
ARGO隧道通过在环境中部署轻量级连接器来创建服务和CloudFlare之间的安全出站连接。使用此模型,您的团队不需要通过防火墙中的戳孔的麻烦或验证源自CloudFlare IP的流量。
过去,ARGO隧道基于带宽消耗,作为ARGO智能路由的一部分,CloudFlare的流量加速功能。从今天开始,我们很高兴地宣布任何组织都可以使用产品的安全,唯一的唯一连接功能。您仍然可以添加付费ARGO智能路由功能以加速流量。
作为该变化的一部分(并减少混乱),我们也将产品重命名为CloudFlare隧道。要开始,今天注册。
如果您对我们这样做以及为何感兴趣,请继续滚动。
2018年,CloudFlare推出了Argo隧道,私人和CloudFlare之间的私人安全连接。传统上,从互联网属性部署的那一刻,开发人员通过访问控制列表,旋转IP地址或像GRE隧道等笨重的解决方案将其省略了一些遗注的时间和能量锁定。
使用隧道,用户可以直接从其Origin Server创建私有链接到CloudFlare,而无需公开可路由的IP地址。相反,此私有连接是通过运行轻量级守护程序,CloudFlared on Origin,它创建了一个安全的出站连接。这意味着只有通过CloudFlare路由的流量只能达到您的原点。
最初,我们建立了隧道,解决了一个直接的问题。将服务器连接到Internet是不必要的难。我们希望创建一个直接与CloudFlare建立私人连接的无摩擦方法来创建无摩擦的方法而不是实现其他遗留模型。这对我们来说特别感兴趣,因为我们也想解决许多我们自己的客户的关键痛点是什么。
自2010年以来,通过完成两个步骤,CloudFlare已在新用户中完成了两个步骤:1)添加其Internet属性和2)更改其名称服务器。第二步是重要的,因为一旦更改了您的名称服务器,对您的资源进行了请求首先点击CloudFlare的网络。然后,CloudFlare能够将其用作阻止不需要或恶意流量而不是将直接击中您的原始IP地址的攻击者的机会。这通常被称为反向代理模型。
但是如果攻击者发现该起源IP地址会发生什么?他们不能完全绕过CloudFlare吗?这就是隧道发挥作用的地方。隧道通过将唯一的连接到CloudFlare进行外向连接来保护您的来源。这将删除侦除侦探的旧式模型要求在您的机器中戳进入的规则通常会使您的基础架构易受攻击。更重要的是,您可以通过CloudFlare强制执行Zero Trust规则来实际增强您的原始安全控制,该CloudFlare将每个对您的资源验证每个请求。
有了这个,假设您正在研究新的Web应用程序的本地开发环境,并希望与朋友或协作者安全地共享更新。您将首先安装CloudFlared以将您的原点连接到CloudFlare。然后,您将使用隧道UUID创建隧道并在CloudFlare仪表板中生成主机名,以便用户可以访问您的资源并运行隧道。您还可以使用CloudFlare访问您的DNS记录的零信任策略,以便只有朋友和协作者可以查看资源。
在过去的几个月里,我们也一直致力于提高稳定和持久性。为了提高稳定性,我们删除了内部依赖项,该内部依赖项导致隧道要求我们的控制和数据平面在线,可用于隧道重新连接。
通过删除这些上游依赖项,隧道能够优雅地重新加固连接,而无需同时可用。我们还迁移到CloudFlare的边缘负载平衡器,UniMog,从分钟到几天增加给定隧道的平均寿命。当这些连接支持更长的升值并且依赖内部依赖性时,它们在全球各地的更大稳定性方面变得很好。
我们还想重点努力坚持不懈。以前,如果由于任何原因需要RULLARED需要重新启动,我们将每个重新启动作为新隧道。这意味着创建一个新的DNS记录以及与CloudFlare建立连接。
在我们最新的功能版本中,我们介绍了命名隧道的概念。使用命名隧道,用户可以使用永久名称分配隧道,然后将与隧道UUID创建直接关系。该模型允许这两个标识符成为能够实现自主重新连接的持久记录。现在在命名隧道需要重新启动的情况下,CloudFlared实例可以引用此UUID地址来重新连接,而不是从上启动开始每个重启。
在CloudFlare,我们的使命是帮助建立一个更好的互联网,我们很高兴通过为每个人开放隧道来迈向这项使命。我们迫不及待地想看看如何利用隧道的增强稳定性,持久性和零信任安全性。
通过隧道,我们已经看到了可能性与您一样具有创造性。所以,而不是告诉你如何使用隧道,这里有几个开始的方法:
开发者周开发人员Argo隧道产品新闻