任意のTCP
Cloudflare Accessは、エンドユーザーがシングルサインオン(SSO)プロバイダーで認証し、仮想プライベートネットワーク(VPN)に接続せずに任意のTCPリソースに接続するためのメカニズムを提供します。
- Cloudflareアカウント
- Cloudflareでアクティブなサイト
- ホストおよびクライアントマシンにインストールされた
cloudflaredデーモン
Cloudflare Accessを使用するには、まずサイトを追加 ↗する必要があります。登録済みの任意のサイトを使用できます。サイトは顧客トラフィックに使用するものと同じである必要はなく、内部DNSのサイトと一致する必要もありません。
サイトをCloudflareに追加するには、ドメインの権威DNSをCloudflareのネームサーバーを指すように変更する必要があります。設定が完了すると、そのホスト名へのすべてのリクエストは最初にCloudflareのネットワークに送信され、そこでAccessポリシーが適用されます。
Cloudflareデーモンcloudflaredは、マシンからCloudflareへの安全で持続的なアウトバウンド接続を維持します。任意のTCPトラフィックは、この接続を介してCloudflare Tunnel ↗を使用してプロキシされます。
リソースをホストしているマシンにcloudflaredをダウンロードしてインストールするには、これらの手順に従ってください。
次のコマンドを実行して、cloudflaredをCloudflareアカウントに認証します。
cloudflared tunnel logincloudflaredはブラウザウィンドウを開き、Cloudflareアカウントにログインするように促します。ブラウザがないマシンで作業している場合や、ブラウザウィンドウが開かない場合は、コマンドライン出力からURLをコピーし、任意のマシンのブラウザでそのURLを訪問できます。
ログインすると、Cloudflareはアカウントに追加したサイトを表示します。リソースを表すサブドメインを作成するサイトを選択します。たとえば、tcp.site.comでサービスを共有する予定の場合は、リストからsite.comを選択します。
選択すると、cloudflaredはサイトのワイルドカード証明書をダウンロードします。この証明書により、cloudflaredはサイトのサブドメインのDNSレコードを作成できます。
次に、登録する予定のサブドメインをCloudflare Accessポリシーで保護します。リソースに接続できるユーザーを制御する新しいポリシーを作成するには、これらの手順に従ってください。
たとえば、tcp.site.comでリソースを共有する場合、チームメンバーのみがそのサブドメインに接続できるようにポリシーを構築します。
cloudflaredは、非標準ポートへの接続をプロキシできます。
次のコマンドを実行して、リソースをCloudflareに接続します。tcp.site.comと7870の値をあなたのサイトとポートに置き換えてください。
cloudflared tunnel --hostname tcp.site.com --url tcp://localhost:7870cloudflaredは接続が確立されたことを確認します。このプロセスは生存し続け、自動的に開始されるように構成する必要があります。プロセスが終了すると、エンドユーザーは接続できなくなります。
上記の手順に従って、リソースに接続するクライアントデスクトップにcloudflaredをダウンロードしてインストールします。接続する各ユーザーデバイスにcloudflaredをインストールする必要があります。
次のコマンドを実行して、デバイスからCloudflareへの接続を作成します。任意の利用可能なポートを指定できます。
cloudflared access tcp --hostname tcp.site.com --url localhost:9210このコマンドはデスクトップショートカットとしてラップすることができ、エンドユーザーはコマンドラインを使用する必要がありません。
クライアントアプリケーションを選択したポートにポイントします。
クライアントが起動すると、cloudflaredはブラウザウィンドウを開き、ユーザーにSSOプロバイダーで認証するように促します。
一般的な問題
- マシンのファイアウォールがポート80および443の出口を許可していることを確認してください。そうしないと、
cloudflaredはエラーを返します。