オリジン構成
オリジン構成パラメータは、cloudflaredがオリジンサーバーにトラフィックをプロキシする方法を決定します。これらの設定は、リモート管理されたトンネルのためにダッシュボードで設定するか、ローカル管理されたトンネルのために構成ファイルに追加できます。
| Default | UI name |
|---|---|
"" | オリジンサーバー名 |
cloudflaredがオリジンサーバー証明書から期待するホスト名。nullの場合、期待されるホスト名はサービスのURLで、例えばサービスがhttps://localhost:443の場合はlocalhostです。
| Default | UI name |
|---|---|
"" | 証明書認証局プール |
オリジンの証明書のための証明書認証局(CA)へのパス。このオプションは、証明書がCloudflareによって署名されていない場合のみ使用する必要があります。
| Default | UI name |
|---|---|
false | TLS検証なし |
falseの場合、オリジンから提示された証明書に対してTLS検証が行われます。
trueの場合、TLS検証が無効になります。これにより、オリジンからの任意の証明書が受け入れられます。
| Default | UI name |
|---|---|
10s | TLSタイムアウト |
HTTPSサーバーに接続するためのTLSハンドシェイクを完了するためのタイムアウト。
| Default | UI name |
|---|---|
false | HTTP2接続 |
falseの場合、cloudflaredはHTTP/1.1でオリジンに接続します。
trueの場合、cloudflaredはHTTP/1.1の代わりにHTTP/2.0を使用してオリジンサーバーに接続しようとします。HTTP/2.0は高トラフィックのオリジンに対してより高速なプロトコルですが、オリジンにSSL証明書をデプロイする必要があります。この設定は、自己署名証明書を使用できるようにするためにnoTLSVerifyと併用することをお勧めします。
| Default | UI name |
|---|---|
"" | HTTPホストヘッダー |
ローカルサービスに送信されるリクエストのHTTP Hostヘッダーを設定します。
| Default | UI name |
|---|---|
false | チャンクエンコーディング無効 |
falseの場合、cloudflaredはHTTP/1.1でデータを転送する際にチャンク転送エンコーディングを行います。
trueの場合、チャンク転送エンコーディングが無効になります。これは、Webサーバーゲートウェイインターフェース(WSGI)サーバーを実行している場合に便利です。
| Default | UI name |
|---|---|
30s | 接続タイムアウト |
オリジンサーバーへの新しいTCP接続を確立するためのタイムアウト。これは、tlsTimeoutによって制御されるTLSを確立するためにかかる時間を除外します。
| Default | UI name |
|---|---|
false | ハッピーアイボールなし |
falseの場合、cloudflaredはローカルネットワークがプロトコルの一方を誤って構成している場合にIPv4/IPv6フォールバックのためにハッピーアイボールアルゴリズムを使用します。
trueの場合、ハッピーアイボールが無効になります。
| Default | UI name |
|---|---|
"" | プロキシタイプ |
cloudflaredは、SSHやRDPなどのTCPにHTTPトラフィックを変換するためにプロキシサーバーを起動します。
これにより、どのタイプのプロキシが起動されるかを構成します。有効なオプションは次のとおりです:
""は通常のプロキシ"socks"はSOCKS5プロキシ。詳細については、kubectlを使用してCloudflare Accessを介して接続するためのチュートリアルを参照してください。
| Default | UI name |
|---|---|
127.0.0.1 | — |
cloudflaredは、SSHやRDPなどのTCPにHTTPトラフィックを変換するためにプロキシサーバーを起動します。
これにより、そのプロキシのリッスンアドレスが構成されます。
| Default | UI name |
|---|---|
0 | — |
cloudflaredは、SSHやRDPなどのTCPにHTTPトラフィックを変換するためにプロキシサーバーを起動します。
これにより、そのプロキシのリッスンポートが構成されます。ゼロに設定すると、未使用のポートがランダムに選択されます。
| Default | UI name |
|---|---|
1m30s | アイドル接続の有効期限 |
アイドル状態のキープアライブ接続が破棄されるまでのタイムアウト。
| Default | UI name |
|---|---|
100 | キープアライブ接続数 |
デフォルト: 100
Cloudflareとオリジン間のアイドルキープアライブ接続の最大数。これは、同時接続の総数を制限するものではありません。
| Default | UI name |
|---|---|
30s | TCPキープアライブ間隔 |
デフォルト: 30s
Cloudflareとオリジンサーバー間の接続でTCPキープアライブパケットが送信されるまでのタイムアウト。
| Default | UI name |
|---|---|
"" | アクセスで保護する |
cloudflaredがトラフィックをオリジンにプロキシする前に、Cloudflare Access JWTを検証することを要求します。このチェックは、Accessアプリケーションによって保護されたパブリックホスト名ルートに対して強制できます。これらのホスト名へのすべてのL7リクエストに対して、AccessはJWTをcloudflaredにCf-Access-Jwt-Assertionリクエストヘッダーとして送信します。
このセキュリティ制御を構成ファイルで有効にするには、AUDタグを取得し、次のルールをoriginRequestに追加します:
access: required: true teamName: <your-team-name> audTag: - aud1 <Access-application-audience-tag> - aud2 <Optional-additional-tags>