コンテンツにスキップ

Cloudflare Tunnelとネットワークポリシーを使用してMySQLデータベースにアクセスし、セキュリティを確保する

Last reviewed: 7 months ago

Cloudflare Tunnelのプライベートネットワークを使用することで、ユーザーはデータベースのような任意の非ブラウザベースのTCP/UDPアプリケーションに接続できます。WARPクライアントを使用して、これらのアプリケーションにアクセスできるユーザーや内容を定義するゼロトラスト制御を実装するネットワークポリシーを設定できます。

このチュートリアルの終わりまでに、ネットワークポリシーを通過したユーザーは、TCPポート3306でCloudflare Tunnelを介して利用可能なリモートMySQLデータベースにアクセスできるようになります。

始める前に

以下を確認してください:

  • リモート接続をリッスンし、リモートで接続できるユーザーが設定されたMySQLデータベース
  • (オプション)アカウントで有効になっているリゾルバポリシー

Cloudflare Tunnelを作成する

プライベートネットワーク内のサーバーにcloudflaredをインストールします。このサーバーはMySQLデータベースに接続できる必要があります。

  1. Log in to Zero Trust and go to Networks > Tunnels.

  2. Select Create a tunnel.

  3. Choose Cloudflared for the connector type and select Next.

  4. Enter a name for your tunnel. We suggest choosing a name that reflects the type of resources you want to connect through this tunnel (for example, enterprise-VPC-01).

  5. Select Save tunnel.

  6. Next, you will need to install cloudflared and run it. To do so, check that the environment under Choose an environment reflects the operating system on your machine, then copy the command in the box below and paste it into a terminal window. Run the command.

  7. Once the command has finished running, your connector will appear in Zero Trust.

    Connector appearing in the UI after cloudflared has run

  8. Select Next.

プライベートネットワークルートを追加する

  1. プライベートネットワークタブで、以下のIPアドレスを追加します:
  • MySQLサーバーのプライベートIP/CIDR(例:10.128.0.175/32
  • (オプション)内部DNSサーバーのプライベートIP/CIDR
  1. トンネルを保存を選択します。

アプリケーションと(オプションの)DNSサーバーは、Cloudflareに接続されました。

ゲートウェイネットワークポリシーを作成する

  1. ゲートウェイ > ファイアウォールポリシー > ネットワークに移動します。
  2. MySQLデータベースのプライベートIPアドレスとポート(デフォルトでポート3306)をターゲットにするネットワークポリシーを追加します。以下の例では、@example.comのメールアドレスを使用してWARPに登録したユーザーにデータベースへのアクセスを許可します。ネットワークポリシーは、デバイスポスチャーチェックも考慮できます。
セレクター演算子論理アクション
宛先IPin10.128.0.175AndAllow
宛先ポートin3306And
ユーザーのメール正規表現に一致.*example.com

上記のAllowルールに加えて、Cloudflareは、デフォルトの拒否モデルを強制するために、ネットワークポリシーリストの下部にキャッチオールブロックポリシーを追加することを推奨します。

許可されたWARPユーザーは、選択したMySQLクライアントを使用して10.128.0.175のMySQLサーバーに接続できるようになります。

(オプション)ゲートウェイリゾルバポリシーを作成する

内部ホスト名を使用してMySQLデータベースにアクセスできるようにするために、ゲートウェイリゾルバポリシーを構成します。

  1. ゲートウェイ > リゾルバポリシーに移動します。

  2. ポリシーを追加を選択します。

  3. アプリケーションのプライベートドメインまたはホスト名に対して一致する式を作成します。以下の例のように:

    セレクター演算子
    ドメインininternalrecord.com

  4. DNSリゾルバを選択で、カスタムDNSリゾルバを構成を選択します。

  5. DNSサーバーのプライベートIPアドレスを入力します。

  6. ドロップダウンメニューで、*<IP-address> - Private*を選択します。

  7. (オプション)カスタムポートを入力します。

  8. ポリシーを作成を選択します。

内部DNSサーバーにMySQLデータベースのAレコードがある場合、ユーザーはこのレコードを使用してサーバーに接続できます。たとえば、BINDサーバーに以下のエントリが含まれていると仮定します:

mysql IN A 10.128.0.175

許可されたWARPユーザーは、選択したMySQLクライアントを使用してmysql.internalrecord.comのMySQLデータベースに接続できます。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings