設定オプション
Spectrumは、Cloudflareのエッジノード上で動作するグローバルなTCPおよびUDPプロキシです。接続を終了することはなく、パケットをバックエンドサーバーに通過させます。
これらの機能の一部は、エンタープライズプランを必要とします。アップグレードを希望される場合は、アカウントチームにお問い合わせください。
アプリケーションタイプは、データがエッジからオリジンに移動するプロトコルを決定します。オリジンに直接プロキシしたい場合は、TCP/UDPを選択してください。CDN、Workers、またはBot管理のような製品を設定したい場合は、HTTP/HTTPSを選択する必要があります。この場合、トラフィックはオリジンに直接接続するのではなく、Cloudflareのパイプラインを通じてルーティングされます。
Spectrumアプリケーションが作成されると、ユニークなIPv4およびIPv6アドレスが割り当てられます。または、アプリケーションをIPv6専用にプロビジョニングすることもできます。アドレスは静的ではなく、時間とともに変更される可能性があります。現在のアドレスを調べる最良の方法は、DNSを使用することです。SpectrumアプリケーションのDNS名は、常にアプリケーションに現在割り当てられているIPを返します。
アドレスは、Chinaを除くすべてのCloudflareデータセンターからAnycastされます。Spectrumは中国では利用できませんが、ユーザーはCloudflareのパートナーであるJD CloudのソリューションStarshield ↗を使用するオプションがあります。
SpectrumはSMTPサーバーの前にTCPロードバランサーとして機能できますが、中継メールサーバーとしては機能しません。代わりに、Spectrumはデータをオリジンに通過させます。メールに表示されるクライアントIPはCloudflareエッジIPになります。メールサーバーが真のクライアントIPを知る必要がある場合は、Proxy Protocolを使用してCloudflareからソースIPを取得する必要があります。Cloudflareは、SMTPをプロキシするように設定されたアプリケーションでProxy Protocolを有効にすることを推奨しています。
SMTPサーバーは、メッセージを送信しようとするサーバーに対して一連のチェックを実行する場合があります。これらのチェックは、不正なサーバーからのリクエストをフィルタリングすることを目的としています。
メッセージは次の理由で拒否される場合があります:
- 接続サーバーのIPアドレスに対する逆引きDNSルックアップが否定的な応答を返す。
- 逆引きDNSルックアップがSMTP
HELO/EHLOメッセージで送信されたホスト名とは異なるホスト名を生成する。 - 逆引きDNSルックアップがSMTPサーバーのバナーで広告されているホスト名とは異なるホスト名を生成する。
- 逆引きDNSルックアップの結果が対応する正引きDNSルックアップと一致しない。
Spectrumアプリケーションには逆引きDNSエントリはありません。
さらに、SMTPサーバーは、ドメインのMXレコードを見つけるためにDNSルックアップを実行する場合があります。あなたのサーバーからのメッセージは、あなたのドメインのMXレコードがSpectrumアプリケーションに関連付けられている場合、拒否される可能性があります。なぜなら、サーバーのIPアドレスがSpectrumのIPアドレスと一致しないからです。
CloudflareはすべてのTCPポートをサポートしています。
Spectrumアプリケーションは、ポートの範囲でトラフィックをプロキシするように設定できます。
直接オリジンの場合:
{ "protocol": "tcp/1000-2000", "dns": { "type": "CNAME", "name": "range.example.com" }, "origin_direct": ["tcp://192.0.2.1:3000-4000"]}DNSオリジンの場合:
{ "protocol": "tcp/1000-2000", "dns": { "type": "CNAME", "name": "range.example.com" }, "origin_dns": { "name": "origin.example.com", "ttl": 1200 }, "origin_port": "3000-4000"}オリジンポート範囲内のポートの数は、protocolフィールドで指定されたポートの数と一致する必要があります。
エッジのポート範囲内のポートへの接続は、オリジン範囲内の同等のポートオフセットにプロキシされます。
たとえば、上記の設定では、range.example.com:1005への接続はオリジンのポート3005にプロキシされます。
Spectrumアプリケーションに対してIPアクセスルールが有効になっている場合、Cloudflareはそのドメインのセキュリティ > WAF > ツールで作成されたIPアクセスルールを尊重します。Cloudflareは、Spectrumアプリケーションに対して特定のIPアドレス、IPブロック、国、またはASNのために作成されたルールのみを尊重します。Spectrumは、allowまたはblockのアクションで作成されたルールのみを尊重します。
Argo Smart Routingがアプリケーションに対して有効になると、トラフィックは自動的に最も速く、最も信頼性の高いネットワークパスを通じてルーティングされます。Argo Smart RoutingはTCPおよびUDP(ベータ)アプリケーションで利用可能です。
Spectrumアプリケーションに対してエッジTLS終了を有効にすると、Cloudflareはエッジでアプリケーションのトラフィックを暗号化します。エッジTLS終了のトグルは、TCPアプリケーションにのみ適用されます。
Spectrumは、TLS終了の3つのモードを提供します:‘Flexible’、‘Full’、および’Full (Strict)’。
‘Flexible’は、エッジでのクライアント接続の終了を有効にしますが、CloudflareからオリジンへのTLSを有効にしません。トラフィックは、クライアントからCloudflareへの暗号化された接続を介して送信されますが、Cloudflareからオリジンへの接続は暗号化されません。
‘Full’は、Cloudflareからオリジンへのトラフィックも暗号化されることを指定しますが、証明書の検証は行いません。‘Full (Strict)‘に設定すると、Cloudflareからオリジンへのトラフィックも、オリジン証明書の厳格な検証を伴って暗号化されます。
SpectrumがサポートするTLSバージョンには、TLS 1.1、TLS 1.2、およびTLS 1.3が含まれます。
これをCloudflareダッシュボードのSpectrumアプリを通じて管理するか、Spectrum APIエンドポイントを使用して管理できます。
以下は、SSL/TLSハンドシェイク中にCloudflareがオリジンに提示する暗号スイートです。エッジでサポートされている暗号スイートや、ブラウザや他のユーザーエージェントに提示される暗号スイートについては、Cipher suitesを参照してください。
以下の暗号スイートは、ClientHelloに表示される順序に基づいており、オリジンへの優先順位を伝えています。
| OpenSSL名 | TLS 1.1 | TLS 1.2 | TLS 1.3 |
|---|---|---|---|
| AEAD-AES128-GCM-SHA2561 | ❌ | ❌ | ✅ |
| AEAD-AES256-GCM-SHA3841 | ❌ | ❌ | ✅ |
| AEAD-CHACHA20-POLY1305-SHA2561 | ❌ | ❌ | ✅ |
| ECDHE-ECDSA-AES128-GCM-SHA256 | ❌ | ✅ | ❌ |
| ECDHE-RSA-AES128-GCM-SHA256 | ❌ | ✅ | ❌ |
| ECDHE-RSA-AES128-SHA | ✅ | ✅ | ❌ |
| AES128-GCM-SHA256 | ❌ | ✅ | ❌ |
| AES128-SHA | ✅ | ✅ | ❌ |
| AES256-SHA | ✅ | ✅ | ❌ |