כפי שהסברתי בחלקו הראשון של המדריך הקודם, Cloudflare Zero Trust עובד על העקרון של קיום "תעלה" פעילה בין נקודת הקצה (שרת, מחשב וכו') לבין השרתים של Cloudflare. כאשר אנחנו ניגש למשאב שנמצא בתוך הרשת הפרטית שלנו מהעולם, התקשורת תרכב בצורה מאובטחת על גבי אותה ה "תעלה".
במדריך זה אסביר כיצד נתקין ונגדיר את התעלה הראשונה שלנו ונראה דוגמה קצרה על איך לגשת אל אותו משאב שנמצא מאחורי אותה תעלה.
התקנת ה Connector
על מנת להגדיר את ה Tunnel הראשון שלכם, התחברו לחשבון וכנסו ל Dashboard של Zero Trust (בצד שמאל בתפריט)
במסך הבית של ה Dashboard, יופיעו לכם אוצפיות הקשורות באבטחה, כמו Custom Login and Block page, הוספת Identity providers ועוד. בשלב זה נתעלם מאופציות אלה (אנחנו עוד נחזור אליהן). על מנת להתקדם, לחצו על Access בתפריט הצד שמאל.
תחת Acess נוכל לראות ארבע תתי קטגוריות:
- Applications
- Access Groups
- Service Auth
- Tunnels
כאשר Tunnels הוא החלק הבסיסי והחשוב ביותר ובלעדיו לא נוכל לאפשר את התקשורת עם רכיבי הקצה.
תחת Tunnels נוכל להוסיף, לעדכן, למחוק ואף לראות את הסטטוסים של כל אחד מה Tunnels שברשותינו.
על מנת ליצור Tunnel חדש, לחצו על כפתור ה "Create a tunnel".
יצירה והתקנה של Tunnel כוללת שלושה שלבים:
- מתן שם ל Tunnel.
- התקנת ה Connector.
- הגדרת Route.
בחרו שם ל Tunnel ולחצו על Save Tunnel.
כעת נתבקש לבחור את ארכיטקטורת ה Connector ואת מערכת ההפעלה עליה נרצה להתקין אותו.
במידה ולא מצאתם את מערכת ההפעלה והארכיטקטורה ברשימה, ניתן תמיד לגשת ל Github repo שלהם ולהוריד את הקובץ הרלוונטי.
לאחר שתבחרו את מערכת ההפעלה והארכיטקטורה, תוכלו לראות את פקודת ההתקנה של ה Connector באחד משני אופנים. הראשון שכולל את ההורדה וההתקנה (במידה והמערכת שלכם נמצאת ברשימה בדף):
השניה, במידה והורדתם את הקובץ הבינארי מהריפו שלהם:
אפשרות קיימת נוספת היא להשתמש ב Container של Cloudflare:
בתחתית הדף יש חלק שבו ניתן לראות את מצב הקונקטור:
אם ההתקנה של ה Connector עברה בהצלחה, תוכלו לראות אותו מופיע יחד עם הסטטוס והגרסה.
עכשיו, כאשר ה Connector מחובר ופעיל אפש להגדיר את Route הראשון שלנו.
הגדרת Route
אז מה זה ה Route בעצם?
בתחילת המדריך הקודם פרטתי את השירותים אותם אפשר להחצין באמצעות Cloudflare Tunnel כמו למשל HTTP או SSH ועוד. ה Route הוא בעצם ההפניה של הבקשה, או יותר נכון הניתוב שלה אל ה Tunnel הנכון ומשם לשירות אותו נרצה להחצין. בחלק זה של המדריך, נגדיר ניתוב פשוט לאפליקציית web שרצה אצלי ברשת.
לכל Tunnel ברשימה, יופיעו מצד ימין 3 נקודות. לחצו עליהם ואז על Configure:
עברו לטאב של Public Hostname
כעת, לחצו על "Add public hostname" על מנת להגדיר Route חדש:
כאשר:
- תחת Subdomain הוסיפו את שם כתובת ה URL אותה תרצו לשייך ל Route, למשל "Portainer".
- תחת Domain, בחרו את הדומיין אליו תרצו לשייך את הכתובת (מתוך הדומיינים שאתם מנהלים ב CF).
- תחת Type בחרו את סוג השירות (HTTP/HTTPS/TCP/SSH/SMB וכו'), במקרה שלנו נבחר ב HTTP.
- תחת URL, את כתובת השירות בתוך הרשת הפנימית, במקרה שלנו הכתובת של portainer תהיה http://192.168.0.252:9000.
ישנם הגדרות מתקדמות שניתן להוסיף אך בשלב זה נוותר עליהן. ניתן לחזור ולעדכן בכל שלב.
לחצו על Save hostname על מנת לשמור את ה Route.
כעת תוכלו לראות שה Route התווסף להגדרות ה Tunnel:
פתחו את הדפדפן והכניסו את ה URL, במידה וביצעתם הכל קשורה תוכלו לראות שהאתר נפתח ואף מאובטח באמצעות תעודות SSL:
ניטור ה Tunnels
ל Clodflare יש API מרשים למדי המאפשר לעשות את כל הפעולות שביצענו במדריך בצורה אוטומטית. אחד ה Endpoints של ה API מאפשר לקבל את הסטטוס של ה Connector. תוכלו למצוא מוניטור שכתבתי ונמצא בכתובת הבאה: https://github.com/t0mer/cloudflared-mon
Leave a Reply