Cloudflare Zero Trust - My first tunnel

כפי שהסברתי בחלקו הראשון של המדריך הקודם, Cloudflare Zero Trust עובד על העקרון של קיום "תעלה" פעילה בין נקודת הקצה (שרת, מחשב וכו') לבין השרתים של Cloudflare. כאשר אנחנו ניגש למשאב שנמצא בתוך הרשת הפרטית שלנו מהעולם, התקשורת תרכב בצורה מאובטחת על גבי אותה ה "תעלה".

במדריך זה אסביר כיצד נתקין ונגדיר את התעלה הראשונה שלנו ונראה דוגמה קצרה על איך לגשת אל אותו משאב שנמצא מאחורי אותה תעלה.

התקנת ה Connector

על מנת להגדיר את ה Tunnel הראשון שלכם, התחברו לחשבון וכנסו ל Dashboard של Zero Trust (בצד שמאל בתפריט)

במסך הבית של ה Dashboard, יופיעו לכם אוצפיות הקשורות באבטחה, כמו Custom Login and Block page, הוספת Identity providers ועוד. בשלב זה נתעלם מאופציות אלה (אנחנו עוד נחזור אליהן). על מנת להתקדם, לחצו על Access בתפריט הצד שמאל.

Cloudflare Zero Trust dashboard - T0mer - Techblog.co.il

תחת Acess נוכל לראות ארבע תתי קטגוריות:

Applications
Access Groups
Service Auth
Tunnels

כאשר Tunnels הוא החלק הבסיסי והחשוב ביותר ובלעדיו לא נוכל לאפשר את התקשורת עם רכיבי הקצה.
תחת Tunnels נוכל להוסיף, לעדכן, למחוק ואף לראות את הסטטוסים של כל אחד מה Tunnels שברשותינו.

Cloudflare Zero Trust - Tunnels list - techblog - טקבלוג

על מנת ליצור Tunnel חדש, לחצו על כפתור ה "Create a tunnel".

יצירה והתקנה של Tunnel כוללת שלושה שלבים:

מתן שם ל Tunnel.
התקנת ה Connector.
הגדרת Route.

בחרו שם ל Tunnel ולחצו על Save Tunnel.

כעת נתבקש לבחור את ארכיטקטורת ה Connector ואת מערכת ההפעלה עליה נרצה להתקין אותו.

CF Tunnel - CF Zero Trust - Tomer Klein - תומר קליין

במידה ולא מצאתם את מערכת ההפעלה והארכיטקטורה ברשימה, ניתן תמיד לגשת ל Github repo שלהם ולהוריד את הקובץ הרלוונטי.

לאחר שתבחרו את מערכת ההפעלה והארכיטקטורה, תוכלו לראות את פקודת ההתקנה של ה Connector באחד משני אופנים. הראשון שכולל את ההורדה וההתקנה (במידה והמערכת שלכם נמצאת ברשימה בדף):

CF Zero Trust, Cloudflare tunnel - download and install connector

השניה, במידה והורדתם את הקובץ הבינארי מהריפו שלהם:

אפשרות קיימת נוספת היא להשתמש ב Container של Cloudflare:

בתחתית הדף יש חלק שבו ניתן לראות את מצב הקונקטור:

CF Tunnel - CF Zero Trust - Cloudflare - תומר קליין - Techblog.co.il

אם ההתקנה של ה Connector עברה בהצלחה, תוכלו לראות אותו מופיע יחד עם הסטטוס והגרסה.

Cloudflare zero tunnel status - Tomer Klein - techblog - טקבלוג

עכשיו, כאשר ה Connector מחובר ופעיל אפש להגדיר את Route הראשון שלנו.

הגדרת Route

אז מה זה ה Route בעצם?
בתחילת המדריך הקודם פרטתי את השירותים אותם אפשר להחצין באמצעות Cloudflare Tunnel כמו למשל HTTP או SSH ועוד. ה Route הוא בעצם ההפניה של הבקשה, או יותר נכון הניתוב שלה אל ה Tunnel הנכון ומשם לשירות אותו נרצה להחצין. בחלק זה של המדריך, נגדיר ניתוב פשוט לאפליקציית web שרצה אצלי ברשת.

לכל Tunnel ברשימה, יופיעו מצד ימין 3 נקודות. לחצו עליהם ואז על Configure:

Cloudflare tunnel list - Add route - Tomer Klein - תומר קליין

עברו לטאב של Public Hostname

Cloudflare Zero Trust - Public hostname - טקבלוג - תומר קליין

כעת, לחצו על "Add public hostname" על מנת להגדיר Route חדש:

CF Tunnel - Add new public hostname - techblog - טקבלוג - תומר קליין - t0mer

כאשר:

תחת Subdomain הוסיפו את שם כתובת ה URL אותה תרצו לשייך ל Route, למשל "Portainer".
תחת Domain, בחרו את הדומיין אליו תרצו לשייך את הכתובת (מתוך הדומיינים שאתם מנהלים ב CF).
תחת Type בחרו את סוג השירות (HTTP/HTTPS/TCP/SSH/SMB וכו'), במקרה שלנו נבחר ב HTTP.
תחת URL, את כתובת השירות בתוך הרשת הפנימית, במקרה שלנו הכתובת של portainer תהיה http://192.168.0.252:9000.

ישנם הגדרות מתקדמות שניתן להוסיף אך בשלב זה נוותר עליהן. ניתן לחזור ולעדכן בכל שלב.
לחצו על Save hostname על מנת לשמור את ה Route.

כעת תוכלו לראות שה Route התווסף להגדרות ה Tunnel:

CF Tunnel - Public hostnames list - T0mer - techblog.co.il

פתחו את הדפדפן והכניסו את ה URL, במידה וביצעתם הכל קשורה תוכלו לראות שהאתר נפתח ואף מאובטח באמצעות תעודות SSL:

ניטור ה Tunnels

ל Clodflare יש API מרשים למדי המאפשר לעשות את כל הפעולות שביצענו במדריך בצורה אוטומטית. אחד ה Endpoints של ה API מאפשר לקבל את הסטטוס של ה Connector. תוכלו למצוא מוניטור שכתבתי ונמצא בכתובת הבאה: https://github.com/t0mer/cloudflared-mon

Cloudflared-mon - Tomer Klein - https://github.com/t0mer/cloudflared-mon | https://github.com/t0mer

Post Views: 305

Be the first to comment

Leave a Reply לבטל