Cloudflare Zero Trustの初期設定をする。

さくらインターネットで取得したTDLドメインをCloudflareへ移管

Cloudflare Zero Trustを使い始める。

2024年4月15日

Cloudflareゼロトラストセキュリティ

Cloudflare Zero Trustの設定開始

Cloudflareの管理ページからZero Trustメニューをクリックしすると、まず、画像のようにチーム名を決めるページが表示されます。

チーム名の設定

ここで、cloudflareaccess.comのサブドメイン決めます。ここで決めたサブドメインは、ユーザが自身のデバイスをゼロトラストネットワークに参加させる際に使われます。また、アプリランチャーにアクセスする時のURLとなります。

トンネルの役割と作成手順の開始

チーム名を決めると、管理ページのZero Trustからゼロトラスト専用のページに移動できます。

最初に、Network > Tunnelsから新規のトンネルを作成します。

トンネルの作成

トンネルはインターネットとプライベートネットワーク間の通信を橋渡しする役割があります。トンネル自身がインターネットに公開されるホスト名と、プライベートネットワーク側サービスのURLを持ちます。

トンネルの作成手順

トンネルを作成するには、プライベートネットワーク側にコネクタが必要です。コネクタはWindowsやLinux上に常駐するプログラムですが、CloudflaredWARP Connectorの2種類があります。

トンネルの作成

今回はCloudflaredを選択します。

トンネルについても名前付けが必要ですが、コネクタを稼働させているマシンが判断できるように、機種名や仮想マシン名を含めるよう推奨されています。

トンネルの作成

Cloudflaredのインストール

トンネルにはプライベートネットワーク側にコネクタのインストールが必要です。今回選択したCloudflaredの場合は画像のようにWindowsやMac、Dokerコンテナーで動作するプログラムが用意されています。

Cloudflaredのインストール

今回はLinuxにインストールするのでDebianを選択しました。

インストール手順は簡単で、ページに表示されるコマンドを実行するだけでした。

    curl -L --output cloudflared.deb https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-arm64.deb && 
    
    sudo dpkg -i cloudflared.deb && 
    
sudo cloudflared service install [固有のアクセスキーがコマンドに埋め込まれます。]

コネクタが正常にインストールされると、管理ページにコネクタが出てきて、Connectedと表示されていました。

コネクタのインストール完了

トンネルへアプリケーションを登録

トンネルを経由してプライベートネットワークにあるアプリケーションを公開できます。アプリケーションのプロトコルはHTTPやSSH、SMBなどほとんどが利用できます。

今回はHTTPSで通信するウェブアプリケーションを公開してみます。

トンネル設定ページのPublic Hostnamesからウェブアプリケーションにアクセスするためのホスト名を登録します。

公開ホスト名の登録

  • Subdomin アプリケーションにアクセスするサブドメインを任意に入力します。
  • Domain Cloudflareに登録済みのドメインから1つを選択します。
  • Path 今回は空欄にしました。
  • Type HTTPSを選択します。SSL証明書はCloudflareが管理してくれます。
  • URL プライベートネットワークでウェブアプリケーションにアクセスするURLを入力します。たとえばhttp://localhost:8080のような感じです。

公開ホスト名の登録

Private Networksからプライベートネットワークのネットワークアドレスを登録します。登録されたネットワークに対して、インターネット側からのアクセスが許可されます。

  • CIDR CIDR形式でネットワークアドレスを入力します。たとえば192.168.1.0/24のような感じです。
  • Description 説明書きなので後々わかりやすいような説明を入力しておきます。

動作確認

ここまで設定が終わったら、Public Hostnamesで入力したURLでリモートからウェブアプリケーションへアクセスできるようになっていました。 エラーページが表示される場合は、プライベートネットワーク側のURLやネットワークアドレスの設定、Cloudflaredの動作に問題が起きていないかなど、確認してみてください。