订阅以接收新文章的通知:

通过 Cloudflare Zero Trust 构建许多专用虚拟网络

2022-04-26

3 分钟阅读时间
这篇博文也有 English한국어Español日本語版本。

我们建立了 Cloudflare 的 Zero Trust 平台,让企业可以使用我们的网络安全连接其专用网络,同时提高性能,减少运营负担。从此,您可以建立一个单一的虚拟专用网络,但您连接的所有专用网络都必须是唯一可识别的。

我们很高兴地宣布,从今天起,您可以开始通过 Cloudflare Zero Trust 构建许多隔离的虚拟专用网络,首先是 Cloudflare WARP 和 Cloudflare Tunnel 连接器的虚拟化连接。

通过 Cloudflare 连接您的专用网络

考虑一个的团队情况:您在不同的专用网络上托管着各种服务,而员工也在访问这些资源。与以往相比,员工可能是漫游用户,可能远程办公,也可能确实在公司某间办公室。不管怎么样,您需要确保只有他们能访问您的专用服务。然后,您还希望对每个用户可以使用您的网络访问哪些内容进行细化控制。

在这方面,Cloudflare 可以助您一臂之力。我们向您提供我们的高性能全球网络,作为您的员工和专用服务之间的虚拟桥梁。在员工的设备中运行 Cloudflare WARP,他们的流量通过 Cloudflare 的网络流出。另一方面,您的专用服务在 Cloudflare Tunnel 后面,只能通过 Cloudflare 的网络访问。这些连接器从端到端共同保护您的虚拟专用网络。

这种设置的优点是,您的流量立即变得更快更安全。但您还可以更进一步,利用 Cloudflare 许多服务中的价值,为您的专用网络路由流量,例如:审计、精细过滤、数据丢失防护、恶意软件检测、安全浏览等。

Architecture depicting client applications accessing private origins behind cloudflared Tunnel through our Cloudflare Global Network with Zero Trust.

我们的客户已经非常喜欢我们的 Zero Trust 专用网络路由解决方案。但和我们喜欢的所有东西一样,它们还可以继续改进。

重叠网络问题

在上图中,用户可以访问任何专用服务,就像他们确实位于该专用服务的网络中一样。这意味着,例如,在浏览器中输入 jira.intra,或者通过 SSH 连接一个专用 IP 10.1.2.3 时,都可以无缝工作,虽然这些专用服务均未暴露在互联网上。

然而,这其中有一个重要的假设:即底层的专用 IP 在客户账户内连接 Cloudflare 的专用网络中是唯一的。

假设现在您的团队有两个(或更多)数据中心使用同一 IP 空间(通常被称为 CIDR),例如为 10.1.0.0/16。也许一个是当前的主要数据中心,另一个是次要数据中心,它们相互复制。在这种情况下,这两个数据中心将各有一台 IP 为 10.1.2.3 的机器。

但此前,您不能通过 Cloudflare 进行设置。您只能使用负责流向 10.1.0.0/16 的流量的 Cloudflare Tunnel 连接数据中心 1。然后,使用同样的方法连接数据中心 2,但会收到一个错误——禁止创建模糊的 IP 路由:

在理想情况下,一个团队不会有这个问题,因为每个专用网络都会有唯一的 IP 空间。但在实践中,这并不可行,特别是在大型企业中。考虑两个公司合并的情况:希望他们重新安排专用网络,以保持 IP 地址的唯一性,这几乎是不可能的。

$ cloudflared tunnel route ip add 10.1.0.0/16 dc-2-tunnel

API error: Failed to add route: code: 1014, reason: You already have a route defined for this exact IP subnet

开始使用新的虚拟网络

现在您可以通过创建唯一的虚拟网络,从逻辑上隔离您的重叠 IP 路由,从而解决上述问题。您可以把一个虚拟网络看成一组 IP 子空间。这将有效帮助您将整体基础设施组合成独立的(虚拟化)专用网络,您的 Cloudflare Zero Trust 组织可通过 Cloudflare WARP 访问这些专用网络。

我们来设定一下这个场景。

A user running WARP Zero Trust chooses a specific private network to disambiguate the data center that they wish to access with Zero Trust.

首先,我们创建两个虚拟网络,其中一个是默认的:

然后,我们可以创建隧道,并将 CIDR 路由到隧道。

$ cloudflared tunnel vnet add —-default vnet-frankfurt "For London and Munich employees primarily"

Successfully added virtual network vnet-frankfurt with ID: 8a6ea860-cd41-45eb-b057-bb6e88a71692 (as the new default for this account)

$ cloudflared tunnel vnet add vnet-sydney "For APAC employees primarily"

Successfully added virtual network vnet-sydney with ID: e436a40f-46c4-496e-80a2-b8c9401feac7

这样就完成了!现在,您的两个隧道均可运行,它们将您的专用数据中心与 Cloudflare 连接起来,尽管存在重叠的 IP。

$ cloudflared tunnel create tunnel-fra

Created tunnel tunnel-fra with id 79c5ba59-ce90-4e91-8c16-047e07751b42

$ cloudflared tunnel create tunnel-syd

Created tunnel tunnel-syd with id 150ef29f-2fb0-43f8-b56f-de0baa7ab9d8

$ cloudflared tunnel route ip add --vnet vnet-frankfurt 10.1.0.0/16 tunnel-fra

Successfully added route for 10.1.0.0/16 over tunnel 79c5ba59-ce90-4e91-8c16-047e07751b42

$ cloudflared tunnel route ip add --vnet vnet-sydney 10.1.0.0/16 tunnel-syd

Successfully added route for 10.1.0.0/16 over tunnel 150ef29f-2fb0-43f8-b56f-de0baa7ab9d8

您的用户现在将默认通过虚拟网络 vnet-frankfurt 路由流量。如有任何用户不想这样,他们可以在 WARP 客户端界面设置中选择,例如选择通过 vnet-sydney

用户改变虚拟网络选择时,会向 Cloudflare 的网络通知该路由决定。只需几秒钟时间,这个决定便会通过 Quicksilver 传播到我们所有的数据中心。然后,WARP 客户端会重新与我们的网络连接,断开现有的 TCP 连接,因为这些连接是路由到之前选择的虚拟网络。就像您断开并重新连接 WARP 客户端一样。

New menu to allow the user to choose the network to send traffic to in the Zero Trust WARP enabled devices.

目前每个使用专用网络路由的 Cloudflare Zero Trust 组织都有一个默认的虚拟网络,包括流向 Cloudflare Tunnel 的 IP 路由。您可以开始使用上述命令来扩展您的专用网络,让它拥有重叠的 IP,如有需要,还可以重新分配一个默认的虚拟网络。

如果您的专用基础设施中没有重叠的 IP,就不需要采取任何措施。

下一步

这只是我们在 Cloudflare 支持唯一虚拟网络的第一步。您可能已经知道,上周我们宣布可以直接从 Zero Trust 仪表板创建、部署和管理 Cloudflare Tunnel。但现在还只能通过 cloudflared CLI 支持虚拟网络,我们正在努力将虚拟网络管理也集成到仪表板中。

下一步,我们将让 Cloudflare Gateway 了解这些虚拟网络,以便将 Zero Trust 政策应用于这些重叠的 IP 范围。一旦 Gateway 了解了这些虚拟网络,我们还将通过网络日志来呈现这一概念,进一步完善审计和故障排除功能。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
产品新闻Zero Trust安全性WARPPrivate NetworkCloudflare Zero Trust

在 X 上关注

Sudarsan Reddy|@sudproquo
Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月15日 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....