Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Tunnel können ab sofort kostenlos genutzt werden

2021-04-15

Lesezeit: 4 Min.
Dieser Beitrag ist auch auf English, Español, und Français verfügbar.

Vor ein paar Monaten haben wir angekündigt, dass wir Zero Trust-Sicherheit allgemein zugänglich machen wollen – unabhängig von Größe, Umfang oder Ressourcen. Argo Tunnel, unsere sichere Methode, Ressourcen direkt mit Cloudflare zu verbinden, ist dabei das nächste Puzzleteil.

Mithilfe eines schlanken Konnektors, der in Ihrer Umgebung implementiert wird, stellt Argo Tunnel eine sichere, ausschließlich ausgehende Verbindung zwischen Ihren Diensten und Cloudflare her. So muss Ihr Team nicht erst mühsam dafür sorgen, dass Ihre Firewall entsprechende Verbindungen zulässt, oder überprüfen, ob der Datenverkehr von Cloudflare-IP-Adressen stammt.

Bisher wurden die Preise für Argo Tunnel aus der Bandbreitennutzung im Rahmen von Argo Smart Routing, der Funktion zur Beschleunigung des Datenverkehrs von Cloudflare, abgeleitet. Doch ab heute können alle Unternehmen diese sichere Lösung, die ausschließlich ausgehende Verbindungen erlaubt, kostenlos nutzen. Und natürlich können Sie immer noch die kostenpflichtige Argo Smart Routing-Funktion in Anspruch nehmen, um den Datenverkehr zu beschleunigen.

Als Teil dieser Änderung (und um Missverständnissen vorzubeugen) benennen wir das Produkt in Cloudflare Tunnel um. Um loszulegen, melden Sie sich einfach an.

Weiter unten erfahren Sie, wie und warum wir dies tun.

Eine nicht öffentliche Verbindung zum öffentlichen Internet

Im Jahr 2018 hat Cloudflare Argo Tunnel eingeführt. Die Lösung bietet nicht öffentliche, sichere Verbindungen zwischen Ihrem Ursprungsserver und Cloudflare. Von dem Moment an, in dem eine Website oder Internetanwendung bereitgestellt wird, verwenden Entwickler traditionell viel Zeit und Energie darauf, diese durch Zugangskontrolllisten, wechselnde IP-Adressen oder schwerfällige Lösungen wie GRE-Tunnel abzusichern.

Um ihnen die Arbeit zu erleichtern, haben wir Tunnel entwickelt.

Damit können Nutzer eine nicht öffentliche Verbindung von ihrem Ursprungsserver direkt zu Cloudflare herstellen, ohne dafür eine routingfähige IP-Adresse zu benötigen. Stattdessen wird ein schlanker Daemon, cloudflared, auf Ihrem Ursprungsserver ausgeführt, der eine sichere, ausschließlich ausgehende Verbindung herstellt. Somit kann nur Datenverkehr, der durch Cloudflare geleitet wird, Ihren Ursprungsserver erreichen.

Entstehungsgeschichte von Tunnel

Ursprünglich haben wir Tunnel entwickelt, um ein einfaches Problem zu lösen: Zuvor war es unnötig kompliziert, einen Server mit dem Internet zu verbinden. Anstatt andere ältere Modelle zu implementieren, wollten wir eine reibungslose Möglichkeit schaffen, eine nicht öffentliche Direktverbindung zu Cloudflare herzustellen. Das war für uns von besonderem Interesse, weil wir damit auch eines der Hauptprobleme vieler unserer eigenen Kunden lösen wollten.

Seit 2010 erfolgt bei Cloudflare die Aufnahme neuer Nutzer in zwei Schritten: 1) Hinzufügen ihrer Internetpräsenz und 2) Ändern ihrer Nameserver. Der zweite Schritt ist wichtig, denn sobald Sie Ihre Nameserver ändern, werden Anfragen an Ihre Ressourcen zuerst an das Netzwerk von Cloudflare weitergeleitet. Cloudflare ist dann in der Lage, unerwünschten oder schädlichen Datenverkehr zu blockieren, sodass Angreifer die IP-Adressen Ihres Ursprungsservers nicht direkt treffen können. Dies wird gemeinhin als Reverse-Proxy-Modell bezeichnet.

Doch was passiert, wenn ein Angreifer die IP-Adresse des Ursprungsservers herausfindet? Könnte er Cloudflare dann nicht einfach umgehen? An dieser Stelle kommt Tunnel ins Spiel. Tunnel schützt Ihren Ursprungsserver, weil damit ausschließlich ausgehende Verbindungen zu Cloudflare hergestellt werden können. So entfallen die Anforderungen des alten Modells, bei dem Regeln für eingehenden Traffic in das System integriert werden müssen, was die Infrastruktur anfällig für Angriffe macht. Noch wichtiger ist, dass Sie die Sicherheitskontrollen Ihres Ursprungsservers verbessern können, indem Sie mithilfe von Cloudflare die Durchsetzung von Zero Trust-Regeln erzwingen, anhand derer jede Anfrage an Ihre Ressource validiert werden muss.

Nehmen wir an, Sie arbeiten in einer lokalen Entwicklungsumgebung an einer neuen Webanwendung und möchten Updates auf sichere Weise an Kollegen übermitteln. In diesem Fall würden Sie zunächst cloudflared installieren, um Ihren Ursprungsserver mit Cloudflare zu verbinden. Dann erstellen Sie Ihren Tunnel und generieren im Cloudflare-Dashboard einen Hostnamen mit Ihrer Tunnel-UUID, damit Nutzer Ihre Ressource erreichen und Ihren Tunnel einsetzen können. Es ist auch möglich, eine Zero Trust-Richtlinie mit Cloudflare Access zu Ihrem DNS-Eintrag hinzufügen, damit nur Kollegen Ihre Ressource sehen können.

Optimierung von Tunnel

In den letzten Monaten haben wir auch an der Verbesserung der Stabilität und Persistenz gearbeitet. Um die Stabilität zu erhöhen, haben wir interne Abhängigkeiten beseitigt, aufgrund derer sowohl die Kontroll- als auch die Datenebene von Tunnel online und für die Wiederherstellung von Tunneln verfügbar sein mussten.

Durch die Beseitigung dieser vorgelagerten Abhängigkeiten können die Tunnel nun Verbindungen zuverlässig neu initiieren, ohne dass beide Dienste gleichzeitig verfügbar sein müssen. Außerdem sind wir auf den Edge-Load-Balancer von Cloudflare, Unimog, migriert, was die durchschnittliche Lebensdauer eines bestimmten Tunnels von einigen Minuten auf mehrere Tage erhöht hat. Wenn diese Verbindungen längere Betriebszeiten unterstützen und weniger auf interne Abhängigkeiten zurückgreifen, sind sie gut aufgestellt, um mehr Stabilität rund um den Globus zu gewährleisten.

Darüber hinaus wollten wir unsere Anstrengungen auf die Persistenz konzentrieren. Wenn cloudflared aus irgendeinem Grund neu gestartet werden musste, haben wir bisher jeden Neustart wie einen neuen Tunnel behandelt. Es musste also ein neuer DNS-Eintrag erstellt und eine Verbindung zu Cloudflare aufgebaut werden.

In unserer neuesten Version haben wir das Konzept der Named Tunnels eingeführt. Mit Named Tunnels können Nutzer einem Tunnel einen dauerhaften Namen zuweisen, der dann eine direkte Beziehung zu Ihrer Tunnel-UUID herstellt. Dieses Modell erlaubt es den beiden Bezeichnern, zu dauerhaften Datensätzen zu werden, die eine autonome Wiederherstellung der Verbindung ermöglichen. Falls Ihr Named Tunnel neu gestartet werden muss, kann Ihre cloudflared-Instanz auf diese UUID-Adresse verweisen, um die Verbindung wiederherzustellen, anstatt jeden Neustart ganz von vorn zu beginnen.

Wofür kann Tunnel jetzt genutzt werden?

Bei Cloudflare haben wir uns vorgenommen, ein besseres Internet zu schaffen. Nun freuen wir uns, mit der Öffnung von Tunnel für die Allgemeinheit einen weiteren Schritt in diese Richtung zu tun. Wir können es kaum erwarten, zu sehen, wie Sie die Vorteile der verbesserten Stabilität, Persistenz und Zero Trust-Sicherheit von Tunnel nutzen werden.

Wir haben festgestellt, dass Ihrer Kreativität bei den Anwendungsmöglichkeiten von Tunnel keine Grenzen gesetzt sind. Deshalb wollen wir Ihnen nicht vorschreiben, wie Sie Tunnel benutzen sollten. Stattdessen bieten wir Ihnen hier ein paar einfache Einstiegsmöglichkeiten:

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Developer Week (DE)EntwicklerProdukt-NewsCloudflare Tunnel

Folgen auf X

Abe Carryl|@mrlincolnlogs
Cloudflare|@cloudflare

Verwandte Beiträge

24. Oktober 2024 um 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

09. Oktober 2024 um 13:00

Improving platform resilience at Cloudflare through automation

We realized that we need a way to automatically heal our platform from an operations perspective, and designed and built a workflow orchestration platform to provide these self-healing capabilities across our global network. We explore how this has helped us to reduce the impact on our customers due to operational issues, and the rich variety of similar problems it has empowered us to solve....