　　2020 年末，經Cloudflare授權的組織開始在我們的網路上構建私有網路。他們在伺服器端使用 Cloudflare Tunnel，並在客戶端使用 Cloudflare WARP，以此消除對傳統 VPN 的需求。時至今日，已有數千家組織與我們一起踏上了這段旅程—棄用了傳統的 VPN 集中器、內部防火牆和負載平衡器。這些組織不再需要維護所有這些傳統硬體，並大幅提高了終端使用者的速度，且能在整個組織範圍內維護Zero Trust規則。

　　我們從 TCP 著手，因為該協議非常強大並能實現各種重要用例。然而，要真正取代 VPN，您還需能覆蓋 UDP。從今天開始，我們很高興能在 Cloudflare 的 Zero Trust 平臺上提前訪問 UDP。更大的一個好處是：由於支援 UDP，我們可提供內部DNS—因此無需手工遷移數以千計的私有主機名，就可覆蓋 DNS 規則。今天，您可單擊此處註冊，免費獲取 Cloudflare for Teams；如果您希望加入提前獲取 UDP 和 Internal DNS 的等待名單，請訪問此連結。

　　私有網路在 Cloudflare 上的拓撲結構

　　建立私有網路包含兩個主要組成部分：基礎設施部分和客戶部分。

　　基礎設施部分由 Cloudflare Tunnel 提供技術支援，並由其將您的基礎設施（無論是單一的應用程式、很多的應用程式，還是整個網段）連線到 Cloudflare。要實現這一點，可在您的環境中執行一個簡單的命令列後臺程式，以建立到 Cloudflare 的多個安全、僅出站、負載平衡的連結。簡單地說，Tunnel 的作用是將您的網路與 Cloudflare 相連。

　　另一方面，我們需要您的終端使用者能輕鬆連線到 Cloudflare，更重要的是連線到您的網路。這種連線由我們強大的裝置客戶端 Cloudflare WARP 來處理。您的內部 MDM 工具可在幾分鐘內將該客戶端部署到您的整個組織，並在使用者裝置和 Cloudflare 網路之間建立一個基於WireGuard的安全連線。

　　我們現已將您的基礎設施和使用者連線到 Cloudflare，因此很容易對您的應用程式進行標記，並在Zero Trust安全控制上分層，以驗證您網路上每一個請求的身份和以裝置為中心的規則。

　　不過，到目前為止，僅支援 TCP。

　　擴充套件Cloudflare Zero Trust以支援 UDP

　　在過去一年中，越來越多的使用者開始採用 Cloudflare 的Zero Trust 平臺，我們已經收集了有關確保 VPN 連線的所有用例資料。其中，最常見的需求是對基於 UDP 流量的全面支援。QUIC 等現代協議利用 UDP 的輕量級架構的優勢—在 Cloudflare，我們堅信我們的使命就是推進這些新標準以建立一個更好的網際網路。

　　今天，我們很高興能為那些希望提前訪問 Cloudflare for Teams（支援 UDP）的團隊開放一個官方等待名單。

　　UDP 是什麼，為什麼它那麼重要？

　　UDP 是網際網路的一個重要組成部分。如果沒有它，很多應用程式就無法滿足現代使用的要求。我們需要依賴於近乎實時通訊的應用（如視訊流或 VoIP 服務），因此我們需要 UDP，以及它在網際網路上所扮演的角色。然而，就其核心而言，TCP 和UDP 可實現相同的結果—只是所用手段大相徑庭而已。每種方法都有其獨特的優點和缺點，使用這些方法的下游應用總會有所感受。

　　如果您向某人提出類似問題，這裡有個簡單例子可恰當地比喻這兩種方法的工作方式。TCP 看起來應該很熟：您通常會打招呼，等待他們回話，然後問他們最近怎麼樣，再等待他們回應，然後問他們想要什麼。

　　另一方面，UDP 相當於直接走到別人面前，問他們想要什麼，而非核實他們是否聽見。若採用這種方法，您的一些問題可能會遺漏，但只要您能得到答案，也就無所謂了。

　　就像上面的對話一樣，若採用 UDP，很多應用實際上並不在乎是否會丟失一些資料；視訊流或遊戲伺服器就是很好的例子。如果您在流媒體傳輸時丟失了一個資料包，並且不希望整個流媒體在接收該資料包前停止，那麼您最好放棄這個資料包，繼續進行操作。應用程式開發人員之所以使用 UDP 的另一個原因是，他們更願意圍繞連線、傳輸和質量控制開發自己的控制元件，而不是使用 TCP 的標準化控制。

　　對於 Cloudflare 來說，對 UDP 流量的端到端支援將能夠解鎖大量新用例。以下就是幾個我們認為能讓您激動萬分的用例。

　　內部 DNS 解析器

　　大多數企業網路需要使用內部 DNS 解析器來傳播對內網資源的訪問。您的內聯網需要使用內部 DNS 解析器，原因與網際網路需要使用公共 DNS 解析器的很多原因相同。簡而言之，人類擅長很多事情，但並不擅長記住一長串數字（在本例中是 IP 地址）。公共和內部 DNS 解析器都可幫助我們解決這個問題（或更多其他問題）。

　　在企業界，如果要求內部使用者導航到 192.168.0.1 等地址來訪問Sharepoint或 OneDrive，那將會造成沒必要的麻煩。相反，如果為每個資源建立 DNS 條目並讓您的內部解析器為您的使用者處理所有對映，就會容易得多，因為人類非常擅長這種操作。

　　事實上，DNS 查詢通常包含來自客戶端的一個 UDP 請求。然後，伺服器可向客戶端返回一個回覆。DNS 請求並不是非常大，因此通常可以放在資料包中傳送和接收。這使得 Zero Trust 平臺上的 UDP 支援成為了棄用 VPN 的關鍵因素。

　　胖客戶端應用程式

　　UDP 的另一個常見用例是胖客戶端應用程式。到目前為止，我們目前所討論的 UDP 的其中一個優勢就是它是一個精簡的協議。它之所以精簡，是因為 TCP 的三向握手和其他可靠性措施在設計上已剝離了出去。在很多情況下，應用程式開發人員仍然希望有這些可靠性控制元件，而且他們對自己的應用程式非常熟悉，知道這些控制元件可以通過針對其應用程式的調整而得到更好的處理。這些胖客戶端應用程式通常可執行關鍵的業務功能，但必須得到端到端的支援才能進行遷移。例如，傳統版本的 Outlook 可通過胖客戶端實現，其中大部分操作由本地機器執行，而僅與 Exchange 伺服器的同步互動通過 UDP 執行。

　　同樣，Zero Trust平臺現在對 UDP 的支援意味著這些型別的應用程式沒有理由再留在傳統的 VPN 上。

　　更多相關內容......

　　全球有很大一部分網際網路流量通過 UDP 進行傳輸。通常，人們將對時間敏感型應用程式與 UDP 劃等號。在這種情況下，偶爾丟棄資料包會比等待更好—但是，還有很多其他用例，我們很希望能為其提供全面支援。

　　我現在如何開始？

　　您現在可根據我們的開發人員文件中的教程和指南，在 Cloudflare 上構建您的私有網路。以下是關鍵路徑。如果您已是我們的客戶且有興趣加入 UDP 和內部 DNS 訪問的等待名單，請跳至本篇文章末尾！

　　將您的網路連線到 Cloudflare

　　首先，您需要在您的網路上安裝 cloudflared 並通過以下命令進行認證：

　　cloudflared tunnel login

　　其次，您應使用一個使用者友好的名稱來建立一個隧道，以識別您的網路或環境。

　　cloudflared tunnel create acme-network

　　最後，您將需要使用私有網路的 IP/CIDR 範圍來配置隧道。藉此，您可使 Cloudflare WARP 代理意識到，對這個 IP 範圍的任何請求都要路由到我們的新隧道。

　　cloudflared tunnel route ip add 192.168.0.1/32

　　然後，您僅需執行您的隧道！

　　將使用者連線到您的網路

　　要連線您的首位使用者，應先在他們要連線的裝置上下載 Cloudflare WARP 代理，然後按照安裝程式中的步驟進行操作。

　　接下來，您應訪問團隊儀表板，然後建立一個註冊策略來定義哪些人能訪問我們的網路。這個策略可以在“設定>裝置>裝置註冊”下建立。在以下示例中，您可以看到，我們要求使用者位於加拿大，並擁有尾綴為 @cloudflare.com 的電子郵件地址。

　　在建立此策略後，您可單擊機器上的 WARP 桌面圖示，並導航至“首選項>賬戶>使用團隊登入”，註冊您的第一個裝置。

　　最後，我們將從“設定>網路>拆分隧道”的排除列表中刪除我們新增到隧道的 IP 範圍。事實上，這將確保該流量路由到 Cloudflare，然後按計劃傳送到我們的私有網路隧道。

　　除了上述教程外，我們的團隊儀表板上還配有產品內指南，其中對每個步驟進行了更詳細的說明，並提供了整個過程的驗證。

　　要建立您的首個隧道，應導航至“訪問>隧道”。

　　要將您的首個裝置註冊 WARP，應導航至“我的團隊>裝置”。

　　下一步

　　我們非常高興能在今天釋出我們的等候名單，而更令我們興奮的是，我們在未來幾周內就能推出這一新功能。我們即將開始使用私有網路隧道，並計劃繼續為每個內部 DNS 主機名的每個請求增加對 Zero Trust訪問規則的更多支援。我們著手製定各種檢測效能的措施，以此確保我們的Zero Trust平臺仍能保持最快的速度—與使用傳統 VPN 帶來的不便相比，使用我們的產品能讓您的使用者喜出望外。

將 Cloudflare 的 Zero Trust 平臺延伸至支援 UDP 和網際網路 DNS

相關文章