دليل تكوين وكيل عكسي لخط الأنابيب Cloudflare باستخدام cloudflared في ServBay
Cloudflare Tunnel (المعروف سابقاً باسم Argo Tunnel) هو خدمة وكيل عكسي بدون ثقة تقدمها Cloudflare، مما يتيح لك الكشف عن الخدمات المحلية بأمان دون الحاجة إلى فتح منافذ عامة. سيقوم هذا الدليل بإرشادك خلال كيفية إعداد نفق آمن في بيئة ServBay باستخدام cloudflared، مما يعزز الوصول إلى الخدمات المحلية عبر الإنترنت.
التقنية الأساسية
يقوم Cloudflare Tunnel بإنشاء اتصالات مشفرة للخروج (مبنية على بروتوكول QUIC) تربط الخدمات المحلية بأمان مع نقاط حافة Cloudflare. تتجنب هذه الحلول تمامًا اختراق NAT، ولا تحتاج إلى تكوين قواعد جدران الحماية، مع دمج ميزات حماية DDoS و WAF من Cloudflare.
إعداد البيئة
1. تثبيت عميل cloudflared
نظام macOS (بنية ARM):
# تنزيل الملف الثنائي
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-darwin-amd64.tgz | tar xz
sudo mv cloudflared /usr/local/bin/2
3
التحقق من التثبيت:
cloudflared --version
# إصدار cloudflared 2024.5.0 (بُني في 2024-05-01)2
2. تسجيل الدخول إلى حساب Cloudflare
cloudflared tunnel loginبعد التنفيذ، سيتم فتح المتصفح تلقائيًا، وستحتاج لاختيار اسم المجال الذي ترغب في إدارته لإكمال التفويض.
إعدادات النفق العملية
عملية الإعداد الأساسية
- إنشاء نفق
cloudflared tunnel create servbay-tunnel
# مثال للخروج: تم إنشاء النفق servbay-tunnel برقم التعريف xxxx-xxxx-xxxx2
- تكوين سجلات DNS
cloudflared tunnel route dns servbay-tunnel servbay-tunnel.yourdomain.com- كتابة ملف التكوين
أنشئ~/.cloudflared/config.yml:
tunnel: <TUNNEL_ID>
credentials-file: /path/to/credentials.json
ingress:
- hostname: servbay-tunnel.yourdomain.com
service: https://servbay.local
originRequest:
noTLSVerify: true # يمكن تفعيلها لتخطي تحقق الشهادات المحلية
- service: http_status:404 # قاعدة العودة الافتراضية2
3
4
5
6
7
8
9
بدء خدمة النفق
cloudflared tunnel run servbay-tunnelالتحقق من الخدمة
- زيارة اسم المجال المكون:
https://servbay-tunnel.yourdomain.com- نقاط التحقق:
- عرض محتوى يتطابق مع الخدمة المحلية
- شريط عنوان المتصفح يعرض شهادة SSL صادرة من Cloudflare
- رأس الاستجابة يحتوي على تعريف
CF-RAY
نصائح لتكوين متقدم
توجيه متعدد الخدمات
ingress:
- hostname: api.yourdomain.com
service: https://api.local
- hostname: app.yourdomain.com
service: https://app.local2
3
4
5
مراقبة الحركة
# عرض المقاييس في الوقت الحقيقي
cloudflared tunnel info servbay-tunnel
# الحصول على السجلات التفصيلية
cloudflared tunnel logs servbay-tunnel2
3
4
5
استكشاف الأخطاء وإصلاحها
| الظاهرة | الحل |
|---|---|
| 502 Bad Gateway | تحقق إذا كانت الخدمة المحلية تعمل، وتأكد من صحة عنوان service في إعداد النفق |
| خطأ في تحليل DNS | تأكد من أن سجل CNAME يشير بشكل صحيح (يجب أن يكون UUID.cfargotunnel.com) |
| فشل في التحقق من الشهادة | تأكد من تطابق hostname في config.yml مع اسم مجال الشهادة، تحقق من تكامل سلسلة الشهادات المحلية |
مزايا الحل
من خلال حل Cloudflare Tunnel، يحصل مستخدمو ServBay على:
- حماية أمان على مستوى المؤسسات: مزود بحماية DDoS مدمجة وحماية WAF
- عدم كشف المنافذ: لا حاجة لتكوين جدران الحماية أو قواعد NAT
- توجيه ذكي: تحسين سرعة الوصول عبر شبكة Anycast العالمية لـ Cloudflare
- حصة مجانية: الباقة المجانية تشمل 50 نفق نشط شهريًا
يُوصى بتطبيق استراتيجيات Access في بيئات الإنتاج لتوفير تحكم دقيق في الوصول، مما يضمن أمان الخدمة.