在 ServBay 中使用 Cloudflare Tunnel 安全暴露本地服务指南

Cloudflare Tunnel（原名 Argo Tunnel）是 Cloudflare 提供的一项零信任网络服务，它允许您无需打开公网端口或配置复杂的防火墙规则，即可安全地将本地运行的 Web 服务、SSH 或其他应用暴露到互联网。本指南将详细介绍如何在 ServBay 这个强大的本地 Web 开发环境中，利用 cloudflared 客户端工具建立安全隧道，从而实现本地 ServBay 服务的互联网访问。

核心优势：

• 增强安全性： 利用 Cloudflare 全球网络的安全能力，包括 DDoS 防护、WAF（Web 应用防火墙）等。
• 简化网络配置： 无需处理端口转发、NAT 或防火墙规则。
• 基于零信任模型： 连接是外向的，降低受攻击面。
• 集成 Cloudflare 功能： 利用 Cloudflare 的缓存、优化、分析等服务。

概述

ServBay 为开发者提供了一个集成的、易于管理的本地开发环境，支持多种语言（PHP, Node.js, Python, Go, Java, Ruby, Rust 等）、数据库（MySQL, PostgreSQL, MongoDB, Redis 等）和 Web 服务器（Caddy, Nginx, Apache）。通常，您在 ServBay 中开发的网站或应用只能在本地访问。通过结合 Cloudflare Tunnel，您可以方便地与团队成员分享开发进度，或者在特定场景下将本地服务临时或长期暴露给外部用户，同时享受 Cloudflare 提供的安全和性能优势。

技术原理

Cloudflare Tunnel 的核心原理是通过在您的本地网络（运行 ServBay 的机器）上运行 cloudflared 客户端，主动发起一个或多个加密的、基于 QUIC 协议的连接到最近的 Cloudflare 边缘节点。这些连接是外向的，因此无需在您的路由器或防火墙上配置任何入站规则。当用户通过与隧道关联的域名访问服务时，流量会首先到达 Cloudflare 边缘，然后通过已建立的安全隧道转发到本地的 cloudflared 客户端，再由 cloudflared 将请求转发给您在 ServBay 中运行的本地服务（例如，运行在 https://servbay.local 或 http://localhost:8000 的网站）。响应过程则沿原路返回。

环境准备

在开始配置之前，请确保您已满足以下条件：

1. ServBay 已安装并运行正常： 您的 ServBay 环境已搭建好，并且您希望暴露的本地网站或服务正在 ServBay 中运行。例如，ServBay 默认的本地域名 servbay.local 对应的网站是可访问的。
2. Cloudflare 账户： 您拥有一个 Cloudflare 账户。
3. 已托管在 Cloudflare 的域名： 您拥有一个域名，并且该域名已添加到您的 Cloudflare 账户中，且 DNS 解析由 Cloudflare 管理。
4. 安装 cloudflared 客户端： 您需要在运行 ServBay 的 macOS 机器上安装 cloudflared 命令行工具。

1. 安装 cloudflared 客户端

对于 macOS 系统，推荐使用 Homebrew 进行安装。如果未安装 Homebrew，请先参照 Homebrew 官方文档进行安装。

使用 Homebrew 安装 (推荐):

brew update
brew install cloudflared

手动下载安装 (适用于 macOS ARM 架构):

# 下载适用于 macOS ARM (Apple Silicon) 的二进制文件
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-darwin-arm64.tgz | tar xz
# 将下载的二进制文件移动到系统 PATH 目录
sudo mv cloudflared /usr/local/bin/

验证安装: 安装完成后，通过以下命令验证 cloudflared 是否安装成功并查看版本：

cloudflared --version
# 示例输出：cloudflared version 2024.5.0 (built 2024-05-01)

版本号可能会有所不同，但只要能显示版本信息即表示安装成功。

2. 登录 Cloudflare 账户

在终端中运行以下命令进行 Cloudflare 账户授权：

cloudflared tunnel login

执行该命令后，cloudflared 会自动打开您的浏览器，并跳转到 Cloudflare 登录授权页面。请选择与您的域名关联的 Cloudflare 账户，并授权 cloudflared 访问您的账户。授权成功后，浏览器会显示成功信息，并且在终端中会提示授权完成，并在默认配置目录（通常是 ~/.cloudflared/）生成一个 cert.pem 文件。

隧道配置实战

接下来，我们将创建一个新的隧道，并配置它将流量导向 ServBay 中运行的本地服务。

核心配置流程

1. 创建隧道

   在终端中运行命令创建一个新的隧道。您可以为隧道指定一个易于识别的名称，例如 servbay-demo-tunnel。

   cloudflared tunnel create servbay-demo-tunnel

   命令执行成功后，会输出隧道的 ID（一个 UUID）以及一个 credentials-file 的路径。请记下这个隧道 ID，例如 a7b8c9d0-e1f2-3a4b-5c6d-7e8f9a0b1c2d。该命令会在 ~/.cloudflared/ 目录下生成一个 JSON 格式的凭证文件，例如 a7b8c9d0-e1f2-3a4b-5c6d-7e8f9a0b1c2d.json，该文件包含了启动隧道所需的认证信息，请妥善保管此文件。

2. 配置 DNS 记录

   为了让 Cloudflare 知道将特定域名的流量导向您的隧道，您需要在 Cloudflare DNS 中创建一个 CNAME 记录。cloudflared 提供了便捷的命令来完成这一步：

   cloudflared tunnel route dns servbay-demo-tunnel servbay-demo.yourdomain.com

   请将 servbay-demo-tunnel 替换为您创建的隧道名称，将 servbay-demo.yourdomain.com 替换为您希望用于访问本地服务的子域名（确保 yourdomain.com 是您在 Cloudflare 中托管的域名）。

   执行此命令后，cloudflared 会在您的 Cloudflare DNS 设置中为 servbay-demo.yourdomain.com 添加一个 CNAME 记录，指向 <隧道ID>.cfargotunnel.com。

3. 编写配置文件

   cloudflared 使用一个 YAML 文件来配置隧道的行为，包括哪些本地服务应该暴露以及通过哪个域名访问。默认的配置文件路径是 ~/.cloudflared/config.yml。如果文件不存在，请创建它。

   编辑 ~/.cloudflared/config.yml 文件，内容示例如下：

   # tunnel: 隧道的 UUID，替换为您创建隧道时获得的实际 ID
   tunnel: a7b8c9d0-e1f2-3a4b-5c6d-7e8f9a0b1c2d
   # credentials-file: 隧道的凭证文件路径，通常在 ~/.cloudflared/ 目录下，以隧道 UUID 命名
   credentials-file: /Users/yourusername/.cloudflared/a7b8c9d0-e1f2-3a4b-5c6d-7e8f9a0b1c2d.json # 替换为您的用户名和实际文件路径
   
   ingress:
     # 匹配进入隧道的请求规则
     - hostname: servbay-demo.yourdomain.com # 外部访问域名，需与您配置的 DNS 记录一致
       service: https://servbay.local # 本地 ServBay 服务的地址。ServBay 默认提供了 servbay.local 并配置了 SSL。
       originRequest:
         # noTLSVerify: true # 如果您的本地服务使用了自签名证书（例如 ServBay 的 User CA 生成的证书），可能需要启用此项以跳过 TLS 验证
         # 如果 ServBay 网站配置了有效的证书（如通过 ServBay 的 ACME 功能申请的 Let's Encrypt 证书），则无需此项。
         # 通常为了简化本地开发，使用 ServBay User CA 证书配合 noTLSVerify: true 是一个常见的做法。
     - service: http_status:404 # 默认回退规则，如果所有 hostname 都不匹配，返回 404

   重要提示：

   • 请将 tunnel 和 credentials-file 的值替换为您创建隧道时获得的实际 UUID 和凭证文件路径。
   • 请将 hostname 替换为您在步骤 2 中配置的子域名。
   • service: https://servbay.local 指向 ServBay 默认网站的 HTTPS 地址。ServBay 默认配置了 servbay.local 域名，并使用 ServBay User CA 签发了本地可信的 SSL 证书。cloudflared 将把收到的请求转发到这个本地地址。如果您的本地服务运行在其他端口或地址（例如，一个 Node.js 应用运行在 http://localhost:3000），请相应修改 service 的值。
   • originRequest.noTLSVerify: true 选项用于禁用 cloudflared 对本地服务 SSL 证书的验证。当您的本地服务使用自签名证书（例如 ServBay User CA 证书）时，启用此选项是必要的，否则 cloudflared 会因为证书无法验证而无法连接到本地服务。如果您的 ServBay 网站使用了有效的、被系统信任的证书（例如通过 ServBay 内置的 ACME 功能申请的 Let's Encrypt 证书），则无需开启此选项。

启动隧道服务

配置文件编写完成后，您就可以启动 cloudflared 隧道服务了。在终端中运行：

cloudflared tunnel run servbay-demo-tunnel

请将 servbay-demo-tunnel 替换为您创建的隧道名称。

cloudflared 会连接到 Cloudflare 网络并建立隧道。终端会显示连接状态和日志信息。只要此命令在前台运行，隧道就会保持活跃。要让隧道在后台持续运行，您可能需要将其配置为系统服务（具体方法取决于您的操作系统和偏好，例如使用 launchctl 在 macOS 上配置，但这超出了本文档的范围）。

服务验证

隧道成功启动后，您可以通过之前配置的域名从外部网络访问您的本地 ServBay 服务了。

1. 访问配置的域名： 在浏览器中访问您在步骤 2 中配置的域名，例如 https://servbay-demo.yourdomain.com。

2. 验证要点：

   • 浏览器应该成功加载并显示与您在本地访问 https://servbay.local 时一致的网站内容。
   • 检查浏览器地址栏，应该显示一个有效的 SSL 证书。这个证书是由 Cloudflare 签发给您的域名的（不是您本地 ServBay 的证书，本地证书仅用于 cloudflared 到 ServBay 的连接）。
   • 使用开发者工具检查 HTTP 响应头，应该能看到 CF-RAY 等 Cloudflare 相关的标识头，表明流量经过了 Cloudflare 网络。

高级配置技巧

多服务路由

您可以在 config.yml 的 ingress 部分定义多个规则，根据不同的 hostname 将流量路由到 ServBay 中运行的不同本地服务（例如，不同的网站或后台 API）。

ingress:
  - hostname: api.yourdomain.com
    service: http://localhost:8080 # 假设您的 API 服务运行在本地 8080 端口
  - hostname: app.yourdomain.com
    service: https://servbay.local # 您的主网站
  - service: http_status:404

流量监控与日志

cloudflared 提供了一些命令来帮助您监控和调试隧道：

• 查看实时指标：

  cloudflared tunnel info servbay-demo-tunnel

• 获取详细日志：cloudflared tunnel run 命令会直接在终端输出日志。您也可以配置日志级别或将日志输出到文件。

集成 Cloudflare Access

为了进一步增强安全性，您可以结合 Cloudflare Access 来为通过隧道暴露的服务添加身份验证和授权层。Cloudflare Access 是 Cloudflare Zero Trust 平台的一部分，可以实现比传统 VPN 更灵活和精细的访问控制。这通常需要在 Cloudflare Dashboard 中进行配置。

故障排查

如果在配置或使用过程中遇到问题，可以参考以下常见现象及解决方案：

现象	解决方案
访问域名时显示 502 Bad Gateway	检查本地 ServBay 服务是否正在运行且可访问（例如，在本地浏览器中访问 https://servbay.local 或您配置的其他本地地址）。 检查 config.yml 中 service 配置的本地地址和端口是否正确。 如果本地服务使用 HTTPS，且 noTLSVerify: true 未启用，请检查本地证书是否有效或考虑启用 noTLSVerify。
DNS 解析错误，无法访问域名	确认您在 Cloudflare DNS 中为该域名添加了正确的 CNAME 记录，指向 <隧道ID>.cfargotunnel.com。可以使用 dig 或 nslookup 命令验证 DNS 解析。
访问域名时显示证书错误	如果是 Cloudflare 签发的证书错误，请检查您在 config.yml 中配置的 hostname 是否与您访问的域名一致。 如果是 cloudflared 连接本地服务时的 TLS 错误，请确保 service 地址正确，并在需要时启用 originRequest.noTLSVerify: true。
cloudflared tunnel run 命令报错	检查 ~/.cloudflared/config.yml 文件是否存在且格式正确（YAML 格式）。 检查 tunnel 和 credentials-file 的值是否正确（UUID 和凭证文件路径）。 检查 cloudflared 是否有权限访问凭证文件和配置文件。
访问速度慢或连接不稳定	检查本地网络连接是否稳定。 Cloudflare Tunnel 基于 QUIC 协议，检查网络环境对 QUIC 的支持情况。 考虑 Cloudflare 区域设置或联系 Cloudflare 支持。

方案优势总结

通过在 ServBay 中集成 Cloudflare Tunnel，开发者可以：

• 安全地分享本地成果： 轻松向客户或团队演示本地正在开发的网站或应用。
• 进行外部服务回调测试： 测试需要公网访问才能触发的回调或 Webhook。
• 获得企业级安全防护： 享受 Cloudflare 提供的 DDoS 缓解、WAF 等安全功能，保护您的本地服务免受恶意攻击。
• 简化网络配置： 彻底摆脱复杂的端口转发和防火墙设置。
• 利用 Cloudflare 全球网络： 通过 Anycast 网络优化访问速度和可靠性。

ServBay 提供的强大本地开发环境，结合 Cloudflare Tunnel 的安全暴露能力，为开发者提供了一个高效、安全的工作流程。

结论

本文详细介绍了如何在 ServBay 环境下安装和配置 cloudflared，创建并运行 Cloudflare Tunnel，从而安全地将您的本地 Web 服务暴露到互联网。通过遵循本指南，您可以充分利用 ServBay 的多技术栈支持和 Cloudflare Tunnel 的安全优势，极大地提升您的开发和协作效率。记住，Cloudflare Tunnel 是 Cloudflare Zero Trust 平台的一部分，建议进一步探索 Cloudflare Access 等功能，以实现更高级的访问控制和安全性。