我很少需要处理使用企业VPN的麻烦，我希望它保持这种方式。作为Cloudflare团队的新成员，这似乎是可能的。几年前加入的同事就没有这样的运气了。他们必须使用VPN来完成任何工作。什么改变了？Cloudflare发布了访问权限，现在我们可以在不需要VPN的情况下完成我们的工作。访问是控制对内部应用程序和基础结构的访问的一种方法。今天，我们发布了一个新功能，通过在更大范围内部署访问来帮助您替换VPN缩放。访问在一个实例中，Access通过评估对访问背后安全的资源的每个请求来替换企业VPN。管理员可以使web应用程序、远程桌面和物理服务器在专用URL上可用，在Cloudflare中配置为DNS记录。这些工具通过由帐户所有者设置的访问策略进行保护，因此只有经过身份验证的用户才能访问这些资源。这些最终用户能够通过HTTPS和SSH请求进行身份验证。系统会提示他们使用SSO凭据登录，然后访问会将其重定向到应用程序或服务器。用于您的团队，Access使您的基础架构中的内部web应用程序和服务器感觉像SaaS工具一样无缝。最初我们建立了接入网来取代我们自己的公司VPN。实际上，这成为控制谁可以访问我们自己的基础设施的不同部分的最快方法。但是，配置访问权限的管理员需要为每个应用程序/主机名创建一个独立的策略。现在，管理员不必为每个受访问保护的新资源创建专用策略；一个策略将覆盖每个受保护的URL。当Access启动时，该产品的主要用例是保护内部web应用程序。为每种方法创建独特的规则是乏味的，但可以管理。此后，访问已成为许多环境中保护基础设施的集中方式。现在，公司正在使用访问来保护数百种资源，这种建立策略的方法不再适用适合。开始今天，Access用户可以使用通配符子域来构建策略，以替换在单个策略中替换几十个甚至数百个定制规则时出现的典型瓶颈。使用通配符，相同的规则集现在将自动应用于您的团队生成的任何子域如何进入团队能否大规模部署通配符子域？管理员可以使用Cloudflare仪表板中的通配符策略保护其基础设施。在启用访问的情况下，Cloudflare还添加了基于身份的评估交通。进来在Access仪表板中，您现在可以构建一个规则来保护添加到Cloudflare的站点的任何子域。创建一个新策略，并在subdomain字段中输入通配符（"*"）。然后，您可以在粒度级别配置规则，使用您的身份提供程序来控制谁可以访问该apex的任何子域域。这个新策略将在数秒内传播到Cloudflare的所有180个数据中心，并且创建的任何新子域都将怎么保护的团队在使用它吗？自从在一个封闭的beta版中发布这个特性以来，我们已经看到团队使用它以几种新的方式访问他们的基础设施。许多团队使用访问权限来保护正在开发的站点的开发和登台环境，这些环境是在投入生产之前开发的。无论是对于QA还是与合作伙伴机构的协作，Access都有助于通过身份验证层快速共享站点。有了通配符子域，团队就可以在新的url上部署几十个版本的新站点，而无需接触访问权限仪表板。用于例如，管理员可以为"*"创建策略。example.com网站然后开发人员可以在"dev-1"部署站点的迭代。example.com网站"和"dev-2。example.com网站"两者都继承了全局访问权保险单这个特性还可以帮助团队通过访问SSH特性锁定他们的整个混合、内部部署或公共云基础设施。团队可以将动态子域分配给他们的整个服务器组，而不管环境如何，开发人员和工程师可以通过SSH连接而不使用VPN来访问它们。管理员现在可以在一个全新的环境中使基础设施联机，而无需额外的或自定义的安全性规则。什么关于创建DNS记录？Cloudflare Access要求用户将资源与域或子域相关联。虽然通配符策略将覆盖所有子域，但团队仍需要将其服务器连接到Cloudflare网络并为这些子域生成DNS记录服务。阿戈隧道可以大大减轻这种负担。Argo隧道允许您在不打开任何入站端口的情况下向Internet公开服务器。该服务在您的服务器上运行一个轻量级守护进程，该守护进程启动到Cloudflare的出站隧道网络。相反Argo Tunnel可以管理DNS、网络和防火墙的复杂性，帮助管理员通过Cloudflare使用一个命令来处理来自其源站的流量。这个命令将自动在Cloudflare中生成DNS记录，允许您将时间集中在构建和管理基础设施什么下一个？更多的团队正在采用混合或多云模型来部署他们的基础设施。在过去，这些团队只有两个选择来保护这些资源：与每个提供商对等使用VPN，或者依赖于每个环境的自定义IAM流。最终，这两种解决方案不仅成本很高，而且同样昂贵无法管理。而基础设施从分布式中获益，安全性是在一个地方进行控制时最好的。访问可以整合团队控制谁可以访问整个服务器和服务的方式。