注意：在发布之前，该产品被重命名为Argo Tunnel。请阅读发布公告中的更多信息。我在一家公司工作，他们的工作就是被攻击。在我写这篇文章的时候，一个自动缓解正在抵抗两个持续的DDoS攻击。今天，任何在互联网上公开路由的机器都可能成为攻击的载体，这是一个问题。今天，我们想扭转局面，给你一种新的方式，让你把服务暴露在互联网上，而不是让它们直接、公开地路由。了解Cloudflare Warp。CC BY-SA 2.0图像由Christian Ortiz提供与机器人和黑客捉迷藏Cloudflare内部运行着大约4000个容器，这些容器构成了大约1.5K的服务和应用程序。其中一些容器需要与其他本地容器联网，而另一些容器需要通过导线接受连接。每个devops工程师都知道坏事情会发生在好的机器上，因此我们的平台操作团队试图将服务器完全隐藏在互联网之外。有几种方法可以做到这一点：轮换IP地址部署代理创建防火墙规则配置IP表按客户端证书限制连接与上游提供商交叉连接配置GRE隧道身份验证机制，如OAuth或OIDC这些可能很复杂或耗时，但它们都不是保证。我们知道我们可以让事情更简单。我们开始为自己构建一个内部工具—一种更安全的方式来公开在我们自己的基础设施上运行的服务（还有一些服务发现和自动化方面的好处……稍后将详细介绍），在与使用Cloudflare的开发人员和安全工程师交谈后，我们意识到向每个人开放它都有好处。云闪扭曲Cloudflare Warp是一个有安全意识的工具，用于在不需要公开web应用程序运行的服务器的情况下公开web应用程序。使用Cloudflare Warp，到应用程序的流量从Cloudflare边缘通过一个私有的、加密的虚拟隧道运行，流量只有在通过Cloudflare路由时才能找到并访问服务器。只有Cloudflare知道如何通过在应用程序和Cloudflare之间创建的虚拟隧道回拨到应用程序。流量永远不会直接到达你的原点，因为它永远找不到它，你的原点不在互联网上，只有通过Cloudflare，通过Warp，它才会在那里。相反，客户端连接到最近的Cloudflare数据中心，而不是直接连接到应用程序本身。要启动Cloudflare Warp，只需一个命令。例如，如果我想运行Cloudflare Warp来公开在端口4000上本地运行的应用程序，我可以运行：cloudflare warp—主机名example.com网站https://localhost：4000个在幕后，Cloudflare Warp发布一个SSL证书，将其安装在应用服务器上，并使用它生成一个加密的隧道式连接回Cloudflare。（Cloudflare Warp的内部项目名称是E.T.，因为这种"打电话回家"行为）。Cloudflare Warp然后为应用程序设置相应的DNS记录，以便当访问者下次访问您的应用程序时，他们将通过虚拟隧道连接回在端口4000本地运行的应用程序。一个安全网关通过此设置，Cloudflare的edge在您的基础设施前充当网络屏蔽。这些云服务器的流量只有在经过验证后才能通过Flare的IP连接，因为这些流量只能在每秒钟通过Flare的50个流量时才能通过，只接收服务器上的干净流量，并且知道它已经过Cloudflare的验证。当您继续使用Warp设置连接到Cloudflare的应用程序时，您只需使用Cloudflare配置一次，它就可以在所有应用程序中全面应用，保护您的整个基础设施。我们说的是服务发现吗？Cloudflare Warp的一个好处是，当您启动Cloudflare Warp代理时，它会立即为您的应用程序注册DNS记录，使之成为服务发现的有效工具。我们还允许您标记隧道，就像您使用键值对标记kubernetes pods一样释放：稳定释放：金丝雀。很快，您也可以根据这些标签配置路由（将我90%的流量发送到稳定版本，10%发送到canary版本）。下一步是什么？Cloudflare Warp beta版现已上市，我们每天都在逐渐增加人手。准备好开始了吗？你可以直接阅读文档或者注册试用版。