2020 年末，經Cloudflare授權的組織開始在我們的網絡上構建私有網絡。他們在服務器端使用 Cloudflare Tunnel，并在客戶端使用 Cloudflare WARP，以此消除對傳統 VPN 的需求。時至今日，已有數千家組織與我們一起踏上了這段旅程—棄用了傳統的 VPN 集中器、內部防火墻和負載平衡器。這些組織不再需要維護所有這些傳統硬件，并大幅提高了終端用戶的速度，且能在整個組織范圍內維護Zero Trust規則。
　　
　　我們從 TCP 著手，因為該協議非常強大并能實現各種重要用例。然而，要真正取代 VPN，您還需能覆蓋 UDP。從今天開始，我們很高興能在 Cloudflare 的 Zero Trust 平臺上提前訪問 UDP。更大的一個好處是：由于支持 UDP，我們可提供內部DNS—因此無需手工遷移數以千計的私有主機名，就可覆蓋 DNS 規則。今天，您可單擊此處注冊，免費獲取 Cloudflare for Teams；如果您希望加入提前獲取 UDP 和 Internal DNS 的等待名單，請訪問此鏈接。
　　
　　私有網絡在 Cloudflare 上的拓撲結構
　　
　　建立私有網絡包含兩個主要組成部分：基礎設施部分和客戶部分。
　　
　　基礎設施部分由 Cloudflare Tunnel 提供技術支持，并由其將您的基礎設施（無論是單一的應用程序、很多的應用程序，還是整個網段）連接到 Cloudflare。要實現這一點，可在您的環境中運行一個簡單的命令行后臺程序，以建立到 Cloudflare 的多個安全、僅出站、負載平衡的鏈接。簡單地說，Tunnel 的作用是將您的網絡與 Cloudflare 相連。
　　
　　另一方面，我們需要您的終端用戶能輕松連接到 Cloudflare，更重要的是連接到您的網絡。這種連接由我們強大的設備客戶端 Cloudflare WARP 來處理。您的內部 MDM 工具可在幾分鐘內將該客戶端部署到您的整個組織，并在用戶設備和 Cloudflare 網絡之間建立一個基于WireGuard的安全連接。
　　
　　
　　
　　我們現已將您的基礎設施和用戶連接到 Cloudflare，因此很容易對您的應用程序進行標記，并在Zero Trust安全控制上分層，以驗證您網絡上每一個請求的身份和以設備為中心的規則。
　　
　　不過，到目前為止，僅支持 TCP。
　　
　　擴展Cloudflare Zero Trust以支持 UDP
　　
　　在過去一年中，越來越多的用戶開始采用 Cloudflare 的Zero Trust 平臺，我們已經收集了有關確保 VPN 連接的所有用例數據。其中，最常見的需求是對基于 UDP 流量的全面支持。QUIC 等現代協議利用 UDP 的輕量級架構的優勢—在 Cloudflare，我們堅信我們的使命就是推進這些新標準以建立一個更好的互聯網。
　　
　　今天，我們很高興能為那些希望提前訪問 Cloudflare for Teams（支持 UDP）的團隊開放一個官方等待名單。
　　
　　UDP 是什么，為什么它那么重要？
　　
　　UDP 是互聯網的一個重要組成部分。如果沒有它，很多應用程序就無法滿足現代使用的要求。我們需要依賴于近乎實時通信的應用（如視頻流或 VoIP 服務），因此我們需要 UDP，以及它在互聯網上所扮演的角色。然而，就其核心而言，TCP 和UDP 可實現相同的結果—只是所用手段大相徑庭而已。每種方法都有其獨特的優點和缺點，使用這些方法的下游應用總會有所感受。
　　
　　如果您向某人提出類似問題，這里有個簡單例子可恰當地比喻這兩種方法的工作方式。TCP 看起來應該很熟：您通常會打招呼，等待他們回話，然后問他們最近怎么樣，再等待他們回應，然后問他們想要什么。
　　
　　另一方面，UDP 相當于直接走到別人面前，問他們想要什么，而非核實他們是否聽見。若采用這種方法，您的一些問題可能會遺漏，但只要您能得到**，也就無所謂了。
　　
　　就像上面的對話一樣，若采用 UDP，很多應用實際上并不在乎是否會丟失一些數據；視頻流或游戲服務器就是很好的例子。如果您在流媒體傳輸時丟失了一個數據包，并且不希望整個流媒體在接收該數據包前停止，那么您最好放棄這個數據包，繼續進行操作。應用程序開發人員之所以使用 UDP 的另一個原因是，他們更愿意圍繞連接、傳輸和質量控制開發自己的控件，而不是使用 TCP 的標準化控制。
　　
　　對于 Cloudflare 來說，對 UDP 流量的端到端支持將能夠解鎖大量新用例。以下就是幾個我們認為能讓您激動萬分的用例。
　　
　　內部 DNS 解析器
　　
　　大多數企業網絡需要使用內部 DNS 解析器來傳播對內網資源的訪問。您的內聯網需要使用內部 DNS 解析器，原因與互聯網需要使用公共 DNS 解析器的很多原因相同。簡而言之，人類擅長很多事情，但并不擅長記住一長串數字（在本例中是 IP 地址）。公共和內部 DNS 解析器都可幫助我們解決這個問題（或更多其他問題）。
　　
　　在企業界，如果要求內部用戶導航到 192.168.0.1 等地址來訪問Sharepoint或 OneDrive，那將會造成沒必要的麻煩。相反，如果為每個資源創建 DNS 條目并讓您的內部解析器為您的用戶處理所有映射，就會容易得多，因為人類非常擅長這種操作。
　　
　　事實上，DNS 查詢通常包含來自客戶端的一個 UDP 請求。然后，服務器可向客戶端返回一個回復。DNS 請求并不是非常大，因此通常可以放在數據包中發送和接收。這使得 Zero Trust 平臺上的 UDP 支持成為了棄用 VPN 的關鍵因素。
　　
　　胖客戶端應用程序
　　
　　UDP 的另一個常見用例是胖客戶端應用程序。到目前為止，我們目前所討論的 UDP 的其中一個優勢就是它是一個精簡的協議。它之所以精簡，是因為 TCP 的三向握手和其他可靠性措施在設計上已剝離了出去。在很多情況下，應用程序開發人員仍然希望有這些可靠性控件，而且他們對自己的應用程序非常熟悉，知道這些控件可以通過針對其應用程序的調整而得到更好的處理。這些胖客戶端應用程序通�？蓤绦嘘P鍵的業務功能，但必須得到端到端的支持才能進行遷移。例如，傳統版本的 Outlook 可通過胖客戶端實現，其中大部分操作由本地機器執行，而僅與 Exchange 服務器的同步交互通過 UDP 執行。
　　
　　同樣，Zero Trust平臺現在對 UDP 的支持意味著這些類型的應用程序沒有理由再留在傳統的 VPN 上。
　　
　　更多相關內容......
　　
　　全球有很大一部分互聯網流量通過 UDP 進行傳輸。通常，人們將對時間敏感型應用程序與 UDP 劃等號。在這種情況下，偶爾丟棄數據包會比等待更好—但是，還有很多其他用例，我們很希望能為其提供全面支持。
　　
　　我現在如何開始？
　　
　　您現在可根據我們的開發人員文檔中的教程和指南，在 Cloudflare 上構建您的私有網絡。以下是關鍵路徑。如果您已是我們的客戶且有興趣加入 UDP 和內部 DNS 訪問的等待名單，請跳至本篇文章末尾！
　　
　　將您的網絡連接到 Cloudflare
　　
　　首先，您需要在您的網絡上安裝 cloudflared 并通過以下命令進行認證：
　　
　　cloudflared tunnel login
　　
　　其次，您應使用一個用戶友好的名稱來創建一個隧道，以識別您的網絡或環境。
　　
　　cloudflared tunnel create acme-network
　　
　　最后，您將需要使用私有網絡的 IP/CIDR 范圍來配置隧道。借此，您可使 Cloudflare WARP 代理意識到，對這個 IP 范圍的任何請求都要路由到我們的新隧道。
　　
　　cloudflared tunnel route ip add 192.168.0.1/32
　　
　　然后，您僅需運行您的隧道！
　　
　　將用戶連接到您的網絡
　　
　　要連接您的首位用戶，應先在他們要連接的設備上下載 Cloudflare WARP 代理，然后按照安裝程序中的步驟進行操作。
　　
　　接下來，您應訪問團隊儀表板，然后創建一個注冊策略來定義哪些人能訪問我們的網絡。這個策略可以在“設置>設備>設備注冊”下創建。在以下示例中，您可以看到，我們要求用戶位于加拿大，并擁有尾綴為 @cloudflare.com 的電子郵件地址。
　　
　　在創建此策略后，您可單擊機器上的 WARP 桌面圖標，并導航至“首選項>賬戶>使用團隊登錄”，注冊您的第一個設備。
　　
　　最后，我們將從“設置>網絡>拆分隧道”的排除列表中刪除我們添加到隧道的 IP 范圍。事實上，這將確保該流量路由到 Cloudflare，然后按計劃發送到我們的私有網絡隧道。
　　
　　除了上述教程外，我們的團隊儀表板上還配有產品內指南，其中對每個步驟進行了更詳細的說明，并提供了整個過程的驗證。
　　
　　要創建您的首個隧道，應導航至“訪問>隧道”。
　　
　　要將您的首個設備注冊 WARP，應導航至“我的團隊>設備”。
　　
　　下一步
　　
　　我們非常高興能在今天發布我們的等候名單 ，而更令我們興奮的是，我們在未來幾周內就能推出這一新功能。我們即將開始使用私有網絡隧道，并計劃繼續為每個內部 DNS 主機名的每個請求增加對 Zero Trust訪問規則的更多支持。我們著手制定各種檢測性能的措施，以此確保我們的Zero Trust平臺仍能保持最快的速度—與使用傳統 VPN 帶來的不便相比，使用我們的產品能讓您的用戶喜出望外。