上周我们举行了一年一度的云彩休养会。来自近12个办公室的750多名团队成员花了三天时间学习、建立联系，其中一些人还用棒球棒在台上砸了一个VPN piñata。是的，你读过是的。那个Cloudflare接入中添加的最新功能让我们庆祝用更快、更安全的方式访问内部应用程序来取代笨重的VPN。现在，您可以将需要SSH连接的应用程序（如源代码管理存储库）放在Cloudflare访问之后。我们很高兴能发布同样的功能，这样你的团队也能摧毁你自己的VPN（piñata不包括在内），我们是如何破坏我们的VPNWe构建的访问来取代我们的公司VPN。我们从基于浏览器的应用程序开始，转到CLI操作，然后开始添加越来越多的单点登录集成。我们的团队成员将Access和我们的无服务器产品Workers相结合，为Cloudflare仪表板添加了单点登录支持。每次将另一个应用程序移到Access之后，我们都改进了每个团队成员的日常工作流程。然而，SSH连接阻碍了我们。每当我们需要推送代码或审查请求时，我们都不得不回到我们的繁琐工作中去VPN。同时VPN给大多数用户带来不便，我们的安全团队将禁用它作为一个潜在的风险。一旦进入专用网络，攻击者就可以暴露漏洞并获取敏感数据。我们的CSO在全公司范围内设定了一个目标，即在不损害安全的前提下，废除过去十年的网络安全模式。Access团队会见了我们的安全小组，我们将务虚周定为将这类应用程序移到Access之后的最后期限，这是提高企业身份和访问管理的整体努力的一部分。我们同意紧迫感，开始着手解决SSH问题挑战。我们一开始是在其他Cloudflare产品最强大的功能之上构建的。我们依靠Argo隧道来保护SSH连接。我们利用Argo智能路由加快了这些连接的性能。我们使用Cloudflare的命令行工具cloudflared在您的设备和需要访问的服务器之间建立连接。我们能够将应用程序移到访问之后，并通过SSH从最好的Cloudflare。我们的安全团队考虑这个原因来庆祝并设定了一个新的目标：找到一个实际VPN设备形状的自定义piñata。他们能够及时制作一个，以便撤退，我们邀请团队成员在舞台上挥杆离开。直到我看到我的同事们砸了这个代表，我才意识到他们对VPN。今天，我们正在与您的团队共享该功能。你不必真正摧毁VPN，但我们认为你的同事和安全团队会和我们一样兴奋是。保护您的服务器要保护您需要通过SSH访问的服务器，首先使用Argo隧道将该机器暴露给Cloudflare网络。Argo隧道将您的服务器连接到Cloudflare，而无需配置防火墙端口或ACL。创建一个隧道可确保Cloudflare评估对您的计算机的所有请求，以提供安全功能，如我们的web应用程序防火墙和未计量的DDoS缓解。什么时候配置Argo隧道后，将为服务器分配一个主机名，该主机名可以通过Cloudflare网络通过internet访问。然后，Cloudflare访问可以控制谁可以访问您的服务器。在主机名准备就绪并应用策略之后，您可以开始使用cloudflared和您的身份提供程序进行连接SSH.连接通过sshw到您的服务器当您试图访问后面的web应用程序时，我们会将您重定向到您的身份提供者。一旦您登录，我们将生成一个JSON Web令牌，并将该令牌作为cookie存储在您的浏览器中。SSH连接对您的最终用户需要一个稍微不同的流，但是一个方便。首先，您需要安装cloudflared。cloudflared是Cloudflare发布的一个轻量级命令行工具，它将通过SSH代理从设备到服务器的流量。您可以通过向SSH配置文件中添加两行代码来消除对任何唯一命令的需求，该文件将始终使用cloudflared来代理特定的通信量主机名。一次设置后，您可以尝试从命令行或代码编辑器通过SSH访问资源。cloudflared将启动一个浏览器窗口，并要求您使用您的身份提供商登录。如果您已经在浏览器中与该提供程序有活动会话，它将只显示一个成功屏幕。无论是哪种方式，当您进行身份验证时，Access都会生成令牌并将其传输到cloudflared，cloudflared会将其存储在您的设备上，并将其包含在所有后续操作中请求什么下一个？当我们在Access后面放置一个工具时，我们可以帮助团队中的每个成员更快地完成他们最好的工作。我们可以更快地审查请求，并从任何设备提供更多的迭代反馈。我们更经常在产品文档中添加新的细节。不用等待批处理需要VPN的工作，我们可以在不减慢速度的情况下完成这些任务一天。最多重要的是，访问还可以使团队的工作更加安全。我们很高兴能与我们自己的安全团队合作，构建一个更好地保护我们在这里构建的解决方案Cloudflare。你可以使用本指南开始保护需要SSH连接的应用程序。如果您举办自己的VPN粉碎聚会，请向我们发送邀请-我们会尽一切努力参加（我们会带来披萨）。