Cloudflare for SaaS 有哪些新功能?

去年4 月,Cloudflare宣布了 Cloudflare for SaaS Beta 版,這使我們的 SSL for SaaS 產品可供所有人使用。這允許任何客戶(從首次開發人員到大型企業)使用 Cloudflare for SaaS 將我們的完整產品套件擴展到他們自己的客戶。SSL for SaaS 是 Cloudflare for SaaS 功能的子集,專注於客戶的公鑰基礎設施 (PKI) 需求。

2021-09-13
by 樂雲

Cloudflare for SaaS 有哪些新功能?

去年4 月,Cloudflare宣布了 Cloudflare for SaaS Beta 版,這使我們的 SSL for SaaS 產品可供所有人使用。這允許任何客戶(從首次開發人員到大型企業)使用 Cloudflare for SaaS 將我們的完整產品套件擴展到他們自己的客戶。SSL for SaaS 是 Cloudflare for SaaS 功能的子集,專注於客戶的公鑰基礎設施 (PKI) 需求。

今天,我們很高興地宣布我們的團隊一直在為我們的企業客戶進行所有定制——包括 Cloudflare for SaaS 和 SSL for SaaS。

讓我們從基礎開始——常見的 SaaS 設置

如果您經營一家 SaaS 公司,您的解決方案可能作為 SaaS 網站的子域存在,例如 template.< mysaas> .com,但理想情況下,您的解決方案將允許客戶使用他們自己的虛榮主機名,例如例子.com。

開始使用 SaaS 公司服務的最常見方法是將 CNAME DNS 記錄指向 SaaS 提供商為您的應用程序創建的子域。這可確保流量到達正確的位置,並允許 SaaS 提供商在不涉及您的最終客戶的情況下更改基礎架構。
幾年前,當我們為 SaaS 構建 SSL 時,我們牢記這一點。SaaS 的 SSL 通過 Cloudflare 的邊緣代理流量,減輕了 SaaS 提供商的證書頒發和管理負擔。SaaS 提供商需要做的就是將他們的區域加入 Cloudflare,並要求他們的最終客戶為 SaaS 區域創建一個 CNAME——這是他們已經在做的事情。

為您的客戶提供 CNAME 記錄(而不是固定 IP 地址)的最大好處是,它為 SaaS 提供商提供了更多的靈活性和控制權。它允許您在後台無縫更改服務器的 IP 地址。例如,如果您的 IP 被 ISP 提供商阻止,您可以使用 CNAME 記錄代表您的客戶更新該地址。有了固定的 A 記錄,您就可以依靠每個客戶進行更改。

雖然 CNAME 記錄適用於大多數客戶,但有些客戶回來並希望繞過 CNAME 記錄存在的限制。RFC 1912 規定 CNAME 記錄不能與其他 DNS 記錄共存,因此在大多數情況下,您不能在域的根目錄中使用 CNAME,例如 example.com。相反,CNAME 需要存在於子域級別,即 www.example.com。一些 DNS 提供商(包括 Cloudflare)通過稱為CNAME flattening的方法繞過此限制。

由於 SaaS 提供商無法控制其客戶使用的 DNS 提供商,因此他們從客戶那裡得到的反饋是他們想要使用其區域的頂點而不是子域。因此,當我們的 SaaS 客戶回來要求我們提供解決方案時,我們交付了。我們稱之為 Apex 代理。

頂點代理

對於希望允許其客戶將其 Apex 代理到其區域的 SaaS 客戶,無論他們使用的是哪個 DNS 提供商,我們都為他們提供了 Apex 代理選項。Apex 代理是 SaaS 功能的 SSL,它為 SaaS 提供商提供一對 IP 地址,以便在 CNAME 記錄對他們不起作用時提供給他們的客戶。

Cloudflare 首先為 SaaS 提供商分配一組專用 IP。然後,SaaS 提供商為他們的客戶提供這些 IP,他們可以將這些 IP 添加為 A 或 AAAA DNS 記錄,從而允許他們直接從其區域的頂點代理流量。

雖然這適用於大多數情況,但我們的一些客戶希望獲得更大的靈活性。他們想要擁有多個可以更改的 IP,或者他們想要將不同的客戶組分配給不同的 IP 桶。對於這些客戶,我們為他們提供了自帶 IP 範圍的選項,因此他們可以控制其應用程序的 IP 分配。

自帶IP

去年,我們宣布了自帶 IP (BYOIP),它允許客戶為 Cloudflare 在我們的邊緣發布自己的 IP 範圍。BYOIP 的好處之一是它允許 SaaS 客戶將該範圍分配給他們的帳戶,然後他們可以分發他們範圍內的所有 IP,而不是他們的客戶可以指向幾個 IP。
SaaS 客戶通常需要精細控制如何將其 IP 分配到屬於不同客戶的不同區域。使用 256 個 IP,您可以靈活地將客戶分組或為他們提供專用 IP。由你決定!

雖然我們討論的是對客戶進行分組的主題,但讓我們談談在向源發送流量時您可能希望如何執行此操作。

支援自定義來源

在為 SaaS 設置 Cloudflare 時,您指明您的回退源,它定義了所有自定義主機名路由到的源。此源可以由 IP 地址定義或指向區域中定義的負載均衡器。但是,您可能不想將所有客戶路由到同一來源。相反,您希望將不同的客戶(或自定義主機名)路由到不同的來源——因為您希望將客戶分組或幫助您擴展支援您的應用程序的來源。

我們的企業客戶現在可以選擇一個自定義源,該源不是其任何自定義主機名的默認後備源。傳統上,這是通過向您的客戶經理髮送電子郵件並在 Cloudflare 的邊緣請求自定義邏輯來完成的,這是一種非常繁瑣且過時的做法。但是現在,客戶可以輕鬆地在 UI 或他們的API 請求中指出這一點。

支援通配符

通常,SaaS 提供商的客戶不僅希望他們的域受到保護和加密,而且還希望其下的子域受到保護和加密。

我們希望通過為自定義主機名提供支援通配符,讓我們的企業客戶能夠靈活地將這一優勢擴展到他們的最終客戶。

通配符自定義主機名將自定義主機名的配置從特定主機名(例如“blog.example.com”)擴展到該主機名的下一級子域,例如“*.blog.example.com”。

要使用通配符創建自定義主機名,您可以在 Cloudflare 儀表板中創建自定義主機名或通過 API創建自定義主機名時指定啟用支援通配符,指定通配符:“true”。
現在讓我們切換到 TLS 證書管理和我們團隊一直在進行的改進。

面向所有人的 TLS 管理

SSL for SaaS 旨在減輕 SaaS 提供商的證書管理負擔。最初的功能旨在為大多數客戶以及他們代表客戶頒發、維護和更新證書的需求提供服務。但一種尺寸並不適合所有人,我們的一些客戶對其證書管理有更具體的需求——我們希望確保能夠滿足他們的需求。

CSR 支援/自定義證書

SSL for SaaS 的超能力之一是它允許 Cloudflare 代表我們的客戶及其客戶管理所有證書頒發和續訂。但是,有些客戶希望允許其最終客戶上傳自己的證書。

例如,銀行可能只信任某些證書頒發機構 (CA) 來頒發證書。或者,SaaS 提供商最初可能已經為其客戶構建了 TLS 支援,現在他們的客戶希望該功能可用。無論出於何種原因,我們都為客戶提供了一些滿足這些要求的選擇。

對於想要保持對其 TLS 私鑰的控製或讓他們的客戶靈活地使用他們選擇的證書頒發機構 (CA) 的客戶,我們允許 SaaS 提供商上傳他們客戶的證書。

如果您是 SaaS 提供商並且您的一位客戶不允許第三方代表他們生成密鑰,那麼您希望允許該客戶上傳他們自己的證書。Cloudflare 允許 SaaS 提供商將其客戶的證書上傳到他們的任何自定義主機名 - 只需一個 API 調用!

一些 SaaS 提供商從不希望人們看到私鑰材料,但希望能夠使用他們選擇的 CA。他們可以通過為其自定義主機名生成證書籤名請求 (CSR)來實現此目的,然後使用這些 CSR 本身為其客戶訂購證書或將 CSR 轉發給他們的客戶,以便他們可以提供自己的證書。在任何一種情況下,SaaS 提供商都可以在證書從其客戶的 CA 頒發以在 Cloudflare 的邊緣使用後上傳自定義主機名的證書。

自定義元數據

對於需要自定義配置以處理其客戶域的特定規則的客戶,他們可以通過使用Custom Metadata 和 Workers 來實現。

通過將元數據添加到單個自定義主機名,然後部署一個 Worker 來讀取數據,您可以使用 Worker 自定義每個主機名的行為。

一些客戶使用此功能將 customer_id 字段添加到每個自定義主機名,然後他們將請求標頭髮送到其源。另一種使用方法是在每個客戶的基礎上設置像 HTTP 嚴格傳輸安全 (HSTS) 這樣的標頭。
讚分享
11