前回はHTTPS Self Sign → HTTPS Cloudflaredがうまくできなくて、諦めて「時間あるときにやる」と放置した。でも時間がないうちに必要になったので、結局Reverse Proxy系サービスを使うことに。SSLとか色々考えて、買おうとしたら値段見て現実に戻った。
SSLが1ドメインだけで200kくらい。サブドメイン対応になると10倍。無理。自分はドメインも80k/年とかでチマチマ払ってるのに、こんな贅沢にお金出せない。.comドメインも350kで、メールサーバやるときぐらいしか払う気ない。
というわけで別の方法を探した。ACMEとか登録とかLet’sEncryptとか。でもセットアップが面倒そう。最低でも内部DNSを作らないといけない。今はそれを避けてる。で、さらに探してCloudflare Origin Serverにたどり着いた。
Cloudflare Origin ServerでSSL設定
証明書を作るのは簡単。
まず:
cd /etc/pve/local/
pve-ssl.key と pve-ssl.pem をバックアップ。
それからCloudflare Origin Serverで作った新しいキーを2つとも貼り付ける。
最後にpveproxyを再起動:
systemctl restart pveproxy
これで15年有効のCloudflare SSLができた。今はこれで十分。将来スケールが必要ならLet’sEncrypt+Reverse Proxy+Port開放みたいに自前でやるかも。ほんと色々ある。
ChatGPTはCloudflareのconfigファイルを編集しろと言ってたけど、インストール時にそんなファイルなかったんだよね。なので放置。
Cloudflared Tunnelの設定
調べてたら reddit と この動画 を見つけた。28分あたりにTLSの設定があって、Tunnelのconfigの下に書いてあった。
Origin Serverを設定するか、TLS Verifyを切るかの2択。もちろんOrigin Serverを設定。
これでDomain経由で入れるようになった。
ただ、このDomainはかなりセンシティブなので、以前やった認証レイヤーを追加する。Cloudflare Access認証を追加
アクセスにはGitHub認証が必要で、もちろん誰のGitHubでも入れるわけじゃない。
What are you doing here?
Edit
1日後くらいに、自分と同じ問題の質問をしてる人がいた。
解決策は以下の2つ。
ちょっと役に立てた気がした。
Edit (04/11/2025)
今後Clusterを作る予定があるなら、このシリーズの#24の記事を読んでからCloudflare Origin Serverを導入した方がいい。
Comments
Join the conversation
Leave a comment
No comments yet
Be the first to share your thoughts!