피드로 돌아가기
Dev.toInfrastructure
원문 읽기
ISP 포트 차단 및 CGNAT 한계 극복을 위한 Cloudflare Tunnel 기반 Outbound 연결 설계
Cloudflare Tunnel Is the Home Lab Setup You Didn't Know You Needed (Until Your ISP Blocked You)
AI 요약
Context
일본 내 NTT Hikari 등 주요 ISP의 포트 80/443 차단 및 Carrier-grade NAT(CGNAT) 도입으로 인한 Inbound 트래픽 진입 불가 상황 발생. 고정 IP 부재와 잦은 Dynamic IP 변경으로 인한 기존 DDNS 및 Port Forwarding 방식의 아키텍처적 한계 노출.
Technical Solution
- 외부에서 내부로 들어오는 Inbound 방식 대신 서버에서 Cloudflare Edge로 연결하는 Outbound Connection 기반의 Reverse Proxy 구조 채택
- Firewall에 포트를 개방하는 대신 내부 Daemon(cloudflared)이 Edge 노드와 지속적인 터널을 유지하여 네트워크 경계 제약 제거
- DNS 설정과 연동된 Tunneling을 통해 공인 IP 주소 없이 *.trycloudflare.com 또는 커스텀 도메인으로 서비스 노출
- Docker Compose 기반의 컨테이너화된 배포를 통한 환경 일관성 확보 및 빠른 프로비저닝 구현
- TLS Termination을 Edge 단에서 처리하여 내부 서버의 인증서 관리 부담 경감 및 보안 계층 강화
실천 포인트
- CGNAT 또는 ISP 포트 제한 환경에서의 빠른 서비스 외부 노출 필요성 검토 - Cloudflare Edge 장애 시 서비스 전체 중단 가능성에 대한 비즈니스 임팩트 분석 - 세션 상태가 메모리에 저장된 서비스의 경우 터널 재연결 시 세션 유실 가능성 확인 - 특정 인증서 설정이 필요한 서비스의 경우 Ingress-rule을 통한 Certificate Injection 설정 검토