传统架构图:复杂且暴露
请求通过暴露的公网IP和繁杂的端口转发进入内网,每一步都增加了配置难度和安全风险。
互联网
⚠️ 需DDNS持续更新
端口转发: 80, 443, 8808, 9092...
现代化架构图:安全且优雅
公网IP被完全隐藏,所有流量通过单一、加密的隧道进入,配置集中,安全无忧。
互联网
✅ DNS/WAF/DDoS防护
✅ 无需DDNS/端口转发
核心理念:职责单一化
引入“职责单一化”哲学,让每个组件各司其职。Cloudflare作为唯一公网入口,构建安全、高效、易于管理的全新体系。
Cloudflare:安全与流量入口网关
DNS解析、安全防护、SSL证书、流量隧道,对外事务一手包办。
软路由:网络边界守门员
回归纯粹的网络管理,负责DHCP和防火墙,不再参与应用路由。
群晖 NAS:应用与数据中心
在内网安全运行所有应用服务,通过Tunnel客户端与Cloudflare对话。
数据流:一次优雅的访问
体验一次无缝、安全的数据请求之旅,从用户浏览器到最终应用,全程加密,路径清晰。
访问 `https://app.yourdomain.club`
处理DNS、SSL,并将请求送入加密隧道
从隧道接收请求,按配置路由到本地端口
在 `localhost:port` 收到请求并处理
端到端加密:SSL证书的两段论
新架构的安全性基石在于两段独立的SSL加密,它们协同工作,告别手动续期的烦恼,实现真正的一劳永逸。
第一段:公网加密
用户浏览器 ↔ Cloudflare
✅ 证书类型:公共SSL证书
✅ 颁发机构:Let's Encrypt / Google 等
✅ 管理方式:Cloudflare全自动管理和续期
✅ 用户体验:浏览器地址栏显示安全锁
第二段:隧道加密
Cloudflare ↔ 群晖NAS
✅ 证书类型:Cloudflare Origin CA证书
✅ 有效期:长达15年
✅ 管理方式:在Cloudflare生成,一次性导入群晖即可
✅ 安全保障:确保Cloudflare连接到的是您自己的服务器
革命性的转变
新旧架构的核心差异,不仅是技术的升级,更是管理哲学和安全等级的全面飞跃。
关键维度对比
| 维度 | 传统方式 | 现代化架构 |
|---|---|---|
| 公网暴露 | IP与端口均暴露 | 零暴露 |
| 动态IP处理 | 必须使用DDNS | 完全无需DDNS |
| 配置管理 | 3+个分散位置 | 1个统一位置 |
| SSL证书 | 痛苦的手动续期 | 自动化,一劳永逸 |
| 访问体验 | `域名:端口号` | `子域名.域名` |
管理复杂度对比
现代化架构将多个配置点统一为一,显著降低了管理复杂度和出错几率。