皆様おはようございます。
前回の記事は概念の説明だけでしたので、今回はCloudflareを用いたゼロトラスト環境の構築を行います。
本記事は2026年5月時点の画面で説明しています。
CloudflareのGUIは頻繁に変更されるのでご注意ください。
今回の構築範囲構成図
早速構成図ですが、
前回の記事で掲載しているものと同じ構成図です。
この中で本記事ではこの赤枠内の2か所の構築です。
Cloudflare設定
Cloudflareアカウント作成
https://dash.cloudflare.com/login
こちらにアクセスしまずは日本語化しましょう。
アカウント作成から開始するのでサインアップを押します。
[メールアドレス]と[パスワード]を入力します。
フリーメールアドレスで登録できるかどうか試していないのでわからないのですが、読者の皆様方は独自ドメインをお持ちの方もいらっしゃると思いますので、今回は独自ドメインで構築する前提としてお話をすすめます。
[メールアドレス]と[パスワード]を入力しサインアップを押します。
このようなメールが登録したメールアドレスに届きますのでメールアドレスの確認をクリックします。
Cloudflareアカウント作成はここまでです。
Cloudflare初期設定
ここは何を選んでも後から変更可能なので[スキップ]をクリックします。
ここも[スキップ]をクリックします。
初期設定はこれにて完了です。
スキップばかりで実際何もしてないですね。
ここから具体的な設定です。
Cloudflareトンネル設定(1)
Cloudflareのトップページが出てくるので左ペインから[Zero Trust]をクリックします。
開始するをクリックします。
[チーム名]の入力を求められるので任意の文字列を入力し、次へをクリックします。
このチーム名はCloudflare内でユニークである必要があります。
AzureでいうとStorage Account名に近いですね。
Azureは契約した時点でテナントIDというユニークな値が割り当てられていて、Cloudflareも同じくユニークなテナントIDが存在しますが、このチーム名はゼロトラストのクライアント側エージェントが接続先として参照するFQDNにあたりますので、AzureのStorage Account名と同じく既に持っているユニークIDであるテナントIDとは別で、インターネット上でユニークな値を命名しなければなりません。
プラン選択
ここから突如プラン選択画面が出てきます。
少し焦ってしまいますね。
しかしZero Trust Freeがあるので、これの[プランを選択]をクリックします。
このZero Trust Freeプランで50ユーザーまでは無料で利用できます。
しばらく画面遷移に時間がかかり・・・
おぉ、カード情報入力画面が出てきますね。
しかし請求は
$0 month
となっているのでカード情報の登録だけやってしまいます。
たぶん勝手に課金はかからないと思います。(私はこの2か月勝手に課金はかかっていないです。)
カード情報をやいのやいの入力し、認証が通ればZero Trustに続行をクリックします。
プラン選択はこれで完了です。
これは一回のみの作業なので、これ以降トンネルを追加してもこの画面は出てこず、Cloudflareトンネル設定(2)にそのまま作業が続けられます。
Cloudflareトンネル設定(2)
やっとやりたいことができるようになりましたね。
気を取り直してCloudflareのトンネル設定です。
[クライアントベースまたはサイト間VPNを置き換える]の項目の始めるをクリックします。
[デバイスからネットワークへ]の項目の続行をクリックします。
続行をクリックします。
任意のトンネル名を入力し、[トンネルを作成]をクリックします。
作成したトンネルが選択されていることを確認し続行をクリックします。
宅内のネットワークというか、トンネル経由で通信させたいネットワークのIPアドレスサブネットを入力し、続行をクリックします。
この設定はCloudflare側にどのネットワークをTunnel経由でルーティングするかを設定することになります。
今回Raspberry PiにCloudflaredをインストールするので[Debian]を選択します。
[ARM64-bit]を選択します。(記事の作成用にRaspberry Piを準備せず仮想基盤上にUbuntuを構築しここにCloudflaredをインストールしますので、画像では64-Bitを選択しています。)
コマンドを出力してくれるのでこのまま上から順にコピペします。
コピーアイコンをクリックするとCloudflare側がCloudflaredエージェントからの接続待ち状態になります。
こちらの検証用のUbuntuにコピペします。
コピペして実行します。
完了しましたね。
インストールが終わってもまだCloudflare上では検索状態のままでCloudflaredのエージェントのインストールされた機器は見つかりません。
まだDaemonが実行されていないからですね。
ではDaemonの実行を行います。
無事実行されましたね。
エージェント側の作業をしている間にCloudflareのリスナーが停止してしまったので再起動しましょう。
無事トンネルがデプロイされました。
つまりCloudflareとCloudflaredをインストールしたRaspberry Pi(記事作成用にUbuntuですが)が通信できた、つまりトンネル接続が確立しConnectorとしてRaspberry Piが登録された、ということになります。
構成図でいうとこの赤矢印間の接続が確立したことになります。
トンネルとしては双方向ですが、実際にトンネルのセッションを張る動作としては
[Raspberry Pi(cloudflared)]
↓ outbound HTTPS
[Cloudflare]
となります。
ノートPC側にインストールするエージェントのダウンロード先URLです。
これは個別環境用に調整済みのインストーラーを作ってくれるわけではなく、共通のインストーラーです。
ただインストーラーをダウンロードしないと先に進めませんので[続行するにはダウンロードしてください]をクリックします。
[続行するにはダウンロードしてください]をクリックすると続行が活性化するのでクリックします。
画面下にある[今はスキップ]をクリックするとここまでの工程が消えてしまうので注意してください。
ノートPCへのエージェントインストールも勧めてくれますが本記事ではスキップするので続行をクリックします。
エージェントをノートPCへインストールしても実際の接続先情報やZero Trustポリシーは、インストール後にCloudflare Zero Trustへ認証を行うことで取得されます。
これにてすべての作業が完了です。
コネクタ接続確認
Cloudflareのトップ画面からZero Trust画面に遷移すると
このように緑色のチェックマークではなくオレンジ色の・・・になっています。
なんとなく処理が途中で終わっているように見えてしまいますが、左ペインの[ネットワーク]内にある[コネクタ]をクリックすると
ちゃんとコネクタがCloudflareに接続されていることが確認できますね。
つまりRaspberry Pi上のcloudflared DaemonがCloudflareと正常に通信できている状態です。
以上でCloudflareの設定は完了です。
まとめ
- Cloudflareのトンネルは50ユーザーまで無料(2026年5月現在)
- Zero Trust Free プランでもトンネル作成は複数可能
- トンネル作成はウィザードに従って簡単にできる
- Raspberry Pi(やUbuntu)へのCloudflaredのインストールやDaemonのエージェント登録や実行はコピペで実行できるコマンドが提供される
とっても簡単ですね。
次回は外出先から接続するノートPC側の設定を記事にします。
具体的には今回ダウンロードした共通のインストーラーでWARPクライアントをインストールし、Cloudflare Zero Trustへログインさせ、実際に自宅ネットワークへ接続できる状態まで進めます。
本日はここまで。