Cloudflare AccessをWebアプリケーション向けに使う場合における電文変換問題について言及したいと思います。
イントラのWebアプリケーションへのリモートアクセスとしてCloudflare Accessを使うことは、テクノロジー的にSSL-VPNのリバースプロキシ型接続に近いものがあります。
(違いは色々あるかもしれませんが、SDPにカテゴライズされる製品の中でCyxtera AppGateのようにSplit Tunnelがベースとなっているものと比較し、エージェントレスである点・リバプロ型である点・ポータル画面(App Launcher)がある点などにおいて似ていると思います。
しかしCloudflareの場合、リバースプロキシ型であるにも関わらずHTMLの変換を一切行わない、ちょっと変わった?サービスのようにも思えます。
Cloudflare Accessの導入を検討する場合、イントラ内でしか通用しないFQDNで提供されているものを、外部公開用にFQDNを用意することと思います。
しかし、実サーバのホスト名と、ユーザーが実際にアクセスするホスト名が異なる場合で、HTMLを変換しないとアプリケーションによっては不具合を引き起こします。
例として、サイト内のリンクが絶対パスになっている場合や、処理の中でFQDNを使うJavaScriptなどが含まれる場合などです。
トンネル型なら変換の必要がありませんが、リバースプロキシ型なのにHTMLの変換をしないのは問題な気もしますが、皆さんはどう思いますか?
トンネル型の製品・・・Cyxtera AppGateなど
リバースプロキシ型で電文変換を行うもの・・・Microsoft Azure AD Application Proxyなど
リバースプロキシ型で電文変換を行わないもの・・・Cloudflare Access
Cloudflareにおいて機能エンハンスの予定などはありますでしょうか?
まあ、別の問題として、変換処理はとても複雑すぎて不具合が発生しやすいというのもあるので、どっちもどっちかもしれませんが。
(実際、SSL-VPNやApp Proxyにて結構高い確率で不具合が起こります(全く表示できない訳ではないがボタンなど一部機能が動作しないなど))