はじめに
CDNなどのサービスを利用してオリジンに接続できるIPアドレス制限したい場合があります。Cloudflareでも自身のIPアドレス範囲(IPレンジ)を公開しています。
公開されているIPを登録することで、Cloudflare からのアクセスのみを許可します。
Azure Blobストレージの設定を例に説明していきます。
IPアドレス範囲
Cloudflare のIPアドレス範囲がIPv4とIPv6が下記に公開されいます。テキストでの公開もされていて簡単にコピペできるようにもなっています。
-
-
IP Ranges | Cloudflare
This page is intended to be the definitive source of Cloudflare’s current IP ranges.
www.cloudflare.com
このIPアドレスを許可するIPアドレスとして登録することで接続元を許可することが可能です。
Blobストレージではネットワークからファイアウォールの設定で行います。
登録した状態で、Cloudflareのプロキシを無効化します。設定したIPアドレス以外からはアクセスが行えなくなります。
Cloudflareのプロキシを有効化します。Curlではわかりにくいのでブラウザでアクセスして表示されるか確認します。
もしかしたらキャッシュが残っている可能性もあるのでキャッシュをパージします。
念のためすべてパージします。
再度ブラウザでアクセスしても対象が見れることを確認します。
まとめ
セキュリティの向上を名目にIPアドレス範囲を設定すつことがあると思いますが一応を行えます。実際にはCloudlareを設定している時点でオリジンのIPアドレスなどは隠ぺいされるのでそこまで気にする必要はないと思います。セキュリティポリシーに従って設定が必要だと考えます。