Cloudflare Tunnel là gì? Hướng dẫn cài đặt và thiết lập Cloudflare Tunnel

Cloudflare Tunnel là dịch vụ giúp kết nối ứng dụng, dịch vụ nội bộ ra internet thông qua kết nối outbound‑only từ máy chủ tới hạ tầng Cloudflare, không cần mở cổng inbound, NAT hay IP công khai. Với nhiều năm kinh nghiệm trực tiếp xử lý hàng trăm sự cố bảo mật cho các hệ thống máy chủ, mình nhận thấy việc mở port trực tiếp ra Internet luôn tiềm ẩn rủi ro rất lớn. Bài viết này được mình đúc kết từ quá trình triển khai thực tế Cloudflare Tunnel cho các hệ thống doanh nghiệp, giúp bạn hiểu rõ bản chất công nghệ và nắm vững các bước thiết lập một cách an toàn nhất.

Những điểm chính

• Quan điểm của mình: Việc chuyển đổi từ tư duy “phòng thủ Inbound” sang “chỉ cho phép Outbound” bằng Cloudflare Tunnel  giúp các hệ thống homelab lẫn production loại bỏ đến 99% các cuộc tấn công rà quét port tự động trên mạng.
• Khái niệm: Hiểu rõ Cloudflare Tunnel là một giải pháp kết nối an toàn, giúp bạn đưa các dịch vụ nội bộ ra Internet mà không cần mở cổng firewall hay có IP công khai.
• Cách thức hoạt động: Nắm vững nguyên lý hoạt động dựa trên kết nối outbound-only, giúp bạn hiểu rõ cách Cloudflare Tunnel bảo vệ máy chủ gốc khỏi các truy cập trực tiếp từ Internet.
• So sánh với Ngrok: Phân biệt rõ ràng các ưu điểm vượt trội của Cloudflare Tunnel, giúp bạn lựa chọn đúng công cụ phù hợp cho các dự án từ thử nghiệm nhanh đến triển khai sản xuất.
• Phân loại Tunnel: Phân biệt rõ giữa Quick Tunnels và Named Tunnels, giúp bạn lựa chọn đúng loại hình kết nối phù hợp cho từng mục đích, từ chia sẻ tạm thời đến vận hành ổn định.
• Cách cài đặt cloudflared: Nắm vững các bước cài đặt cloudflared trên nhiều hệ điều hành, giúp bạn chuẩn bị sẵn sàng công cụ cần thiết để thiết lập kết nối.
• Hướng dẫn thiết lập: Nắm vững quy trình cấu hình một Named Tunnel qua dashboard Zero Trust, giúp bạn có thể tự mình triển khai và đưa một dịch vụ nội bộ ra ngoài Internet một cách an toàn.
• Những hạn chế cần lưu ý: Nhận diện được các hạn chế và rủi ro tiềm ẩn, giúp bạn sử dụng Cloudflare Tunnel một cách an toàn, hiệu quả và tránh các sai lầm trong quá trình cấu hình.
• Biết thêm Vietnix là nhà cung cấp VPS uy tín để triển khai các giải pháp Cloudflare Tunnel.
• Câu hỏi thường gặp: Giải đáp các thắc mắc liên quan đến Cloudflare Tunnel.

Cloudflare Tunnel là gì?

Cloudflare Tunnel (trước đây gọi là Argo Tunnel) là giải pháp kết nối tài nguyên nội bộ như máy chủ, ứng dụng cục bộ hoặc mạng riêng với hạ tầng toàn cầu của Cloudflare mà không cần địa chỉ IP công khai hoặc mở cổng trên firewall. Cơ chế này giúp ẩn địa chỉ IP gốc của máy chủ, bảo vệ hệ thống khỏi các cuộc tấn công trực tiếp và DDoS.

Giải pháp này tận dụng mạng lưới 300+ datacenter toàn cầu, tích hợp Zero Trust cùng các tính năng bảo mật nâng cao, phù hợp cho homelab, developer và doanh nghiệp kết nối private app một cách ổn định. Origin chỉ tiếp nhận traffic qua Cloudflare, đảm bảo chặn inbound trực tiếp và hỗ trợ domain tùy chỉnh.

Bùng Nổ Doanh Thu Với VPS NVMe

Website nhanh hơn – Bán được nhiều hàng hơn

• Chiếm lĩnh TOP Google, hút traffic.
• Mua sắm mượt mà, tăng tỷ lệ chốt đơn.
• Chuyên gia kỹ thuật đồng hành 24/7.

Tăng tốc doanh thu ngay

Cách thức hoạt động của Cloudflare Tunnel

Thay vì để lưu lượng truy cập từ Internet đi trực tiếp vào máy chủ của bạn (Inbound), Cloudflare Tunnel hoạt động theo cơ chế Outbound-only (Chỉ kết nối ra ngoài). Quy trình hoạt động tóm tắt như sau:

1. Cài đặt Daemon: Một phần mềm nhẹ tên là cloudflared được cài đặt trên máy chủ của bạn.
2. Tạo đường hầm: cloudflared sẽ chủ động tạo một kết nối mã hóa đi ra ngoài tới các trung tâm dữ liệu (Edge server) gần nhất của Cloudflare.
3. Định tuyến Domain: Cloudflare tự động tạo một bản ghi DNS (dạng CNAME) kết nối tên miền của bạn trực tiếp vào đường hầm ảo vừa được tạo.
4. Điều hướng an toàn: Khi người dùng bên ngoài truy cập vào tên miền, request sẽ đi tới hệ thống kiểm duyệt của Cloudflare (vượt qua WAF, Zero Trust). Nếu hợp lệ, gói tin mới được đẩy vào đường hầm mã hóa và trả về chính xác máy chủ nội bộ của bạn. 

Trong một tunnel, bạn có thể chạy nhiều tiến trình cloudflared, mỗi tiến trình kết nối đến datacenter Cloudflare gần nhất để giảm độ trễ và tối ưu hiệu suất truyền tải. Mô hình này đảm bảo origin chỉ tiếp nhận lưu lượng qua Cloudflare, chặn hoàn toàn truy cập trực tiếp từ bên ngoài và tránh các cuộc tấn công bypass.

So sánh Cloudflare Tunnel và Ngrok

Cả hai đều là công cụ giúp đưa Localhost ra ngoài Internet, tuy nhiên mục đích sử dụng lại khác nhau. Dưới đây là bảng so sánh chi tiết:

Cloudflare Tunnel phân loại thành hai loại chính tùy theo mục đích sử dụng: Quick Tunnels và Named Tunnels, đáp ứng từ nhu cầu chia sẻ tạm thời đến triển khai ổn định lâu dài.

Quick Tunnels (Không cần domain)

Quick Tunnels cho phép tạo đường hầm ngay lập tức mà không yêu cầu tài khoản Cloudflare hay domain riêng, chỉ dùng một lệnh đơn giản như cloudflared tunnel --url localhost:3000 để nhận URL ngẫu nhiên dạng trycloudflare.com. Loại này lý tưởng cho chia sẻ nhanh ứng dụng local với đồng nghiệp hoặc testing tạm thời, giúp developer expose dịch vụ mà không mất thời gian cấu hình phức tạp.

Named Tunnels (Cần domain)

Named Tunnels bắt buộc bạn phải sử dụng một tên miền đang được quản lý hệ thống DNS tại Cloudflare. Dịch vụ sẽ tạo ra một đường hầm mạng cố định, vĩnh viễn và bạn có thể quản lý tập trung toàn bộ cài đặt qua giao diện web Cloudflare Zero Trust. Chúng hỗ trợ cấu hình nâng cao bao gồm nhiều endpoint, quy tắc bảo mật Zero Trust và chạy liên tục như service systemd, phù hợp cho production ổn định hoặc homelab lâu dài.

Cloudflared là daemon cốt lõi để triển khai Cloudflare Tunnel trên mọi hệ điều hành, với quy trình cài đặt đơn giản qua package manager hoặc tải trực tiếp từ GitHub Releases.

Cài đặt trên Linux (Ubuntu/Debian)

Bước 1: Cập nhật hệ thống bằng câu lệnh:

sudo apt update && sudo apt upgrade -y

Bước 2: Bạn tải package cloudflared mới nhất:

curl -L --output cloudflared.deb https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb

Bước 3: Sau đó cài đặt package:

sudo dpkg -i cloudflared.deb

Bước 4: Kiểm tra cài đặt thành công bằng:

cloudflared --version

Kết quả sẽ hiển thị phiên bản như cloudflared version 2025.x.x.

Cài đặt trên macOS

Bước 1: Bạn cài đặt Homebrew (nếu chưa có):

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Bước 2: Cài đặt cloudflared qua Homebrew bằng câu lệnh:

brew install cloudflare/cloudflare/cloudflared

Bước 3: Sau đó kiểm tra cài đặt bằng:

cloudflared --version

Homebrew tự động cập nhật phiên bản mới khi có.

Cài đặt trên Windows

Bước 1: Bạn truy cập GitHub Releases bằng đường dẫn: https://github.com/cloudflare/cloudflared/releases/latest.

Bước 2: Chọn và tải file MSI phù hợp:

• 64-bit: cloudflared-windows-amd64.msi.
• 32-bit: cloudflared-windows-386.msi.

Bước 3: Sau đó bạn chạy file MSI bằng cách double-click file vừa tải, chọn Next rồi chọn Install và nhấn Finish.

Bước 4: Kiểm tra trong Command Prompt/PowerShell. Phiên bản sẽ hiển thị nếu cài đặt đúng.

cloudflared --version

Cài đặt trên Docker

Bước 1: Bạn pull image chính thức bằng câu lệnh:

docker pull cloudflare/cloudflared:latest

Bước 2: Sau đó chạy Quick Tunnel test bằng:

docker run cloudflare/cloudflared:latest tunnel --url http://host.docker.internal:8000

Bước 3: Chạy persistent với volume bằng câu lệnh:

docker run -d --name cloudflared --restart always -v ~/.cloudflared:/etc/cloudflared cloudflare/cloudflared:latest tunnel run

Bạn cần tài khoản Cloudflare với domain đã thêm nameserver để bắt đầu thiết lập tunnel qua dashboard Zero Trust.

Bước 1: Thiết lập Cloudflare Zero Trust

Đầu tiên, bạn mở trình duyệt truy cập dash.teams.cloudflare.com và làm theo hướng dẫn thiết lập lần đầu tiên xuất hiện trên màn hình.

Bạn nhập tên team bất kỳ (có thể thay đổi sau này), sau đó nhấn nút Next. Sau đó, bạn chọn gói Free ($0/user/tháng) bằng cách nhấn Select Plan chọn Proceed rồi chọn Purchase (không yêu cầu thông tin thẻ tín dụng).

Bước 2: Tạo Tunnel mới

Bước 1: Trong dashboard của Zero Trust, bạn chọn Networks, chọn Tunnels và nhấn Create a tunnel.

Bước 2: Sau đó bạn đặt tên cho tunnel rồi nhấn Save tunnel.

Bước 3: Hệ thống sẽ sinh ra một đoạn mã (Token) duy nhất. Hãy copy đoạn mã tương ứng với hệ điều hành của bạn (ví dụ lấy lệnh Docker).

Bước 3: Cài đặt Connector trên máy chủ

Bước 1: Bạn truy cập SSH vào máy chủ chứa ứng dụng gốc.

Bước 2: Dán và chạy câu lệnh chứa Token bạn vừa copy ở trên. Ví dụ với Docker:

docker run -d --restart always cloudflare/cloudflared:latest tunnel --no-autoupdate run --token [YOUR_TOKEN])

Bước 3: Quay lại giao diện Cloudflare Web, nếu thấy trạng thái hiện Healthy và hiển thị đúng IP nội bộ, bạn nhấn Next.

Bước 4: Cấu hình Route dịch vụ

Bước 1: Bạn hãy chuyển sang tab Public Hostname và chọn Add a public hostname để tạo route mới cho dịch vụ.

Bước 2: Sau đó bạn điền đầy đủ thông tin sau:

• Subdomain: Chọn tiền tố mong muốn (VD: app hoặc nas).
• Domain: Chọn tên miền của bạn (VD: yourdomain.com).
• Service: Chọn loại giao thức truyền tải (HTTP, HTTPS, TCP, SSH) và trỏ vào địa chỉ IP cục bộ của ứng dụng (ví dụ: localhost:3000 hoặc IP mạng LAN 192.168.1.50:80).

Bước 3: Bạn nhấn Save hostname để lưu cấu hình. Cloudflare sẽ tự động tạo bản ghi CNAME để trỏ tên miền về tunnel của bạn.

Bước 5: Kiểm tra và kích hoạt HTTPS

Bước 1: Bạn mở trình duyệt và truy cập vào tên miền http://app.yourdomain.com.

Bước 2: Bạn vào SSL/TLS chọn Overview và chọn Full (strict) để kích hoạt HTTPS.

Bước 3: Sau đó bạn truy cập lại bằng https://app.yourdomain.com thấy tự động redirect từ HTTP sang HTTPS.

Bước 4: Bạn quay lại dashboard Tunnels xác nhận trạng thái tunnel hiển thị ACTIVE.

Những hạn chế khi dùng Cloudflare Tunnel

Mặc dù Cloudflare Tunnel mang lại nhiều lợi ích về bảo mật và khả năng kết nối dịch vụ nội bộ, bạn vẫn cần lưu ý một số giới hạn quan trọng dưới đây trước khi dùng cho môi trường production:

• Chỉ bảo vệ chiều vào: Cloudflare Tunnel chỉ mã hóa và bảo vệ các request đi vào ứng dụng thông qua tunnel. Còn các request từ dịch vụ của bạn đi ra ngoài như gọi API bên thứ ba hoặc truy vấn database bên ngoài sẽ không được hưởng lớp bảo mật này và vẫn cần cơ chế bảo vệ riêng như TLS, VPN hoặc firewall nội bộ.​
• Giới hạn với một số giao thức TCP/UDP: Không phải dịch vụ nào dùng TCP/UDP cũng có thể kết nối ra Internet ổn định qua Cloudflare Tunnel. Một số trường hợp như database MySQL có thể gặp khó khăn hoặc không hoạt động đúng, nên bạn cần kiểm tra kỹ trước khi dùng trong môi trường production.​
• Mỗi tunnel gắn với một origin: Mỗi Cloudflare Tunnel về bản chất được thiết kế để kết nối đến một origin server chính. Nếu bạn muốn tách biệt nhiều server độc lập hoặc nhiều môi trường, bạn sẽ phải tạo thêm tunnel tương ứng và quản lý chúng qua dashboard hoặc file cấu hình.​
• Độ trễ phụ thuộc routing toàn cầu: Do toàn bộ lưu lượng phải đi vòng qua mạng lưới datacenter của Cloudflare trước khi quay về origin, trong một số khu vực hoặc thời điểm cao tải, bạn có thể gặp độ trễ cao hơn so với việc truy cập trực tiếp, đặc biệt với ứng dụng real-time hoặc game.​
• Phụ thuộc vào độ ổn định của Cloudflare: Khi bạn đưa toàn bộ truy cập qua Cloudflare, nếu hệ thống Cloudflare gặp tấn công diện rộng, sự cố routing hoặc downtime khu vực, khả năng cao dịch vụ của bạn cũng sẽ bị gián đoạn dù server nội bộ vẫn chạy bình thường.​
• Cấu hình firewall không đúng dễ lộ origin: Nếu bạn không chặn toàn bộ inbound trực tiếp vào origin hoặc không giới hạn chỉ cho phép traffic từ dải IP/hostname Cloudflare, kẻ tấn công vẫn có thể truy cập thẳng IP server và bypass hoàn toàn tunnel, khiến mô hình bảo vệ origin mất tác dụng.​
• Không thay thế hoàn toàn VPN: Cloudflare Tunnel phù hợp publish một số dịch vụ cụ thể, nhưng không phải giải pháp route toàn bộ traffic thiết bị như VPN. Bạn vẫn cần VPN nếu muốn bảo vệ toàn bộ kết nối khi dùng WiFi công cộng hoặc cần truy cập full mạng nội bộ.​
• Nguy cơ lạm quyền truy cập nội bộ: Nếu bạn publish nguyên dải mạng LAN qua Zero Trust mà không thiết lập policy chi tiết, người dùng được cấp quyền có thể nhìn thấy hoặc truy cập nhiều thiết bị/dịch vụ hơn phạm vi bạn mong muốn.​
• Độ phức tạp tăng khi mở rộng: Với vài dịch vụ homelab thì cấu hình cloudflared khá đơn giản. Nhưng khi số lượng tunnel, hostname, private network và rule Access tăng lên, bạn phải quản lý thêm file config, chính sách truy cập, DNS và firewall, gây khó cho người mới hoặc team không chuyên về hạ tầng.​

Vietnix – Nền tảng VPS tối ưu cho mọi giải pháp Cloudflare Tunnel

Để khai thác tối đa sức mạnh của Cloudflare Tunnel, một hạ tầng máy chủ mạnh mẽ và đáng tin cậy là yếu tố không thể thiếu. Vietnix cung cấp dịch vụ thuê VPS uy tín tại Việt Nam, lý tưởng để bạn làm máy chủ gốc cho Cloudflare Tunnel. Với các gói dịch vụ đa dạng, cấu hình mạnh mẽ, ổ cứng NVMe siêu tốc và băng thông ổn định, Vietnix đảm bảo bạn có đủ tài nguyên để chạy daemon cloudflared, vận hành các ứng dụng và xử lý lưu lượng truy cập một cách mượt mà, phản hồi tức thì.

Thông tin liên hệ:

• Website: https://vietnix.vn/
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Địa chỉ: 265 Hồng Lạc, Phường Bảy Hiền, Thành Phố Hồ Chí Minh

Cloudflare Tunnel là giải pháp hiệu quả để triển khai các ứng dụng nội bộ ra bên ngoài một cách an toàn. Bằng cách tạo ra luồng giao tiếp một chiều từ máy chủ đến Cloudflare, hệ thống của bạn sẽ tránh được nhiều loại hình tấn công mạng phổ biến. Bạn có thể tìm hiểu thêm về cách thức vận hành của các tiêu chuẩn bảo mật mang qua các bài viết dưới đây: