Inżynier Chmury dla ZTNA Security Cloudflare na wdrożeniu Coolify na serwerach Bare-Metal Hetzner

Cel

Poszukujemy doświadczonego Inżyniera Chmury, który zaprojektuje, wdroży, zabezpieczy i udokumentuje dwa środowiska oparte na Coolify na serwerach bare-metal Hetzner.
Skupiamy się na całkowitym zablokowaniu serwerów przed Internetem i udostępnieniu dostępu tylko przez Cloudflare Tunnel (Zero Trust), z uwierzytelnieniem za pomocą Microsoft Entra ID (Azure AD) SSO oraz agentów Cloudflare WARP zainstalowanych na urządzeniach pracowników.

Film instruktażowy oraz 1-godzinne spotkanie wideo zakończą projekt, aby zapewnić płynne wdrożenie wewnętrzne.

Zakres Pracy

1. Przygotowanie Infrastruktury (Hetzner)

• Konfiguracja Serwera
  Wdrożenie dwóch serwerów bare-metal Hetzner:

  1. Serwer Główny (Coolify Central System) – uruchamiający pulpit zarządzania i orkiestrację Coolify.

  2. Serwer Zapasowy (VPN & Usługi) – uruchamiający Dockerizowanego WireGuarda (WG-Easy lub równoważny) dla dostępu do VPN firmy oraz do hostowania dodatkowych usług w przyszłości.

• Konfiguracja Zapory Hetzner

  • Użyj zapory bezstanowej Hetzner Robot dla obu serwerów.

  • Domyślnie: wszystkiemu przychodzącemu ruchowi zablokowane, chyba że wyraźnie dozwolone

  • Skonfiguruj ustawienia reguł w kolejności (maks. 10 na kierunek) z protokołem, IP, portem i akcją

  • Zezwól na ruch zwrotny przez porty ephemeryczne TCP ACK 32768–65535

  • Zezwól na ruch wychodzący wymagany dla Cloudflare Tunnel i aktualizacji.

2. Instalacja i Utwardzanie Coolify

• Wdrożenie najnowszej wersji Coolify hostowanej samodzielnie przy użyciu Dockera na Serwerze Głównym.

• Podczas konfiguracji otwórz niezbędne porty (22 SSH, 80/443 do wydania SSL, 8000/6001/6002 do początkowego UI), a następnie zamknij je po skonfigurowaniu.

• Upewnij się, że obejście NAT Dockera jest uwzględnione: ogranicz ekspozycję przy użyciu zapory Hetzner.

• Zintegruj usługi Coolify z Cloudflare Tunnel, aby udostępnić tylko przez dostęp Zero Trust.

3. Integracja Cloudflare Tunnel i Zero Trust

• Wdrożenie cloudflared na obu serwerach.

• Skonfiguruj reguły wychodzące, aby zezwolić na port 7844 TCP/UDP – wymagany przez Cloudflare Tunnel.

• Powiąż tunele z Cloudflare Zero Trust, zapewniając, że żadne porty przychodzące nie pozostaną otwarte.

• Skonfiguruj polityki Zero Trust ograniczające dostęp do pracowników firmy uwierzytelnionych za pomocą Microsoft Entra ID (Azure AD) SSO.

• Zintegruj Entra ID jako dostawcę tożsamości: podaj identyfikator aplikacji, identyfikator dzierżawy i sekret, a następnie skonfiguruj w panelu Cloudflare.

4. Wdrożenie VPN (Serwer Zapasowy)

• Wdrożenie WG-Easy (Dockerizowany interfejs użytkownika WireGuard):

  • Zapewnia zarządzanie przez przeglądarkę dla VPN WireGuard.

  • Ułatwia tworzenie/odwoływanie użytkowników VPN oraz konfigurację urządzeń.

• Udostępnij port UDP WireGuard (51820/51821) tylko przez Cloudflare Tunnel.

• Upewnij się, że dostęp do VPN jest powiązany z tożsamością Zero Trust i politykami urządzeń.

5. Dokumentacja i Szkolenie

• Dostarcz kompleksowy nagrany film instruktażowy obejmujący:

  • Reguły zapory i konfigurację Hetzner Robot.

  • Instalację Coolify, wdrożenie aplikacji oraz dodawanie/usuwanie serwerów.

  • Konfigurację Cloudflare Tunnel i polityki Zero Trust.

  • Zarządzanie VPN z WG-Easy.

• Przeprowadź 1-godzinne spotkanie wideo w celu:

  • Odpowiedzi na pytania.

  • Walidacji wewnętrznego zrozumienia.

  • Zapewnienia, że organizacja może samodzielnie działać i rozszerzać konfigurację.

Dostarczane materiały

1. Podręcznik wdrożeniowy i film demonstracyjny pokazujący:

   • Skonfigurowane dwa serwery bare-metal Hetzner:

     • System centralny Coolify (główny).

     • System VPN/Usług (zapasowy).

   • Integracja Cloudflare Tunnel Zero Trust:

     • Microsoft Entra ID (Azure AD) SSO.

     • Wymuszenie na podstawie urządzeń WARP.

   • Dockerizowany VPN WireGuard (WG-Easy) wdrożony i zabezpieczony.

   • Reguły zapory udokumentowane i skryptowane dla powtarzalności.

2. Pakiet szkoleniowy:

   • Jednogodzinne na żywo spotkanie Q&A.

Wymagania dla Kandydatów

• Udokumentowane doświadczenie w wdrożeniach serwerów bare-metal Hetzner.

• Dogłębna wiedza na temat konfiguracji zapory Hetzner Robot.

• Silne doświadczenie w Linuxie, Dockerze i Coolify.

• Udokumentowane osiągnięcia w zakresie Cloudflare Tunnel, Zero Trust, WARP i Microsoft Entra ID (Azure AD) SSO.

• Doświadczenie w wdrożeniach VPN WireGuard / WG-Easy.

• Doskonałe umiejętności dokumentacyjne i komunikacyjne.

Zasoby zewnętrzne:

Zapora Hetzner: docs.hetzner.com

Zapora Coolify: coolify.io

Cloudflare Tunnel z zaporą: developers.cloudflare.com

Microsoft Entra ID: developers.cloudflare.com

Jak zainstalować Wg-Easy: docs.vultr.com