Cloudflare Access VPS 是一个专为 OpenClaw VPS 代理设计的零信任安全接入方案,通过在 Cloudflare 边缘网络层部署认证网关,实现对整个 VPS 托管服务的统一访问控制。该方案将 Cloudflare Zero Trust Access 与 OpenClaw 代理深度集成,在用户请求到达 VPS 本地服务之前强制实施身份验证机制。其核心架构采用分层防御策略:第一层由 Cloudflare Edge 执行访问策略检查,未通过认证的请求会被拦截并展示登录界面;通过认证后流量经由 Cloudflare Tunnel 隧道转发至本地端口(如 localhost:18789),随后继续经过 OpenClaw 的网关令牌认证和设备配对验证,形成多层安全防护体系。这种设计确保即使攻击者绕过外层防护,仍需突破后续的安全关卡才能接触实际服务。
核心功能特点
- 全域名统一认证入口:覆盖所有 URL 路径包括 /ws、/api/ 和控制面板界面
- 支持多种身份验证方式:邮件一次性密码、Google SSO、GitHub 登录及 TOTP 多因素认证
- 细粒度访问策略控制:可按邮箱、服务令牌或组织成员定义访问规则
- 原生 WebSocket 支持:自动处理升级请求中的认证头部信息
- 无侵入式部署:无需修改现有 OpenClaw 配置即可添加安全层
- 服务令牌机制:为 API 和原生应用提供静态凭证认证方式
适用场景
该解决方案特别适合需要高安全性远程访问的开发测试环境,例如个人开发者将本地运行的 OpenClaw 实例暴露到公网时,可通过 Cloudflare Access 实现企业级安全管控。对于团队协作场景,管理员可为不同子域分配独立访问策略,如 koda.yourdomain.com 仅允许所有者访问,而 agent2.yourdomain.com 则限定特定客户团队可见。企业客户还可结合 Google Workspace 或 GitHub 企业版实现统一身份管理,并利用 MFA 增强关键操作的安全性。当涉及自动化脚本或移动客户端连接时,服务令牌功能提供了传统浏览器登录无法支持的程序化认证途径,确保 API 接口和 WebSocket 网关也能受到同等保护。整体而言,此方案在保持原有系统架构不变的前提下,显著提升了远程访问的可控性和合规性水平。