• 多云VPS互联（阿里云 ↔ AWS ↔ Vultr 等）

• 开发机 ↔ 生产机私网访问

• 避免公网暴露端口，提高安全性

• 比Tailscale/ZeroTier更集成Zero Trust策略（身份验证、日志、DDoS防护）

准备工作

• 一个Cloudflare账号（免费Zero Trust也行）

• 两台Linux云服务器（推荐Ubuntu 22.04/24.04，Debian也OK）
• Server A：内网IP示例 10.88.0.5（阿里云私有网段）
• Server B：内网IP示例 172.31.10.20（AWS VPC）

• 两台服务器都有出站互联网能力（99%的VPS都满足）

• 登录 https://one.dash.cloudflare.com 开启Zero Trust

步骤详解

1. 在仪表板创建两个独立的WARP Connector Tunnel

1. 去 Networks → Connectors → Cloudflare Tunnels（或直接搜索Tunnels）

2. 点击 Create a tunnel

3. Tunnel type 选 WARP Connector

4. 名字随便起：
• Tunnel 1: server-a-vps
• Tunnel 2: server-b-vps

5. 创建后，仪表板会提示开启两个全局设置（如果没开）：
• Allow all Cloudflare One traffic to reach enrolled devices
• Assign a unique IP address to each device 这两个是必须的，不然WARP间无法互相路由。

6. 复制仪表板给的安装命令（后面会用）

2. 在每台服务器上安装并注册WARP Connector

3. 添加私有网络路由（最关键！）

• CIDR: 10.88.0.0/16（或你Server A的实际网段，甚至只加 /32 如 10.88.0.5/32）
→ 关联 Tunnel: server-a-vps

• CIDR: 172.31.0.0/16（或Server B的网段）
→ 关联 Tunnel: server-b-vps

4. 云服务器特有配置：启用IP转发 + 添加本地路由

• Server A 上：

• Server B 上：

• AWS EC2：必须在控制台关闭 Source/Destination Check（Networking tab → Edit → 关闭）

• GCP：创建实例时勾选 IP forwarding，或用gcloud启用

• 阿里云/腾讯云：通常不用额外设置，但确认安全组允许出站

5. 测试连通性

• Server A：ping 172.31.10.20（Server B私有IP）

• Server B：ping 10.88.0.5

• SSH测试：ssh user@172.31.10.20（直接用私有IP）

常见问题 & 注意事项

• 防火墙：ufw/firewalld要放行warp接口流量。Cloudflare源IP范围：100.64.0.0/10

• 性能：有额外hop，但Cloudflare全球Anycast通常延迟低。测速看实际。

• 如果只连单机：网段用 /32 就够（比如只暴露服务器自身IP）

• 替代品对比：
• Tailscale/Netbird：更傻瓜，但免费额度有限
• VPC Peering：同云厂商更快，但跨云不行
• WARP Connector：免费、无限流量、集成Zero Trust策略

• 升级维护：定期 sudo apt update && sudo apt upgrade cloudflare-warp

结语