🔌 XPipe + Cloudflare Tunnel - Team Setup

Remote Team Access zu XPipe Connection Hub

🔐 CRITICAL: Access Control erforderlich

XPipe Tunnel MUSS mit Cloudflare Access geschützt werden!

📘 Setup Guide: Security Cloudflare Access

Warum?

• XPipe hat Zugriff auf ALLE Server & Docker Container
• SSH Keys und Credentials im XPipe Vault
• Team kann Commands auf Production Servern ausführen
• Höchste Sicherheitsstufe nötig!

Access Policy:

• Application: xpipe.g100.dev
• Include: Core Team only (Email Whitelist)
• Require: One-Time PIN + 2FA (später)
• Session: 8 hours max
• Audit Logs: ACTIVE

---

🎯 Problem & Lösung

Problem

• XPipe ist Desktop App (läuft lokal auf deinem Mac)
• Team braucht Zugriff auf deine Connections
• Team braucht Zugriff auf Server/Docker/Kubernetes

✅ Lösung: Cloudflare Tunnel

┌─────────────────────────────────────────┐
│  DEIN MAC (lokal)                       │
│                                         │
│  ┌────────────┐                         │
│  │   XPipe    │ ← Desktop App           │
│  └─────┬──────┘                         │
│        │                                 │
│        ├─→ SSH Connections              │
│        ├─→ Docker Containers            │
│        ├─→ Kubernetes Clusters          │
│        └─→ MCP Server (Port 21721)      │
│                                         │
│  ┌──────────────────────┐               │
│  │ Cloudflare Tunnel    │               │
│  │ (cloudflared)        │               │
│  └──────────┬───────────┘               │
│             │                           │
└─────────────┼───────────────────────────┘
              │
              ▼ HTTPS
    ┌─────────────────────┐
    │ Cloudflare Edge     │
    │ xpipe.your-domain   │
    └─────────┬───────────┘
              │
              ▼
    ┌─────────────────────┐
    │  TEAM (weltweit)    │
    │  - Developer A      │
    │  - Developer B      │
    │  - AI Agents        │
    └─────────────────────┘

---

🚀 Setup Guide

1. XPipe lokal installieren

# macOS
brew install --cask xpipe-io/tap/xpipe

# Starten
open /Applications/XPipe.app

2. MCP Server aktivieren

In XPipe: 1. Settings → Automation → MCP Server 2. ✅ Enable MCP Server 3. ✅ Enable Write Operations 4. Port: 21721 (default) 5. Generate API Key → KOPIEREN!

3. Cloudflare Tunnel erstellen

# Cloudflared installieren
brew install cloudflare/cloudflare/cloudflared

# Login zu Cloudflare
cloudflared tunnel login

# Tunnel erstellen
cloudflared tunnel create xpipe-team-access

# Output:
# Tunnel credentials written to:
# /Users/gm/.cloudflared/<TUNNEL_ID>.json
# ✅ Copy <TUNNEL_ID>

4. Tunnel konfigurieren

Erstelle: ~/.cloudflared/config.yml

tunnel: <TUNNEL_ID>  # Von Schritt 3
credentials-file: /Users/gm/.cloudflared/<TUNNEL_ID>.json

ingress:
  # XPipe MCP Server
  - hostname: xpipe.contractplattform.dev
    service: http://localhost:21721
    originRequest:
      noTLSVerify: true

  # Fallback
  - service: http_status:404

5. DNS konfigurieren

# Automatisch DNS Record erstellen
cloudflared tunnel route dns xpipe-team-access xpipe.contractplattform.dev

# Output:
# ✅ Created CNAME record for xpipe.contractplattform.dev

6. Tunnel starten

# Foreground (zum Testen)
cloudflared tunnel run xpipe-team-access

# Background (Production)
cloudflared service install xpipe-team-access

macOS Service:

# Service starten
sudo launchctl load /Library/LaunchDaemons/com.cloudflare.cloudflared.plist

# Status prüfen
sudo launchctl list | grep cloudflared

---

🤝 Team Access Setup

Team Member Config

Auf jedem Team Mac/PC:

Claude Desktop Config (~/Library/Application Support/Claude/claude_desktop_config.json):

{
  "mcpServers": {
    "xpipe-team": {
      "command": "http",
      "args": ["https://xpipe.contractplattform.dev"],
      "env": {
        "XPIPE_API_KEY": "YOUR_XPIPE_API_KEY_FROM_STEP_2"
      }
    }
  }
}

Cursor Config (.cursor/mcp_config.json):

{
  "mcpServers": {
    "xpipe": {
      "url": "https://xpipe.contractplattform.dev",
      "headers": {
        "Authorization": "Bearer YOUR_XPIPE_API_KEY"
      }
    }
  }
}

---

🔐 Security Best Practices

1. API Key Rotation

# In XPipe:
# Settings → MCP Server → Regenerate API Key

# Team muss Config updaten!

2. Access Control

Cloudflare Access (optional, für zusätzliche Sicherheit):

# In Cloudflare Dashboard:
# Zero Trust → Access → Applications → Add an application

Name: XPipe MCP Server
Domain: xpipe.contractplattform.dev
Policy: 
  - Email ends with: @your-company.com
  - Require GitHub Auth

3. Read-Only für bestimmte Team Members

In XPipe: - Settings → MCP Server - ❌ Disable "Enable Write Operations" für read-only access - Team kann dann nur lesen, nicht deployen

---

🐳 Docker Container Access via XPipe

Use Case: Team greift auf Docker Container zu

Setup in XPipe:

1. New Connection → Docker
2. Host: docker.host.internal (local Docker)
3. Containers: Auto-detect

Team kann dann:

# Via AI Agent (Claude/Cursor):
"Agent, list all Docker containers on production server via XPipe"

# Agent führt aus:
# → XPipe MCP Tool: list_containers
# → Zeigt alle Container

---

🎬 Workflow Example: Team Deployment

Szenario: Developer B deployed MORELO API

Developer B (remote in Berlin):

Prompt in Claude:
"Deploy MORELO API to production via XPipe"

Agent Workflow: 1. Verbindet zu https://xpipe.contractplattform.dev 2. Authentifiziert mit API Key 3. Führt XPipe Script deploy-morelo-safe.sh aus 4. Liest Output 5. Berichtet Success/Failure

Dein Mac (in München): - XPipe läuft im Hintergrund - Cloudflare Tunnel leitet Request weiter - Script wird lokal ausgeführt - Output wird zurück an Developer B gesendet

---

📊 Monitoring & Logs

Cloudflare Tunnel Logs

# Live Logs
cloudflared tunnel logs xpipe-team-access

# Oder in Cloudflare Dashboard:
# Zero Trust → Tunnels → xpipe-team-access → Logs

XPipe Logs

# macOS Logs
tail -f ~/Library/Application\ Support/XPipe/logs/xpipe.log

# Oder in XPipe:
# Settings → Advanced → Show Logs

---

🔥 Advanced: Multiple Tunnels

Verschiedene Environments

# ~/.cloudflared/config.yml

tunnel: <TUNNEL_ID>
credentials-file: /Users/gm/.cloudflared/<TUNNEL_ID>.json

ingress:
  # Production XPipe
  - hostname: xpipe.contractplattform.dev
    service: http://localhost:21721

  # Staging XPipe (anderer Port)
  - hostname: xpipe-staging.contractplattform.dev
    service: http://localhost:21722

  # Dev MkDocs (bonus!)
  - hostname: docs.contractplattform.dev
    service: http://localhost:8000

  # Fallback
  - service: http_status:404

---

✅ Team Collaboration Features

Feature	Local Only	Mit Cloudflare Tunnel
SSH Connections	✅	✅ Via MCP
Docker Management	✅	✅ Via MCP
Kubernetes Access	✅	✅ Via MCP
Script Execution	✅	✅ Via MCP
AI Agent Access	✅ Lokal	✅ Weltweit
Team Sharing	❌ Git Vault	✅ Live Access
Security	🔒 Lokal	🔒 HTTPS + API Key

---

🎯 Next Steps

Phase 1: Lokal testen

1. XPipe installieren
2. MCP Server aktivieren
3. Lokal in Claude testen

Phase 2: Cloudflare Tunnel

1. cloudflared installieren
2. Tunnel erstellen
3. DNS konfigurieren
4. Tunnel starten

Phase 3: Team Onboarding

1. API Keys generieren
2. Team Configs verteilen
3. Access testen
4. Security Review

---

📚 Resources

Resource	URL
XPipe Docker Guide	https://docs.xpipe.io/guide/docker
XPipe VNC Guide	https://docs.xpipe.io/guide/vnc
Cloudflare Tunnel Docs	https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/
cloudflared Installation	https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/install-and-setup/installation/

---

🔥 BONUS: Git Vault + Cloudflare Tunnel

Beste Kombination:

Git Vault (für Connections & Scripts)
    ├── Team hat immer latest Connections
    ├── Versioniert mit Git
    └── Self-hosted Repository

Cloudflare Tunnel (für Live Access)
    ├── Team kann live deployen
    ├── AI Agents haben Zugriff
    └── Secure HTTPS + API Keys

---

Ready für Team Setup? 🚀

Next: Cloudflared installieren und ersten Tunnel erstellen!