DocsDigest
Back to listLanguage: JA
ClaudeCloudflareApr 14, 2026, 1:00 PM

Secure private networking for everyone: users, nodes, agents, Workers — introducing Cloudflare Mesh

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

claudeenmodel: claude-haiku-4-5

Cloudflare Mesh: Unified Private Networking for Users, Agents, and Services

private-networkingmeshagentszero-trustworkerscloudflare-onesecurity

Key Points

  • Unified private networking for agents, users, and services across clouds
  • Built-in security controls from Cloudflare One platform with no extra configuration
  • Workers VPC integration enables agents to access entire Mesh networks via single binding

Summary

Cloudflare has introduced Cloudflare Mesh, a new private networking solution designed for the agentic era. Mesh enables secure, bidirectional connectivity across users, nodes, agents, and services—solving the challenge of allowing AI agents and autonomous software to access private infrastructure without exposing it to the public internet.

Key Points

  • Unified Connectivity: Single lightweight connector (Mesh node) replaces separate tools for VPNs, SSH tunnels, and service exposure. Devices communicate over private IPs routed through Cloudflare's 330+ city global network.

  • Built on Cloudflare One Platform: Mesh inherits existing security controls—Gateway policies, Access rules, device posture checks, DNS filtering, and DLP—automatically apply to all traffic without additional configuration.

  • Three Core Use Cases:

    • Personal agents (e.g., OpenClaw on home Mac mini) accessible securely from mobile/remote devices
    • Coding agents accessing private staging databases and internal APIs
    • Deployed agents on Workers accessing private services with scoped permissions and audit trails

  • Developer-Friendly Pricing: 50 nodes and 50 users included free with every Cloudflare account. No relay server fallbacks or degraded paths—all traffic routes through Cloudflare's global backbone.

  • Workers VPC Integration: Agents built with Agents SDK on Cloudflare Workers can now access entire Mesh networks via a single binding. Specify networks in wrangler.jsonc and fetch internal resources (databases, APIs, MCPs) directly from Worker code.

  • Mesh vs. Tunnel: Tunnel handles unidirectional traffic to specific services; Mesh provides full bidirectional, many-to-many networking where any device discovers and accesses any resource without per-resource configuration.

  • High Availability: Multi-connector setup with automatic failover when enabled. Existing Cloudflare One customers already have Mesh access.

Full Translation

Translations

A translation section that keeps the flow of the original article.

claudejamodel: claude-haiku-4-5

誰もが使える安全なプライベートネットワーク: ユーザー、ノード、エージェント、Workers — Cloudflare Meshの紹介

AIエージェントがプライベートネットワークアクセスの考え方を変えた

あなたのコーディングエージェントはステージング環境のデータベースをクエリする必要があります。本番環境のエージェントは内部APIを呼び出す必要があります。個人用AIアシスタントはホームネットワークで実行されているサービスに到達する必要があります。

クライアントはもはや人間やサービスだけではありません。それらはエージェント、自律的に実行され、明示的に承認していないリクエストを行い、セキュアに保つ必要があるインフラストラクチャに対して動作します。

これらのワークフローはすべて同じ根本的な問題を抱えています: エージェントはプライベートリソースに到達する必要がありますが、それを行うためのツールは人間向けに構築されており、自律型ソフトウェア向けではありません。VPNはインタラクティブなログインが必要です。SSHトンネルは手動セットアップが必要です。サービスを公開することはセキュリティリスクです。そして、これらのアプローチのいずれも、接続後にエージェントが実際に何をしているかについての可視性を提供しません。

本日、プライベートネットワークを接続し、エージェントに安全なアクセスを提供するCloudflare Meshを紹介します。また、MeshをCloudflare Developer Platformと統合し、Workers、Durable Objects、およびAgents SDKで構築されたエージェントがプライベートインフラストラクチャに直接到達できるようにしています。

Cloudflare OneのSASEおよびZero Trustスイートを使用している場合、すでにMeshにアクセスできます。エージェント型ワークロードをセキュアにするために新しいテクノロジーパラダイムは必要ありません。エージェント時代向けに構築されたSASEが必要であり、それがCloudflare Oneです。

Cloudflare Meshの紹介

Cloudflare Meshは、すでに使い慣れているオンランプを活用した、よりシンプルなセットアップの新しいエクスペリエンスです: WARP Connector(現在はCloudflare Meshノードと呼ばれています)とWARP Client(現在はCloudflare One Clientと呼ばれています)。これらは一緒に、人間、開発者、およびエージェントトラフィック用のプライベートネットワークを作成します。

Meshは既存のCloudflare One展開に直接統合されています。既存のGatewayポリシー、Accessルール、およびデバイスポスチャチェックは自動的にMeshトラフィックに適用されます。

プライベートネットワークをエージェント、サービス、およびチーム向けに必要とする開発者の場合、Meshはここから始まります。数分でセットアップし、ネットワークを接続し、トラフィックをセキュアにします。MeshはCloudflare Oneプラットフォーム上で実行されるため、時間とともにより高度な機能に成長できます:

  • Gateway ネットワーク、DNS、およびHTTPポリシー(きめ細かいトラフィック制御用)
  • Access for Infrastructure(SSHおよびRDPセッション管理用)
  • Browser Isolation(安全なウェブアクセス用)
  • DLP(ネットワークから機密データが流出するのを防ぐため)
  • CASB(SaaSセキュリティ用)

初日にこれらすべてを計画する必要はありません。必要な場合に移行する必要もありません。

新しいエージェント型ワークフロー

プライベートネットワークは常にクライアントをリソースに接続することについてでした — サーバーへのSSH、データベースのクエリ、内部APIへのアクセス。変わったのはクライアントが誰であるかです。

1年前の答えは開発者とサービスでした。今日、それはますますエージェントです。これは理論的ではありません。エコシステムを見てください: ツールアクセスを提供するMCP(Model Context Protocol)サーバーの爆発的増加、プライベートリポジトリとデータベースから読み取る必要があるコーディングエージェント、ホームハードウェアで実行されている個人用アシスタント。これらのパターンはそれぞれ、エージェントが必要なリソースに到達できることを前提としています。これらのリソースがプライベートネットワークに分離されている場合、エージェントは立ち往生します。

これにより、今日セキュアにするのが難しい3つのワークフローが作成されます:

モバイルデバイスから個人用エージェントにアクセスする

MacminiでOpenClawを実行しています。電話、コーヒーショップのラップトップ、または仕事用マシンからそれに到達したいと考えています。しかし、パスワードの後ろにあっても、公開インターネットに公開することは、いくつかのギャップを露出させる可能性があります。エージェントはシェルアクセス、ファイルシステムアクセス、およびホームネットワークへのネットワークアクセスを持っています。1つの設定ミスで、誰でもそれに到達できます。

コーディングエージェントにステージング環境へのアクセスを許可する

ラップトップでClaude Code、Cursor、またはCodexを使用しています。デプロイメントステータスをチェック、ステージングデータベースから分析をクエリ、または内部オブジェクトストアから読み取るよう求めます。しかし、これらのサービスはプライベートクラウドVPCに存在するため、エージェントはそれらをインターネットに公開するか、ラップトップ全体をVPCにトンネリングすることなく到達できません。

デプロイされたエージェントをプライベートサービスに接続する

Cloudflare WorkersのAgents SDKを使用してエージェントを製品に構築しています。これらのエージェントは内部APIを呼び出し、データベースをクエリし、公開インターネット上にないサービスにアクセスする必要があります。プライベートアクセスが必要ですが、スコープ付きアクセス許可、監査証跡、および認証情報漏洩がありません。

Cloudflare Mesh: ユーザー、ノード、およびエージェント用の1つのプライベートネットワーク

Cloudflare Meshは開発者向けのプライベートネットワークです。1つの軽量コネクタ、1つのバイナリがすべてを接続します: 個人用デバイス、リモートサーバー、ユーザーエンドポイント。各パターン用に個別のツールをインストールする必要はありません。ネットワーク上の1つのコネクタで、すべてのアクセスパターンが機能します。

接続されると、プライベートネットワーク内のデバイスはプライベートIPを介して相互に通信でき、330以上の都市にあるCloudflareのグローバルネットワークを通じてルーティングされ、ネットワークの信頼性と制御が向上します。

Meshを使用すると、単一のソリューションが上記で説明したすべてのエージェントシナリオを解決できます:

  • iPhoneのCloudflare One Clientを使用して、モバイルデバイスをMeshプライベートネットワーク経由でOpenClawを実行しているローカルMacminiに安全に接続できます。
  • macOSのCloudflare One Clientをラップトップで使用して、ラップトップをプライベートネットワークに接続し、コーディングエージェントがステージングデータベースまたはAPIに到達してクエリできるようにします。
  • LinuxサーバーのMeshノードを使用して、外部クラウドのVPCを接続し、エージェントが外部プライベートネットワークのリソースとMCPにアクセスできるようにします。

MeshはCloudflare One Clientで駆動されるため、すべての接続はCloudflare Oneプラットフォームのセキュリティ制御を継承します。Gatewayポリシーはメッシュトラフィックに適用されます。デバイスポスチャチェックは接続デバイスを検証します。DNSフィルタリングは疑わしいルックアップをキャッチします。追加の設定なしでこれを取得します: 人間トラフィックを保護するのと同じポリシーがエージェントトラフィックを保護します。

MeshとTunnelの選択

Meshの導入により、Tunnelの代わりにMeshをいつ使用すべきかと疑問に思うかもしれません。どちらも外部ネットワークをCloudflareにプライベートに接続しますが、異なる目的を果たします。

Cloudflare Tunnelは単方向トラフィック向けの理想的なソリューションであり、Cloudflareはエッジからトラフィックを特定のプライベートサービス(Webサーバーやデータベースなど)にプロキシします。

Cloudflare Meshは、一方、完全な双方向、多対多ネットワークを提供します。Mesh上のすべてのデバイスとノードは、プライベートIPを使用して相互にアクセスできます。ネットワークで実行されているアプリケーションまたはエージェントは、各リソースが独自のTunnelを必要とすることなく、Mesh上の他のリソースを発見してアクセスできます。

Cloudflareのネットワークの力を活用する

Cloudflare Meshはメッシュネットワークの利点(復元力、高スケーラビリティ、低レイテンシ、高パフォーマンス)を提供しますが、Cloudflareを通じてすべてをルーティングすることで、メッシュネットワークの主要な課題を解決します: NAT走査。

インターネットのほとんどはNAT(Network Address Translation)の背後にあります。このメカニズムにより、デバイスのローカルネットワーク全体が、パブリックヘッダーとプライベート内部アドレス間のトラフィックをマッピングすることで、単一のパブリックIPアドレスを共有できます。2つのデバイスがNATの背後にある場合、直接接続は失敗し、トラフィックはリレーサーバーにフォールバックする必要があります。リレーインフラストラクチャのポイントオブプレゼンスが限定されている場合、トラフィックの大部分がこれらのリレーにヒットし、レイテンシが追加され、信頼性が低下します。自分のリレーサーバーをセルフホストして補うことは可能ですが、既存のネットワークを接続するだけのために追加のインフラストラクチャを管理する負担を引き受けることを意味します。

Cloudflare Meshは異なるアプローチを採用しています。すべてのMeshトラフィックはCloudflareのグローバルネットワークを通じてルーティングされ、インターネットの最大のWebサイトの一部のトラフィックを提供するのと同じインフラストラクチャです。クロスリージョンまたはマルチクラウドトラフィックの場合、これは一貫して公開インターネットルーティングを上回ります。劣化したフォールバックパスはありません。Cloudflareエッジがパスだからです。

Cloudflareを通じてルーティングすることは、すべてのパケットがCloudflareのセキュリティスタックを通過することも意味します。これはCloudflare Oneプラットフォーム上にMeshを構築する主な利点です: セキュリティは後で追加する別の製品ではありません。

この同じグローバルバックボーンを活用することで、初日からすべてのチームに次のコア柱を提供できます:

50ノードと50ユーザーは無料

チーム全体とステージング環境全体が1つのプライベートネットワーク上にあり、すべてのCloudflareアカウントに含まれています。

グローバルエッジルーティング

330以上の都市、最適化されたバックボーンルーティング。ポイントオブプレゼンスが限定されたリレーサーバーはありません。劣化したフォールバックパスはありません。

初日からのセキュリティ制御

MeshはCloudflare Oneで実行されます。Gatewayポリシー、DNSフィルタリング、DLP、トラフィック検査、およびデバイスポスチャチェックはすべて同じプラットフォームで利用可能です。シンプルなプライベート接続から始めます。トラフィックフィルタリングが必要な場合はGatewayポリシーをオンにします。SSHおよびRDPのセッションレベルの制御が必要な場合はAccess for Infrastructureを有効にします。ネットワークから機密データが流出するのを防ぐ必要がある場合はDLPを追加します。すべての機能は1つのトグルで利用可能です。

高可用性

高可用性を有効にしてMeshノードを作成し、同じトークンを使用してアクティブ-パッシブモードで複数のコネクタをスピンアップします。同じIPルートをアドバタイズするため、1つがダウンした場合、トラフィックは自動的にフェイルオーバーします。

Developer PlatformとWorkers VPCとの統合

Meshは外部クラウド全体のエージェントとリソースを接続しますが、Agents SDKを使用してWorkers上に構築されたエージェントから接続できる必要もあります。これを有効にするために、Workers VPCを拡張して、プライベートネットワーク全体をWorkersおよびDurable Objectsからアクセスできるようにしました。

これは、WorkersからCloudflare Meshネットワークに接続でき、単一のバインディングのfetch()呼び出しからネットワーク全体にアクセスできることを意味します。これはWorkers VPCの既存のCloudflare Tunnelサポートを補完し、ネットワークをセキュアにする方法についてより多くの選択肢を提供します。

wrangler.jsoncファイルで接続したい全体的なネットワークを指定できるようになりました。Meshネットワークにバインドするには、Meshネットワークにバインドするcf1:networkリザーブキーワードを使用します:

"vpc_networks": [
  {
    "binding": "MESH",
    "network_id": "cf1:network",
    "remote": true
  },
  {
    "binding": "AWS_VPC",
    "tunnel_id": "350fd307-...",
    "remote": true
  }
]

その後、Workerまたはエージェントコードでそれを使用できます:

export default {
  async fetch(request: Request, env: Env, ctx: ExecutionContext) {
    // Reach any internal host on your Mesh, no pre-registration required
    const apiResponse = await env.MESH.fetch("http://10.0.1.50/api/data");
    // Internal hostname resolved via tunnel's private DNS resolver
    const dbResponse = await env.AWS_VPC.fetch("http://internal-db.corp.local:5432");
    return new Response(await apiResponse.text());
  },
};

Developer PlatformをMeshネットワークに接続することで、プライベートデータベース、内部API、およびMCPへの安全なアクセスを持つWorkersを構築でき、クロスクラウドエージェントとMCPを構築して、アプリにエージェント機能を提供できます。

しかし、エージェントがスタック全体をエンドツーエンドで自律的に観察し、ログをクロスリファレンスし、リアルタイムで最適化を提案できる世界も開きます。

すべてがどのように適合するか

Cloudflare Mesh、Workers VPC、およびAgents SDKは、CloudflareとExternalクラウドの両方にまたがるエージェント用の統一されたプライベートネットワークを提供します。接続とコンピュートをマージしたため、エージェントは、世界中のどこに住んでいても、必要なリソースに安全に到達できます。

Meshノードはサーバー、VM、およびコンテナです。