DocsDigest
一覧へLanguage: EN
OpenAICloudflare2026/04/14 13:00

Secure private networking for everyone: users, nodes, agents, Workers — introducing Cloudflare Mesh

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

Cloudflare Mesh を発表 — エージェント、ノード、Workers向けセキュアなプライベートネットワーク

cloudflaremeshworkersvpcsasezero-trust

Key Points

  • エージェント対応の双方向プライベートネットワーク
  • Workers と cf1:network で直接接続
  • Cloudflare One のポリシーを自動適用

Summary

Cloudflare Mesh は Cloudflare One 上で動作する開発者向けプライベートネットワークです。1つの軽量コネクタ(Mesh node)と Cloudflare One Client により、モバイル端末、サーバー、エージェント、Workers を同一のプライベートネットワークで相互接続し、既存の Gateway、Access、デバイスポスチャ等のセキュリティ制御を自動的に適用します。Workers VPC 統合により cf1:network を wrangler.jsonc にバインドして、Worker から env.MESH.fetch(...) でプライベートIPや内部APIに直接アクセスできます。

Key Points

  • 導入が簡単:1つのバイナリ(Mesh node)を配置し、Cloudflare One Client を有効化するだけで接続を開始可能
  • 双方向 many-to-many ネットワーク:Tunnel は単方向プロキシ用途、Mesh はネットワーク内のすべてのノード間でプライベートIPによる相互アクセスを提供
  • Workers 連携:vpc_networkscf1:network を追加して Workers から内部ホストへ直接アクセス(例:env.MESH.fetch('http://10.0.1.50/api')
  • 既存のセキュリティ統合:Gateway ポリシー、DNS フィルタ、DLP、Access for Infrastructure、デバイスポスチャが自動適用される
  • グローバルエッジ経路と NAT 解決:330+ 都市の Cloudflare エッジを経由することでリレー依存と遅延を低減
  • 高可用性:同一トークンで複数コネクタを active-passive 構成にしてルート広告で自動フェイルオーバー
  • 無料枠あり:50 ノードと 50 ユーザーまで無料で開始可能

Developer tips

  • wrangler.jsonc の最小例: "vpc_networks": [{"binding":"MESH","network_id":"cf1:network","remote":true}]
  • Worker からの呼び出し: const res = await env.MESH.fetch("http://10.0.1.50/api/data")
  • 運用上は Gateway ポリシーとデバイスポスチャをまず適用し、必要に応じて Access for Infrastructure(SSH/RDP)や DLP を順次有効化することを推奨します。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

すべての人のためのセキュアなプライベートネットワーキング:ユーザー、ノード、エージェント、Workers — Cloudflare Meshのご紹介

Secure private networking for everyone: users, nodes, agents, Workers — introducing Cloudflare Mesh(概要)

AIエージェントは、チームがプライベートネットワークアクセスを考える方法を変えました。あなたのコーディングエージェントはステージングのデータベースに問い合わせる必要があり、プロダクション用エージェントは内部APIを呼び出す必要があり、個人のAIアシスタントは自宅ネットワーク上で動くサービスに到達する必要があります。クライアントはもはや人間や単なるサービスだけではなく、エージェントとして自律的に動作し、明示的に承認していないリクエストをインフラに対して行います。これらのワークフローに共通する根本問題は同じです:エージェントがプライベートリソースに到達する必要がある一方で、そのための既存ツールは人間向けに作られており、自律ソフトウェア向けではないということです。

  • VPNは対話式ログインを要求する。
  • SSHトンネルは手動セットアップが必要。
  • サービスを公開することはセキュリティリスク。
  • どの手法も、接続後にエージェントが実際に何をしているかの可視化を提供しません。

本日、Cloudflare Mesh を発表します。これによりプライベートネットワークを接続し、エージェントに対するセキュアなアクセスを提供します。また Mesh を Cloudflare Developer Platform と統合して、Workers、Durable Objects、Agents SDK で構築したエージェントがあなたのプライベートインフラに直接到達できるようにします。

Cloudflare One の SASE と Zero Trust スイートを既に利用しているなら、Mesh はすでに利用可能です。エージェント化されたワークロードを保護するために新しい技術パラダイムを導入する必要はありません。必要なのはエージェント時代のために設計された SASE であり、それが Cloudflare One です。

Cloudflare Mesh は、より簡単なセットアップで既に馴染みのあるオンランプを活用する新しい体験です:WARP Connector(現在は Cloudflare Mesh node と呼ばれます)と WARP Client(現在は Cloudflare One Client と呼ばれます)。これらにより、人間、開発者、エージェントのトラフィックのためのプライベートネットワークを作成します。Mesh は既存の Cloudflare One 展開に直接統合されます。既存の Gateway ポリシー、Access ルール、デバイスポスチャチェックは Mesh トラフィックに自動で適用されます。

開発者としてエージェント、サービス、チームのためのプライベートネットワーキングだけを求めているなら、Mesh が出発点です。数分でセットアップし、ネットワークを接続してトラフィックを保護できます。さらに Mesh は Cloudflare One プラットフォーム上で動作するため、時間とともにより高度な機能へとスムーズに拡張できます:Gateway のネットワーク・DNS・HTTP ポリシーによる詳細なトラフィック制御、SSH/RDP セッション管理のための Access for Infrastructure、ブラウザアイソレーション、DLP、CASB など。これらすべてを初日から計画する必要はありません。必要になったときに移行する必要がないのです。

新しいエージェント化ワークフロー

プライベートネットワーキングは常にクライアントをリソースに接続することに関するものでした — サーバーへのSSH、データベースへのクエリ、内部APIへのアクセス。変わったのはクライアントが誰であるかです。一年前は開発者やサービスが主でしたが、現在はエージェントが増えています。

これは理論ではありません。エコシステムを見ればわかります:ツールアクセスを提供する MCP(Model Context Protocol)サーバーの爆発的増加、プライベートリポジトリやデータベースを読む必要があるコーディングエージェント、自宅ハードウェア上で動く個人アシスタントなど。それぞれのパターンは、エージェントが必要なリソースに到達できることを前提としています。リソースがプライベートネットワーク内に隔離されていると、エージェントは立ち往生します。これが今日セキュアにするのが難しい3つのワークフローを生み出しています:

  • 個人エージェントへモバイルデバイスからアクセスする場合

    • 例: 自宅のMac miniでOpenClawを動かしている。スマホやカフェのラップトップ、会社のマシンから到達したい。パスワードで保護して公開インターネットに晒すと、設定ミス1つでシェルアクセスやファイルシステム、ホームネットワーク全体へのアクセスが漏れる可能性がある。

  • コーディングエージェントにステージング環境へアクセスさせる場合

    • 例: Claude Code、Cursor、Codex をノートパソコンで使い、デプロイ状況を確認したり、ステージングDBや内部オブジェクトストアの分析を問い合わせたりする。これらのサービスがプライベートなクラウドVPC内にあると、エージェントはそれらへ到達できない(公開するか、ノートPC全体をVPCにトンネリングする必要がある)。

  • デプロイ済みエージェントをプライベートサービスに接続する場合

    • 例: Agents SDK を使って Cloudflare Workers 内にエージェントを組み込んでいる。これらのエージェントは内部APIを呼び出し、データベースをクエリし、パブリック・インターネット上にないサービスへアクセスする必要がある。スコープされた権限、監査ログ、資格情報漏洩の防止が必要。

Cloudflare Mesh:ユーザー、ノード、エージェントを一つのプライベートネットワークに

Cloudflare Mesh は開発者に優しいプライベートネットワーキングです。1つの軽量コネクタ、1つのバイナリで、個人デバイス、リモートサーバー、ユーザー端末などすべてを接続します。各パターンのために別個のツールをインストールする必要はありません。ネットワーク上に1つのコネクタを置けば、すべてのアクセスパターンが動作します。

接続されると、プライベートネットワーク内のデバイスはプライベートIPで互いに通信でき、Cloudflare のグローバルネットワーク(330+ cities)を経由してルーティングされ、信頼性と制御性が向上します。

Mesh により、前述したすべてのエージェントシナリオが単一のソリューションで解決できます:

  • Cloudflare One Client for iOS をスマホに入れれば、Mesh のプライベートネットワーク経由でローカルの Mac mini(OpenClaw)へ安全に接続できます。
  • Cloudflare One Client for macOS をラップトップに入れれば、ラップトップをプライベートネットワークに接続してコーディングエージェントがステージングDBやAPIへ到達可能になります。
  • Linuxサーバーに Mesh nodes を置けば、外部クラウドの VPC をつなぎ、エージェントが外部プライベートネットワーク内のリソースや MCP にアクセスできるようになります。

Mesh は Cloudflare One Client により駆動されるため、すべての接続は Cloudflare One プラットフォームのセキュリティ制御を継承します。Gateway ポリシーは Mesh トラフィックに適用され、デバイスポスチャチェックは接続デバイスを検証し、DNS フィルタリングは疑わしいルックアップを検出します。これらは追加設定なしで適用されます:人間のトラフィックを保護する同じポリシーがエージェントトラフィックも保護します。

Mesh と Tunnel の選択

Mesh の導入にあたり、いつ Mesh を使い、いつ Tunnel を使うべきか疑問に思うかもしれません。両者とも外部ネットワークを Cloudflare にプライベートに接続しますが、用途が異なります。

  • Cloudflare Tunnel は単方向のトラフィック(Cloudflare エッジから特定のプライベートサービスへのプロキシ)に最適です。例:ウェブサーバーやデータベース。
  • Cloudflare Mesh は双方向かつ多対多の完全なネットワークを提供します。Mesh 上のすべてのデバイスとノードはプライベートIPで互いにアクセスできます。ネットワーク内のアプリやエージェントが別のリソースを発見してアクセスする際に、各リソースが個別の Tunnel を必要としません。

Cloudflare のネットワークを活用する

Cloudflare Mesh はメッシュネットワークの利点(冗長性、高いスケーラビリティ、低レイテンシ、高性能)を提供しますが、同時にメッシュネットワークの主要な課題である NAT トラバーサルも解決します。多くのインターネットは NAT の背後にあり、直接接続が失敗した場合にリレーサーバーへフォールバックします。リレーの POI(ポイント・オブ・プレゼンス)が限られていると、トラフィックの一部がそれらに集中してレイテンシが増え、信頼性が低下します。

Cloudflare Mesh は異なるアプローチを取ります。すべての Mesh トラフィックは Cloudflare のグローバルネットワークを経由します。これはインターネット上の大規模なウェブサイトを支えるのと同じインフラです。リージョン間やマルチクラウド間のトラフィックにおいて、公衆インターネットルーティングを一貫して上回ります。劣化したフォールバック経路が存在せず、Cloudflare エッジ自体が経路です。

Cloudflare を経由することは、すべてのパケットが Cloudflare のセキュリティスタックを通過することも意味します。これが Mesh を Cloudflare One プラットフォーム上に構築する主要な利点です:セキュリティは後付けでボルトオンする別製品ではなく、初日から組み込まれています。

この同じグローバルバックボーンを活用して、以下のコア要素をすべてのチームに提供します:

  • 50 nodes と 50 users を無料で提供。チーム全員とステージング環境を1つのプライベートネットワークにまとめられます(すべての Cloudflare アカウントに含まれる)。
  • グローバルエッジルーティング。330+ cities、最適化されたバックボーンルーティング。限定された POI のリレーサーバーは不要。
  • 初日からのセキュリティ制御。Mesh は Cloudflare One 上で動作するため、Gateway ポリシー、DNS フィルタリング、DLP、トラフィック検査、デバイスポスチャチェックが利用可能です。

シンプルなプライベート接続から始め、必要に応じて Gateway ポリシーをオンにしてトラフィックフィルタリングを行い、SSH/RDP のセッションレベル制御が必要なら Access for Infrastructure を有効化し、機密データの流出を防ぐために DLP を追加できます。すべての機能はトグル1つで有効にできます。

高可用性

高可用性を有効にした Mesh node を作成し、同じトークンを使って複数のコネクタをアクティブ/パッシブモードで起動できます。これらは同じIPルートをアドバタイズするため、1つが落ちてもトラフィックは自動的にフェイルオーバーします。

Developer Platform(Workers)との統合

Mesh は外部クラウド間でエージェントとリソースを接続しますが、Workers 上で Agents SDK により構築されたエージェントからの接続も必要です。そのために、Workers VPC を拡張して、あなたの Mesh 全体を Workers と Durable Objects からアクセス可能にしました。つまり、Workers から Cloudflare Mesh ネットワークに接続でき、単一の binding の fetch() 呼び出しでネットワーク全体にアクセスできます。これは Workers VPC の既存の Cloudflare Tunnel サポートを補完し、ネットワークを保護する方法の選択肢を増やします。

wrangler.jsonc で接続したいネットワーク全体を指定できます。Mesh ネットワークにバインドするには、アカウントの Mesh ネットワークにバインドする予約キーワード cf1:network を使用します:

"vpc_networks": [
  {
    "binding": "MESH",
    "network_id": "cf1:network",
    "remote": true
  },
  {
    "binding": "AWS_VPC",
    "tunnel_id": "350fd307-...",
    "remote": true
  }
]

その後、Worker やエージェントコード内で使用できます:

export default {
  async fetch(request: Request, env: Env, ctx: ExecutionContext) {
    // Reach any internal host on your Mesh, no pre-registration required
    const apiResponse = await env.MESH.fetch("http://10.0.1.50/api/data");
    // Internal hostname resolved via tunnel's private DNS resolver
    const dbResponse = await env.AWS_VPC.fetch("http://internal-db.corp.local:5432");
    return new Response(await apiResponse.text());
  },
};

Developer Platform を Mesh ネットワークに接続することで、Workers からプライベートなデータベース、内部API、MCP に安全にアクセスできるため、クロスクラウドのエージェントや MCP を構築してアプリにエージェント機能を提供できます。同時に、エージェントがスタック全体を自律的に観察し、ログを横断的に参照してリアルタイムに最適化を提案するような世界も開きます。

全体のまとめ

Cloudflare Mesh、Workers VPC、Agents SDK を組み合わせることで、Cloudflare と外部クラウドの両方にまたがるエージェント向けの統一されたプライベートネットワークを提供します。接続性とコンピュートを統合することで、エージェントは世界中のどこにあっても必要なリソースに安全に到達できます。

Mesh nodes はあなたのサーバー、VM、コンテナです。