Gli agenti IA hanno cambiato il modo in cui i team considerano l'accesso alla rete privata. Il tuo agente di codifica deve eseguire query in un database di staging. Il tuo agente di produzione deve chiamare un'API interna. Il tuo assistente IA personale deve raggiungere un servizio in esecuzione sulla tua rete domestica. I clienti non sono più solo esseri umani o servizi. Sono agenti, che funzionano in modo autonomo, che effettuano richieste non approvate esplicitamente, rispetto all'infrastruttura che devi proteggere.
Ciascuno di questi flussi di lavoro ha lo stesso problema di fondo: gli agenti devono raggiungere risorse private, ma per farlo gli strumenti sono stati creati per gli esseri umani, non per il software autonomo. Le VPN richiedono l'accesso interattivo. I tunnel SSH richiedono la configurazione manuale. L'esposizione pubblica dei servizi è un rischio per la sicurezza. E nessuno di questi approcci ti dà visibilità su ciò che l'agente sta effettivamente facendo una volta connesso.
Oggi, presentiamo Cloudflare Mesh per connettere le tue reti private e fornire un accesso sicuro ai tuoi agenti. Stiamo anche integrando Mesh con Cloudflare Developer Platform in modo che Workers, Durable Objects e gli agenti creati con Agents SDK possano raggiungere direttamente la tua infrastruttura privata.
Se utilizzi la suite SASE e Zero Trust di Cloudflare One, hai già accesso a Mesh. Non è necessario un nuovo paradigma tecnologico per proteggere i carichi di lavoro basati su agenti. Hai bisogno di un SASE creato per l'era degli agenti, e questo è Cloudflare One. Cloudflare Mesh è una nuova esperienza con una configurazione più semplice che sfrutta gli on-ramp con cui hai già familiarità: WARP Connector (ora chiamato nodo Cloudflare Mesh) e WARP Client (ora noto come Cloudflare One Client). Insieme, creano una rete privata per il traffico di persone, sviluppatori e agenti. La rete mesh è direttamente integrata nella tua distribuzione Cloudflare One esistente. I criteri esistenti di Gateway, le regole di accesso e i controlli di posizione dei dispositivi si applicano automaticamente al traffico Mesh.
Se sei uno sviluppatore che desidera solo una rete privata per i tuoi agenti, servizi e team, Mesh è il punto di partenza. Configuralo in pochi minuti, connetti le tue reti e proteggi il tuo traffico. E poiché Mesh viene eseguito sulla piattaforma Cloudflare One, puoi crescere con funzionalità più avanzate nel tempo: rete Gateway, criteri DNS e HTTP per un controllo granulare del traffico, Access for Infrastructure per la gestione delle sessioni SSH e RDP, Browser Isolation per un accesso web sicuro, DLP per impedire ai dati sensibili di lasciare la rete e CASB per la sicurezza SaaS. Non dovrai pianificare tutto questo fin dal primo giorno. Non devi migrare quando ne hai bisogno.
Nuovi flussi di lavoro basati su agenti
La rete privata ha sempre riguardato la connessione dei client alle risorse: SSH in un server, query a un database, accesso a un'API interna. Ciò che è cambiato è chi sono i clienti. Un anno fa, la risposta erano i tuoi sviluppatori e i tuoi servizi. Oggi sono sempre più i tuoi agenti.
Questo non è teorico. Guarda l'ecosistema: l'esplosione dei server MCP (Model Context Protocol) che forniscono l'accesso agli strumenti, agenti di codifica che devono leggere da repository e database privati, assistenti personali in esecuzione su hardware domestico. Ciascuno di questi modelli presuppone che l'agente possa raggiungere le risorse di cui ha bisogno. Quando tali risorse sono isolate nelle reti private, l'agente è bloccato.
Questo crea tre flussi di lavoro difficili da proteggere oggi:
Accesso a un agente personale da un dispositivo mobile. Stai eseguendo OpenClaw su un Mac mini a casa. Vuoi raggiungerlo dal tuo telefono, dal tuo laptop in un bar o dal tuo computer di lavoro. Ma esporlo all'Internet pubblico (anche dietro una password) può esporre alcune vulnerabilità. Il tuo agente ha accesso alla shell, al file system e alla rete domestica. Un errore di configurazione e chiunque può accedervi.
Consentire a un agente di codifica di accedere al tuo ambiente di staging. Stai utilizzando Claude Code, Cursor o Codex sul tuo laptop. Gli chiedi di controllare lo stato della distribuzione, eseguire query analitiche da un database di staging o leggere da un archivio di oggetti interno. Ma questi servizi risiedono in un VPC cloud privato, quindi il tuo agente non può raggiungerli senza esporli a Internet o eseguire il tunneling dell'intero laptop nel VPC.
Connessione degli agenti distribuiti ai servizi privati. Stai integrando agenti nel tuo prodotto utilizzando Agents SDK su Cloudflare Workers. Questi agenti devono richiamare API interne, eseguire query in database e accedere a servizi che non si trovano su Internet. Hanno bisogno di un accesso privato, ma con autorizzazioni con ambito, audit trail e nessuna perdita di credenziali.
Cloudflare Mesh: una rete privata per utenti, nodi e agenti
Cloudflare Mesh è una rete privata adatta agli sviluppatori. Un unico connettore leggero, un unico file binario connette tutto: i tuoi dispositivi personali, i tuoi server remoti, i tuoi endpoint utente. Non è necessario installare strumenti separati per ogni modello. Un connettore sulla tua rete e ogni modello di accesso funziona.
Una volta connessi, i dispositivi nella tua rete privata possono comunicare tra loro tramite IP privati, instradati attraverso la rete globale di Cloudflare in oltre 330 città, offrendoti maggiore affidabilità e controllo più efficiente sulla tua rete.
Ora, con Mesh, un'unica soluzione può risolvere tutti gli scenari degli agenti sopra menzionati:
Con Cloudflare One Client per iOS sul tuo telefono, puoi connettere in modo sicuro i tuoi dispositivi mobili al tuo Mac mini locale con OpenClaw tramite una rete privata Mesh.
Con Cloudflare One Client per macOS sul tuo laptop, puoi connettere il tuo laptop alla tua rete privata in modo che i tuoi agenti di codifica possano raggiungere i database di staging o le API ed eseguire query in questi.
Con nodi Mesh sui tuoi server Linux, puoi connettere i VPC nei cloud esterni, consentendo agli agenti di accedere alle risorse e agli MCP nelle reti private esterne.
Poiché Mesh è basato su Cloudflare One Client, ogni connessione eredita i controlli di sicurezza della piattaforma Cloudflare One. I criteri del Gateway si applicano al traffico Mesh. I controlli della posizione dei dispositivi convalidano la connessione dei dispositivi. Il filtro DNS rileva le ricerche sospette. Puoi ottenere tutto questo senza configurazione aggiuntiva: gli stessi criteri che proteggono il tuo traffico umano proteggono il traffico del tuo agente.
Con l'introduzione di Mesh, potresti chiederti: quando dovrei usare Mesh invece di Tunnel? Entrambi collegano le reti esterne privatamente a Cloudflare, ma hanno scopi diversi. Cloudflare Tunnel è la soluzione ideale per il traffico unidirezionale, in cui Cloudflare instrada il traffico tramite proxy dall'edge a specifici servizi privati (come un server web o un database).
Cloudflare Mesh, d'altra parte, fornisce una rete many-to-many completamente bidirezionale. Ogni dispositivo e nodo sulla tua Mesh può accedere l'uno all'altro utilizzando i propri IP privati. Un'applicazione o un agente in esecuzione nella tua rete può rilevare e accedere a qualsiasi altra risorsa sulla Mesh senza che ogni risorsa richieda il proprio Tunnel.
Sfruttare la potenza della rete di Cloudflare
Cloudflare Mesh offre i vantaggi di una rete mesh (resilienza, alta scalabilità, bassa latenza e performance elevate), ma instradando tutto tramite Cloudflare, risolve una delle principali problematiche delle reti mesh: l'attraversamento della NAT.
La maggior parte di Internet è dietro NAT (Network Address Translation). Questo meccanismo consente a un'intera rete locale di dispositivi di condividere un unico indirizzo IP pubblico mappando il traffico tra le intestazioni pubbliche e gli indirizzi interni privati. Quando due dispositivi sono dietro NAT, è possibile che le connessioni dirette non vengano stabilite correttamente e il traffico debba tornare ai server di inoltro. Se la tua infrastruttura di inoltro ha punti di presenza limitati, una parte significativa del tuo traffico colpisce tali inoltri, aggiungendo latenza e riducendo l'affidabilità. E mentre può essere possibile ospitare autonomamente i propri server di inoltro per compensare tutto questo, ciò significa assumersi l'onere di gestire un'infrastruttura aggiuntiva solo per connettere la rete esistente.
Cloudflare Mesh adotta un approccio diverso. Tutto il traffico Mesh viene instradato attraverso la rete globale di Cloudflare, la stessa infrastruttura che serve il traffico per alcuni dei più grandi siti web di Internet. Per il traffico interregionale o multi-cloud, questo supera costantemente il routing dell'Internet pubblico. Non esiste un percorso di fallback danneggiato, perché l'edge di Cloudflare è il percorso.
Routing tramite Cloudflare significa anche che ogni pacchetto passa attraverso lo stack di sicurezza di Cloudflare. Questo è il vantaggio principale della creazione di Mesh sulla piattaforma Cloudflare One: la sicurezza non è un prodotto separato che si aggiunge in un secondo momento. E sfruttando questa stessa backbone globale, possiamo fornire questi pilastri fondamentali a ogni team fin dal primo giorno:
50 nodi e 50 utenti gratis. Tutto il tuo team e l'intero ambiente di staging su un'unica rete privata, inclusa in ogni account Cloudflare.
Edge routing globale. Oltre 330 città, routing backbone ottimizzato. Nessun server di inoltro con punti di presenza limitati. Nessun percorso di fallback danneggiato.
Controlli di sicurezza fin dal primo giorno. Mesh viene eseguito su Cloudflare One. I criteri del Gateway, il filtro DNS, il DLP, l'ispezione del traffico e i controlli della posizione dei dispositivi sono tutti disponibili sulla stessa piattaforma. Parti con una connettività privata semplice. Attiva i criteri del Gateway quando hai bisogno di filtrare il traffico. Abilita Access for Infrastructure quando hai bisogno di controlli a livello di sessione per SSH e RDP. Utilizza la DLP quando è necessario impedire ai dati sensibili di lasciare la tua rete. Ogni funzionalità è a portata di mano.
Disponibilità elevata. Crea un nodo Mesh con alta disponibilità abilitata e avvia più connettori utilizzando lo stesso token in modalità attivo-passivo. Pubblicizzano gli stessi percorsi IP, quindi se uno cade, il traffico subentra automaticamente.
La rete mesh connette i tuoi agenti e le tue risorse attraverso cloud esterni, ma devi anche essere in grado di connetterti dai tuoi agenti basati su Workers con Agents SDK. Per consentire ciò, abbiamo esteso Workers VPC per rendere l'intera rete Mesh accessibile a Workers e Durable Objects.
Questo significa che puoi connetterti alla tua rete Cloudflare Mesh da Workers, rendendo l'intera rete accessibile dalla chiamata fetch() di un singolo binding. Ciò integra il supporto esistente di Workers VPC per Cloudflare Tunnel, offrendoti una scelta più ampia su come proteggere le tue reti. Ora puoi specificare intere reti a cui desideri connetterti nel tuo file wrangler.jsonc. Per collegarti alla tua rete Mesh, utilizza la parola chiave riservata cf1:network che si collega alla rete Mesh del tuo account:
"vpc_networks": [
{ "binding": "MESH", "network_id": "cf1:network", "remote": true },
{ "binding": "AWS_VPC", "tunnel_id": "350fd307-...", "remote": true }
]
Quindi, puoi utilizzarla all'interno del tuo codice Worker o agente:
export default {
async fetch(request: Request, env: Env, ctx: ExecutionContext) {
// Reach any internal host on your Mesh, no pre-registration required
const apiResponse = await env.MESH.fetch("http://10.0.1.50/api/data");
// Internal hostname resolved via tunnel's private DNS resolver
const dbResponse = await env.AWS_VPC.fetch("http://internal-db.corp.local:5432");
return new Response(await apiResponse.text());
},
};
Collegando la piattaforma per sviluppatori alle tue reti Mesh, puoi creare Workers che hanno un accesso sicuro ai tuoi database privati, API interne e MCP, consentendoti di creare agenti cross-cloud e MCP che forniscono funzionalità di agenti alla tua app. Ma apre anche un mondo in cui gli agenti possono osservare autonomamente l'intero stack end-to-end, incrociarsi con i log e suggerire ottimizzazioni in tempo reale.
Insieme, Cloudflare Mesh, Workers VPC e Agents SDK forniscono una rete privata unificata per i tuoi agenti che si estende sia su Cloudflare che sui cloud esterni. Abbiamo unito connettività ed elaborazione in modo che i tuoi agenti possano raggiungere in modo sicuro le risorse di cui hanno bisogno, ovunque si trovino, in tutto il mondo.
I nodi mesh sono i tuoi server, macchine virtuali e container. Eseguono una versione headless di Cloudflare One Client e ottengono un IP Mesh. I servizi dialogano con i servizi su IP privati, in modo bidirezionale, instradati attraverso l'edge di Cloudflare.
I dispositivi sono i tuoi laptop e telefoni. Eseguono Cloudflare One Client e raggiungono direttamente i nodi Mesh: SSH, query di database, chiamate API, su tutti gli IP privati. I tuoi agenti di codifica locali utilizzano questa connessione per accedere alle risorse private.
Gli agenti su Workers raggiungono i servizi privati tramite i binding di rete Workers VPC. Ottengono un accesso mirato a intere reti, mediato da MCP. La rete impone ciò che l'agente può raggiungere. Il server MCP applica ciò che l'agente può eseguire.
L'attuale versione di Mesh fornisce le basi per una connettività sicura e unificata. Ma man mano che i flussi di lavoro degli agenti diventano più complessi, ci concentriamo sul passare oltre la semplice connettività verso una rete più intuitiva da gestire e più granularmente consapevole di chi o cosa sta comunicando con i tuoi servizi. Ecco cosa stiamo realizzando per il resto dell'anno.
Questa estate estenderemo il routing dei nomi host di Cloudflare Tunnel a Mesh. I tuoi nodi Mesh saranno in grado di attirare traffico per nomi host privati come wiki.local o api.staging.internal, senza che tu debba gestire gli elenchi IP o preoccuparti di come questi nomi host vengono risolti sull'edge di Cloudflare. Indirizza il traffico ai servizi per nome, non per IP. Se la tua infrastruttura utilizza IP dinamici, gruppi a scalabilità automatica o contenitori temporanei, questo rimuove un'intera classe di problemi di routing.
Oggi raggiungi i nodi Mesh in base ai loro IP Mesh: ssh 100.64.0.5. Funziona, ma non è il modo in cui credi che sia fatta la tua infrastruttura. Pensi ai nomi postgres-staging, api-prod, nikitas-openclaw.
Entro la fine dell'anno, realizzeremo DNS Mesh in modo che ogni nodo e dispositivo che si unisce alla tua rete ottenga automaticamente un nome host interno instradabile. Nessuna configurazione DNS o record manuali. Aggiungi un nodo denominato postgres-staging e postgres-staging.mesh viene risolto nell'IP Mesh corretto da qualsiasi dispositivo sulla tua rete Mesh.
In combinazione con il routing dei nomi host, sarai in grado di utilizzare ssh postgres-staging.mesh o curl http://api-prod.mesh:3000/health senza mai conoscere o gestire un indirizzo IP.
Routing sensibile all'identità
Oggi, i nodi Mesh vengono autenticati all'edge di Cloudflare, ma condividono un'identità a livello di rete. I dispositivi vengono autenticati con l'identità degli utenti tramite Cloudflare One Client, ma i nodi non sono ancora associati a identità distinte e instradabili che i criteri del Gateway possono differenziare.
Vogliamo cambiare questo. L'obiettivo è il routing basato sull'identità per Mesh, in cui ogni nodo, ogni dispositivo e infine ogni agente ottiene un'identità distinta che i criteri possono valutare. Invece di compilare regole basate su intervalli IP, compila regole basate su chi o cosa si sta connettendo.
Questo è più importante per gli agenti. Oggi, quando un agente in esecuzione su Workers chiama uno strumento tramite un binding VPC, il servizio di destinazione vede un Worker che effettua una richiesta. Non sa quale agente sta chiamando, chi lo ha autorizzato o quale ambito è stato concesso. Sul lato Mesh, quando un agente di codifica locale sul tuo laptop raggiunge un servizio di staging, Gateway vede l'identità del tuo dispositivo ma non quella dell'agente.
Stiamo lavorando verso la creazione di un modello in cui gli agenti trasmettono la propria identità attraverso la rete:
Principal/Sponsor: la persona che ha autorizzato l'azione (Nikita del team della piattaforma)
Agente: il sistema IA che lo esegue (l'assistente di distribuzione, sessione #abc123)
Ambito: cosa può fare l'agente (leggere distribuzioni, attivare rollback, nient'altro)
Questo ti consentirebbe di compilare criteri come: le letture dagli agenti di Nikita sono consentite, ma le compilazioni richiedono Nikita direttamente. Il traffico degli agenti può essere filtrato indipendentemente dal traffico umano. L'accesso alla rete di un agente può essere revocato senza toccare quello di Nikita.
L'infrastruttura per questo è già disponibile. I nodi Mesh eseguono il provisioning con token per nodo, autenticazione dei dispositivi con identità per utente e accesso per servizio per ambito di binding VPC di Workers. Il tassello mancante è rendere queste identità visibili al livello di criteri in modo che Gateway possa prendere decisioni di routing e accesso basate su queste. Stiamo realizzando proprio questo.
Oggi, i nodi Mesh vengono eseguiti su macchine virtuali e server Linux bare-metal. Ma l'infrastruttura moderna viene eseguita sempre più in container: pod Kubernetes, stack Docker Compose, runner CI/CD effimeri. Stiamo realizzando un'immagine Mesh Docker che ti consente di aggiungere un nodo Mesh a qualsiasi ambiente containerizzato.
Ciò significa che sarai in grado di includere un sidecar Mesh nel tuo stack Docker Compose e fornire a tutti i servizi in quello stack l'accesso alla rete privata. Un microservizio in esecuzione in un container nel tuo cluster di staging potrebbe raggiungere un database nel tuo VPC di produzione su Mesh, senza che nessuno dei due servizi necessiti di un endpoint pubblico.
È utile anche per le pipeline CI/CD che possono accedere all'infrastruttura privata durante build e test: il tuo runner GitHub Actions estrae l'immagine del container Mesh, si unisce alla tua rete, esegue test di integrazione sul tuo ambiente di staging e lo smantella. Il tutto senza credenziali VPN da gestire o tunnel persistenti da gestire: il nodo scompare quando il container esce.
Prevediamo che l'immagine Mesh Docker sarà disponibile entro la fine dell'anno.
Mentre continuiamo a sviluppare queste funzionalità di identità e routing, le basi per una rete unificata e sicura sono disponibili oggi. Puoi iniziare a collegare i tuoi cloud e a proteggere i tuoi agenti in pochi minuti.
Inizia con Cloudflare Mesh: vai su Networking > Mesh nella dashboard di Cloudflare. Gratis fino a 50 nodi e 50 utenti.
Crea agenti con Agents SDK e Workers VPC: installa Agents SDK ("npm i agents"), segui la guida rapida di Workers VPC e crea un server MCP remoto con accesso backend privato.
Sei già su Cloudflare One? Mesh funziona con la tua configurazione esistente. I criteri di Gateway, i controlli della posizione dei dispositivi e le regole di accesso si applicano automaticamente al traffico Mesh. Consulta la documentazione di Mesh per aggiungere il tuo primo nodo.