Vandaag krijg je een voorproefje van een nieuwe functie waarmee je veel eenvoudiger cross-cloud-apps kunt bouwen: Workers VPC.
Workers VPC is onze versie van de traditionele virtual private cloud (VPC), gemoderniseerd voor een netwerk en computer die niet aan één cloud zijn gebonden. En we vullen dit aan met Workers VPC Private Links om het bouwen in diverse clouds eenvoudiger te maken. Samen introduceren ze twee nieuwe functies van Workers:
Een manier om jouw app-resources op Cloudflare in geïsoleerde omgevingen te groeperen, waarbij alleen resources binnen een Workers VPC toegang tot elkaar hebben. Zo kun je het app-to-app-verkeer beveiligen en segmenteren (een 'Workers VPC').
Dit is een manier om een Workers VPC met een oudere VPC in een openbare of private cloud te verbinden, waardoor jouw Cloudflare-resources toegang krijgen tot jouw resources in private netwerken en vice versa, alsof ze zich in één VPC bevinden (de 'Workers VPC Private Link').
Workers VPC en Workers VPC Private Link zorgen voor een bidirectionele connectiviteit tussen Cloudflare en externe clouds
Wanneer Workers VPC gekoppeld is aan een externe VPC, worden de onderliggende resources direct toegankelijk, zodat applicatieontwikkelaars aan de applicatielaag kunnen werken, zonder dat ze terug hoeven te vallen op de netwerklaag. Een soort van verenigde cross-cloud VPC, met ingebouwde servicedetectie.
We werken momenteel aan de ontwikkeling van Workers VPC op basis van onze bestaande private netwerkproducten en verwachten dit later in 2025 uit te kunnen rollen. We willen je alvast een voorproefje geven om feedback te verzamelen en jouw behoeften beter te begrijpen.
Het bouwen van private cross-cloud-apps is moeilijk
Ontwikkelaars kiezen steeds vaker voor Workers als hun favoriete platform en bouwen hierop uitgebreide, stateful applicaties. We zijn al lang voorbij de oorspronkelijke edge-use-cases van Workers: ontwikkelaars moderniseren namelijk steeds meer van hun stack en verplaatsen steeds meer bedrijfslogica naar Workers. Ze kiezen voor Workers om realtime samenwerkingsapps te bouwen die toegang hebben tot hun externe databases, grootschalige applicaties die hun beveiligde API's en MCP (Model Context Protocol)-servers gebruiken waarmee hun bedrijfslogica aan agents wordt blootgesteld die zo dicht mogelijk bij hun eindgebruikers staan.
Ze lopen nu tegen de laatste barrière aan die hen in externe clouds tegenhoudt: de VPC. Een virtual private cloud levert gemoedsrust en beveiliging, maar deze clouds zijn slim ontworpen met opzettelijk hoge barrières om het bouwen van apps op Workers te bemoeilijken. Dat is het onuitgesproken, persoonlijke belang waardoor ontwikkelaars verouderde VPC's moeten blijven gebruiken: het is een manier waarop de oude clouds gegevens en apps gijzelen, zodat die geen kant op kunnen.
In het ene na het andere gesprek hebben ontwikkelaars ons verteld dat "VPC's de ontwikkeling blokkeren". We snappen het: jouw bedrijfsbeleid vereist een VPC, en dat is niet voor niets! Om toegang tot de private resources van Workers te verkrijgen, moet je dus 1) nieuwe openbare API's aanmaken die de authenticatie uitvoeren voor een beveiligde toegang of 2) Cloudflare Tunnels en Zero Trust instellen en meeschalen voor elke resource die je wilt gebruiken. Dat zijn heel veel hindernissen die genomen moeten worden voordat er überhaupt met bouwen kan worden begonnen.
Wij leveren de opslag- en rekenopties waarmee je volledig op Workers kunt bouwen, maar wij begrijpen natuurlijk ook dat je jouw applicaties of gegevens niet van de ene op de andere dag kunt migreren! Wij vinden echter dat je in ieder geval de vrijheid moet hebben om nu al te kunnen kiezen voor Workers om moderne applicaties, AI-agents en wereldwijde realtime-applicaties met jouw bestaande privé-API's en databases te kunnen bouwen. Daarom ontwikkelen we momenteel Workers VPC.
Wij hebben met eigen ogen gezien hoe lastig het is om rondom VPC's te bouwen. In 2024 hebben we ondersteuning voor private databases voor Hyperdrive uitgebracht. Hierdoor werd het mogelijk om vanuit Cloudflare Workers verbinding te maken met databases in een externe VPC met gebruik van Cloudflare Tunnels als de onderliggende netwerkoplossing. Dit is een geweldige point-to-point-oplossing! Maar deze oplossing heeft ook beperkingen: het beheren en meeschalen van een Cloudflare Tunnel voor elke resource in jouw externe cloud is niet geschikt voor grote, complexe architecturen.
Wij willen je een heel eenvoudige oplossing bieden waarmee je toegang krijgt tot resources in de externe cloud op een manier die meeschaalt naarmate jij meer van je workloads met Workers moderniseert. Daarvoor maken we gebruik van de ervaring die we hebben opgedaan met het bouwen van Magic WAN en Magic Cloud Networking.
We maken VPC's dus wereldwijd beschikbaar met Workers VPC. En we maken het mogelijk om via Workers VPC Private Links de VPC's met je bestaande private netwerken te verbinden. We zijn namelijk van mening dat je op Workers veilig, wereldwijd en cross-cloud-apps moet kunnen bouwen.
Wereldwijde cross-cloud-apps hebben een wereldwijde VPC nodig
Het opzetten van private netwerken is complex. Ze beslaan meerdere abstractielagen en er zijn hele teams voor nodig om ze te beheren. Er zijn weinig dingen zo complex als het beheren van architecturen die hun oorspronkelijke point-to-point-netwerk zijn ontgroeid! We wisten dus dat we een eenvoudige oplossing moesten ontwikkelen voor geïsoleerde omgevingen op ons platform.
Workers-VPC's zijn per definitie virtuele private clouds. Dit betekent dat je daarmee geïsoleerde omgevingen van Workers- en Developer Platform-resources kunt definiëren, zoals R2, Workers KV en D1 die een beveiligde toegang tot elkaar hebben. Andere resources in jouw Cloudflare-account hebben hier geen toegang toe. Met VPC's kun je specifieke resources opgeven die aan bepaalde apps zijn gekoppeld, zodat er geen applicatie-overschrijdende toegang tot resources plaatsvindt.
Workers VPC's zijn het equivalent van de oudere VPC, maar dan opnieuw ontworpen voor het Cloudflare Developer Platform. Het grootste verschil is hoe Workers VPC's functioneren: ze zijn niet gebouwd op basis van regionale, op IP gebaseerde netwerken, maar ze zijn geschikt voor wereldwijd gebruik, waarbij het Cloudflare-netwerk de resources in al zijn datacenters isoleert.
En net als traditionele VPC's beschikken Workers VPC's over netwerkmogelijkheden waarmee ze naadloos met traditionele netwerken kunnen worden geïntegreerd. Zo kun jij apps in meerdere clouds bouwen die nooit de netwerken verlaten die jij vertrouwt. En daar komt Workers VPC Private Links om de hoek kijken.
Net als AWS PrivateLink en andere VPC-to-VPC-services, verbinden Workers VPC Private Links jouw Workers VPC met je externe cloud met gebruik van standaardtunnels via IPsec of Cloudflare Network Interconnect. Zodra een private verbinding tot stand is gebracht, hebben resources aan weerszijden rechtstreeks toegang tot elkaar. Er wordt niets aan het openbare internet blootgesteld. Ze functioneren dus als één verbonden VPC.
Workers VPC Private Link voorziet automatisch in een gateway voor IPsec-tunnels of Cloudflare Network Interconnect en configureert DNS voor routing naar Cloudflare-resources
Hiervoor werken Workers VPC en Private Links automatisch samen aan de automatische levering en het beheer van de resources in jouw externe cloud. Zo wordt de verbinding tussen beide netwerken tot stand gebracht en worden de benodigde resources geconfigureerd om bidirectionele routing mogelijk te maken. Aangezien we weten dat sommige teams de volledige verantwoordelijkheid voor de levering van resources willen behouden, kan Workers VPC Private Link jou automatisch van Terraform-scripts voorzien om resources in de externe cloud te gebruiken die jij zelf kunt beheren.
Nadat de verbinding tot stand is gebracht, detecteert Workers VPC automatisch de resources in jouw externe VPC en maakt die beschikbaar als bindingen met unieke ID's. De verzoeken die via de Workers VPC-resourcebinding worden gedaan, worden automatisch doorgestuurd naar jouw externe VPC, waar de DNS-omzetting plaatsvindt (als je resources gebruikt die via de hostnaam worden geopend). De verzoeken worden doorgestuurd naar de verwachte resource.
Als je bijvoorbeeld vanuit Cloudflare Workers verbinding wilt maken met een private API in een externe VPC, hoef je alleen maar fetch() te gebruiken voor een binding met een specifieke Workers VPC-resource:
const response = await env.WORKERS_VPC_RESOURCE.fetch("/api/users/342");
Op vergelijkbare wijze zijn Cloudflare-resources toegankelijk via een gestandaardiseerde URL die binnen een private DNS-resource in jouw externe cloud met Workers VPC Private Link werd geconfigureerd. Als je probeert toegang te verkrijgen tot R2-objecten via een API in jouw VPC, kun je de aanvraag naar de verwachte URL sturen:
const response = await fetch("https://<account_id>.r2.cloudflarestorage.com.cloudflare-workers-vpc.com");
Het mooiste is dat Workers VPC op ons bestaande platform is gebouwd en dus optimaal van onze netwerk- en routingfuncties profiteert, waardoor jij minder egress fees hoeft te betalen en wereldwijde apps kunt bouwen.
Ten eerste kan Workers VPC Private Links jouw bandbreedtekosten verlagen door Cloudflare Network Interconnect als onderliggende verbindingsmethode te ondersteunen om van de lagere egress fees van de externe cloud te profiteren. Ten tweede kunnen jouw Workers en resources overal worden ingezet waar je die nodig hebt om optimale prestaties te garanderen, aangezien Workers VPC wereldwijd is. Met Smart Placement van Workers kun je er bijvoorbeeld voor zorgen dat jouw Workers automatisch in de regio worden geplaatst die het dichtst bij jouw externe, regionale VPC ligt om de app-prestaties te optimaliseren.
Een end-to-end connectiviteitscloud
Met Workers VPC krijg je toegang tot grote delen van je workloads die momenteel in een externe cloud vast zitten, zonder dat je deze private resources aan het openbare internet hoeft bloot te stellen om op Workers te kunnen bouwen. Hier volgen enkele echte voorbeelden van applicaties die ontwikkelaars graag op Workers met Workers VPC willen bouwen:
Voorbeeldarchitectuur van een realtime canvas-applicatie gebouwd op Workers en Durable Objects die toegang heeft tot een private database en container in een externe VPC
Stel dat je een nieuwe functie voor jouw applicatie op Workers wilt bouwen. Je wilt ook realtime-samenwerking aan deze app toevoegen met gebruik van Durable Objects. En je gebruikt ook Containers, omdat je toegang nodig hebt tot FFmpeg voor live videoverwerking. In elk scenario heb je een manier nodig om de statusupdates in jouw bestaande traditionele database te behouden en toegang te verkrijgen tot jouw bestaande API's.
Vroeger moest je mogelijk een aparte API aanmaken om updatebewerkingen vanuit Workers en Durable Objects af te handelen. Nu heb je echter rechtstreeks toegang tot de traditionele database en kun je de waarde rechtstreeks via Workers VPC updaten.
Hetzelfde geldt voor Model Context Protocol (MCP)-servers! Als je een MCP-server op Workers bouwt, wil je mogelijk een bepaalde functionaliteit gebruiken die niet direct beschikbaar is als een openbare API, vooral als de time-to-market belangrijk is. Met Workers VPC kun je de nieuwe functionaliteit rechtstreeks op de MCP-server creëren die voortbouwt op jouw eigen API's of databases, voor een snelle en beveiligde levering.
Voorbeeldarchitectuur van externe cloud-resources die toegang hebben tot data uit R2, D1, KV
Veel ontwikkelingsteams plaatsen steeds meer data op het Cloudflare Developer Platform, zoals AI-trainingsdata op R2 vanwege de kostenefficiëntie zonder egress fees, of applicatiedata in D1 met het horizontale shardingmodel, of configuratiedata in KV vanwege de wereldwijde leeslatentie van slechts enkele milliseconden.
Nu moet je een manier bedenken om de trainingsdata in R2 van jouw computer in jouw externe cloud te gebruiken om LLM-modellen te trainen of te verfijnen. Aangezien je toegang hebt tot gebruikersgegevens, moet je een privaat netwerk gebruiken, omdat dit verplicht wordt gesteld door jouw beveiligingsteams. Op dezelfde manier wil je toegang verkrijgen tot gebruikersgegevens en configuratiedata in D1 en KV voor bepaalde administratieve of analytische taken, zonder dat je daarvoor het openbare internet hoeft te gebruiken. Workers VPC maakt directe, private routing mogelijk van jouw externe VPC naar Cloudflare-resources, met eenvoudig toegankelijke hostnamen via de automatisch geconfigureerde private DNS.
Tot slot een AI-agent-voorbeeld: het is tenslotte Developer Week 2025! Deze AI-agent is gebouwd op Workers en maakt gebruik van RAG (Retrieval Augmented Generation) om de resultaten van de gegenereerde tekst te verbeteren en tegelijkertijd het contextvenster te minimaliseren.
Je gebruikt PostgreSQL en Elasticsearch in jouw externe cloud, omdat al jouw data zich daar momenteel bevindt en jij een fan bent van pgvector. Je hebt besloten Workers te gebruiken, omdat je snel de markt op wilt, en nu heb je toegang nodig tot jouw database. Jouw database bevindt zich wederom in een privaat netwerk en is niet toegankelijk vanaf het openbare internet.
Je zou een nieuwe Hyperdrive en Cloudflare Tunnel in een container kunnen plaatsen, maar aangezien jouw Workers VPC al ingesteld en gekoppeld is, kun je de database rechtstreeks via Workers of Hyperdrive openen.
En wat als er nieuwe documenten aan de opslag in jouw externe cloud worden toegevoegd ? Wil je een workflow starten om het nieuwe document te verwerken, te chunken, er embeddings voor te verkrijgen, waarna je dus de status van jouw applicatie wilt updaten, terwijl je jouw eindgebruikers realtime updates over de status van de workflow levert?
In dat geval kun je Workflows gebruiken, geactiveerd door een serverless functie in de externe cloud. De workflow haalt het nieuwe document op uit de opslag, verwerkt het zoals jij dat wilt en gebruikt jouw favoriete embedding provider (Workers AI of een andere provider) om de vectoropslag in Postgres te verwerken en te updaten. Tot slot wordt de status van je applicatie ook bijgewerkt.
Dit zijn slechts enkele van de workloads die vanaf dag één van Workers VPC zullen profiteren. We zijn benieuwd wat jij gaat bouwen en kijken ernaar uit om met jou samen te werken om wereldwijde VPC's te creëren.
Een nieuw tijdperk voor virtual private clouds
We zijn enthousiast over het feit dat jij met Workers VPC nog veel meer van Workers kunt profiteren. Wij zijn ervan overtuigd dat private toegang tot jouw API's en databases in jouw private netwerken helemaal verandert wat je met Workers kunt bouwen. Workers VPC's bieden toegang tot jouw private resources, zodat jij snellere en beter presterende apps op Workers kunt leveren. En we gaan er uiteraard voor zorgen dat Containers naadloos met Workers VPC zal integreren.
We zijn actief bezig om Workers VPC te ontwikkelen op basis van de netwerkprimitieven en on-ramps die we gebruiken om klantnetwerken op schaal te verbinden. Ons doel is om later in 2025 een vroege preview te publiceren.
We zijn van plan om eerst de connectiviteit van Workers naar de externe cloud aan te pakken, zodat jij meer apps kunt moderniseren die toegang nodig hebben tot een private API en databases met Workers. Daarna zullen we deze connectiviteit uitbreiden ter ondersteuning van volledige verkeersstromen en meerdere Workers VPC-netwerken. Als je de visie van Workers VPC vorm wilt geven en als jouw workloads in een verouderde cloud vast zitten, kun je hier contact met ons opnemen.