AI 智能体已改变团队对私有网络访问的思考方式。您的编码智能体需要查询一个预发布环境数据库。您的生产环境智能体需要调用一个内部 API。您的个人 AI 助手需要访问在您家庭网络中运行的服务。客户端不再仅仅只是人类用户或服务。客户端包括智能体,它们自主运行,对您需要保持安全的基础设施发出您未明确批准的请求。
这些工作流均存在同一核心问题:智能体需要访问私有资源,但实现此类访问的工具是为人类用户设计,而非自主运行的软件。VPN 要求交互式登录。SSH 隧道需要手动设置。公开暴露服务存在安全风险。而且这些方案无一能提供关于智能体连接后行为的可见性。
今天,我们推出 Cloudflare Mesh,用于将您的私有网络连接起来,并为您的智能体提供安全访问。我们还将 Mesh 与 Cloudflare 开发人员平台 集成,以便 Workers、Durable Objects 以及使用 Agents SDK 构建的智能体能够直接访问您的私有基础设施。
如果您正在使用Cloudflare One 的 SASE 和 Zero Trust 套件,您已经可以使用 Mesh。您不需要全新的技术范式来保护智能体工作负载。您需要一款为智能体时代打造的 SASE,也就是 Cloudflare One。Cloudflare Mesh 是一种全新体验,其配置更简便,并依托您已熟悉的接入组件:WARP Connector(现更名为 Cloudflare Mesh 节点)与 WARP Client(现更名为 Cloudflare One 客户端)。这些组件协同工作,构建一个包含人类用户、开发人员与智能体流量的私有网络。Mesh 直接集成到您现有的 Cloudflare One 部署中。您现有的 Gateway 策略、Access 规则和设备态势检查自动适用于 Mesh 流量。
如果您是仅希望为智能体、服务与团队搭建私有网络的开发人员,Mesh 便是您的起点。几分钟即可完成设置,连接您的网络,并开始保护您的流量。由于 Mesh 在 Cloudflare One 平台上运行,您可以随着时间的推移而扩展使用更高级的功能: Gateway 网络、DNS 和用于精细化流量控制的 HTTP 策略,用于 SSH 和 RDP 会话管理的 Access for Infrastructure,用于安全 Web 访问的 浏览器隔离,用于防止敏感数据离开您的网络的 数据丢失防护 (DLP),以及用于 SaaS 安全的 云访问安全代理 (CASB)。您无需在初始阶段就规划所有这些功能。您也不必在需要时再次迁移。
私有网络的作用一直是实现客户端与资源的连接:通过 SSH 登录服务器、查询数据库、访问内部 API。发生变化的环节是客户端。一年前,客户端是您的开发人员与服务。今天,越来越多智能体成为客户端。
这不是理论。放眼整个生态系统:提供工具调用的 MCP(模型上下文协议) 服务器、需要访问私有代码仓库与数据库的编码智能体、运行在家庭硬件上的个人智能体均呈现爆炸式增长。这些模式均假定智能体能够访问其所需的资源。当所需资源被隔离在私有网络中时,智能体将无法访问。
这就造成了三个如今难以保护的工作流:
从移动设备访问个人智能体。您在家中一台 Mac mini 上运行 OpenClaw。您想通过手机、在咖啡店用笔记本电脑或办公设备进行访问。但将其暴露于公共互联网(即便设置了密码保护),仍可能存在安全漏洞。您的智能体拥有 Shell 访问权限、文件系统访问权限,以及对您家庭网络的网络访问权限。一旦配置错误,任何人都可以访问它。
允许编码智能体访问您的预发布环境。您正在笔记本电脑上使用 Claude Code、Cursor 或 Codex。您让它检查部署状态、从预发布数据库查询分析数据,或是从内部对象存储中读取数据。但这些服务均部署于私有云 VPC 中,因此您的智能体既无法访问它们,除非将其暴露至公网,或是将整台笔记本电脑通过隧道接入该 VPC。
将部署的智能体连接到私有服务。您正在使用 Cloudflare Workers 上的 Agents SDK 将智能体集成到您的产品中。这些智能体需要调用内部 API、查询数据库和访问不在公共互联网上的服务。它们需要私密访问,但需要限定权限范围、审计跟踪,而且不能泄露凭据。
Cloudflare Mesh:面向用户、节点与智能体的统一私有网络
Cloudflare Mesh 是对开发人员友好的私有网络方案。一款轻量连接器,单一二进制程序,即可连通一切:您的个人设备、远程服务器与用户端点。您无需为每种场景单独安装工具。网络中部署一个连接器,即可适配所有访问模式。
连接建立后,您私有网络中的设备可通过私有 IP 相互通信,流量经由 Cloudflare 覆盖全球 330+ 座城市的全球网络进行路由,为您的网络带来更出色的可靠性与管控能力。
如今,借助 Mesh,单一方案即可解决上述所有智能体场景:
在您的手机上安装 Cloudflare One Client for iOS,即可通过 Mesh 私有网络,将移动设备安全连接至运行 OpenClaw 的本地 Mac mini。
在您的笔记本电脑上安装 Cloudflare One Client for macOS,即可将笔记本电脑接入私有网络,使您的编码智能体能够访问并查询预发布环境数据库或 API。
通过在 Linux 服务器上部署 Mesh 节点,可将外部云环境中的 VPC 相互连通,使智能体能够访问外部私有网络中的资源与 MCP 服务。
鉴于 Mesh 由 Cloudflare One Client 驱动,所有连接均可继承 Cloudflare One 平台的安全管控能力。Gateway 策略适用于 Mesh 流量。设备态势检查会验证连接设备。DNS 过滤捕获可疑的查询。无需额外配置:保护人类流量的相同策略也会保护您的智能体流量。
随着 Mesh 的推出,您可能会问:我应当在何时使用 Mesh,而非 Tunnel?两者都将外部网络连接到 Cloudflare,但用途不同。Cloudflare Tunnel 是处理单向流量的理想方案,在该场景下,Cloudflare 会将流量从边缘节点代理至特定的私有服务(如 Web 服务器或数据库)。
而另一方面,Cloudflare Mesh 提供一个完整的双向、多对多网络。Mesh 网络中的所有设备与节点均可通过私有 IP 相互访问。在您网络中运行的应用或智能体,可发现并访问 Mesh 网络上的任意其他资源,无需为每个资源单独创建 Tunnel。
Cloudflare Mesh 为您提供网状网络的优势(韧性、高可扩展性、低延迟与高性能),同时通过将所有流量经由 Cloudflare 路由,解决了网状网络的一项核心难题:NAT 穿越。
互联网中大部分资源位于 NAT (网络地址转换) 之后。该机制通过在公有 IP 报文头与内部私有地址之间映射流量,使整个局域网内的设备可共用一个公有 IP 地址。当两个设备均处于 NAT 环境之后时,直连可能会失败,流量将不得不回退至中继服务器进行转发。若您的中继基础设施节点分布有限,则会有相当一部分流量必须经由这些中继节点转发,从而增加延迟并降低可靠性。尽管您可以自行搭建中继服务器来弥补这一问题,但这意味着仅为连通现有网络,就需要承担额外的基础设施管理负担。
Cloudflare Mesh 采用了不同的实现方案。所有 Mesh 流量均通过 Cloudflare 全球网络进行路由,而这个网络同时为互联网上部分超大型网站提供流量服务。对于跨地域或多云流量,这种方式始终优于公网路由。不存在降级的回退路径,因为 Cloudflare 边缘节点本身就是传输路径。
通过 Cloudflare 进行路由还意味着每一个数据包都会经过 Cloudflare 的安全防护体系。这是在 Cloudflare One 平台上构建 Mesh 的核心优势:安全能力并非后期才附加的独立产品。借助这一全球骨干网络,我们从一开始就能为您的团队提供这些核心能力:
免费支持 50 个节点与 50 名用户。整个团队和整个预发布环境使用一个私有网络,包含于每一个 Cloudflare 帐户中。
全球边缘路由。330+ 城市,经过优化的骨干网路由。无节点有限的中继服务器。无降级回退路径。
原生安全管控能力。Mesh 在 Cloudflare One 上运行。Gateway 策略、DNS 过滤、数据丢失防护、流量检查和设备态势检查均通过同一平台提供。从简单的私有网络连接开始。需要流量过滤时,再启用 Gateway 策略。当您需要针对 SSH 和 RDP 的会话级控制时,启用 Access for Infrastructure。在需要预防敏感数据离开您的网络时,添加 DLP。每一项功能均可一键启用。
高可用性。创建一个启用高可用性的 Mesh 节点,并使用同一令牌以主备模式启动多个连接器。它们公告相同的 IP 路由,因此若其中一个发生故障,流量会自动故障转移。
Mesh 可跨外部云连接您的智能体与资源,但您也能通过 Agents SDK,对基于 Workers 构建的智能体实现同样的连接能力。为此,我们扩展了 Workers VPC,使 Workers 和 Durable Objects 可访问您的整个 Mesh 网络。
这意味着您可以从 Workers 连接至 Cloudflare Mesh 网络,仅需通过单个绑定的 fetch() 调用,即可访问整个网络。这一能力补充了 Workers VPC 对 Cloudflare Tunnel 的现有支持,让您在网络安全防护方式上拥有更多选择。现在,您可以在 wrangler.jsonc 文件中指定需要连接的完整网络。如需绑定至您的 Mesh 网络,请使用保留关键字 cf1:network,用于绑定至您帐户下的 Mesh 网络:
"vpc_networks": [
{ "binding": "MESH", "network_id": "cf1:network", "remote": true },
{ "binding": "AWS_VPC", "tunnel_id": "350fd307-...", "remote": true }
]
之后,您便可在 Worker 或智能体代码中使用它:
export default {
async fetch(request: Request, env: Env, ctx: ExecutionContext) {
// Reach any internal host on your Mesh, no pre-registration required
const apiResponse = await env.MESH.fetch("http://10.0.1.50/api/data");
// Internal hostname resolved via tunnel's private DNS resolver
const dbResponse = await env.AWS_VPC.fetch("http://internal-db.corp.local:5432");
return new Response(await apiResponse.text());
},
};
通过将开发人员平台与您的 Mesh 网络相连,您可构建能够安全访问私有数据库、内部 API 与 MCP 的 Worker,进而打造跨云智能体与 MCP,为您的应用提供智能体能力。同时,这也开启了新世界:智能体可端到端自主观测您的整个技术栈,交叉关联日志并实时提供优化建议。
Cloudflare Mesh、Workers VPC 与 Agents SDK 协同工作,为您的智能体提供统一私有网络,覆盖 Cloudflare 及您的外部云环境。我们将连接与计算融合在一起,使您的智能体能够安全访问其所需资源,无论这些资源位于全球何处。
Mesh 节点是您的服务器、虚拟机和容器。它们运行无头版本的 Cloudflare One Client,并获得一个网状 IP。服务通过专用 IP 相互进行双向通信,并通过 Cloudflare 的边缘进行路由。
设备就是您的笔记本电脑和手机。它们运行 Cloudflare One Client 并直接访问 Mesh 节点:SSH、数据库查询、API 调用,全部通过私有 IP 进行。您本地的编码智能体可通过该连接访问私有资源。
Workers 上的智能体通过 Workers VPC 网络绑定访问私有服务。在 MCP 协调下,它们获得对整个完整网络的有限访问权限。网络管控智能体可访问资源的范围。MCP 服务器管控智能体可执行的操作。
当前版本的 Mesh 为安全、统一的连接能力奠定了基础。但随着智能体工作流日趋复杂,我们正致力于突破简单的连接层面,打造一个管理更直观、且能更细粒度感知谁/什么在与您的服务通信的网络。以下是我们在本年度剩余时间内将要构建的特性。
今年夏季,我们将把 Cloudflare Tunnel 的主机名路由功能扩展至 Mesh 网络。您的 Mesh 节点将能够为私有主机名吸引流量,例如 wiki.local 或 api.staging.internal,您无需管理 IP 列表,也无需担心这些主机名在 Cloudflare 边缘节点上如何解析。基于名称而非 IP 将流量路由到服务。若您的基础设施采用动态 IP、弹性伸缩组或临时容器,该方案将彻底消除此类路由难题。
今天,您可以通过 Mesh IP 地址(例如 ssh 100.64.0.5)访问 Mesh 节点。这种方式虽可行,但并非您看待基础设施的常规方式。您习惯以名称来思考:例如 postgres-staging、api-prod、nikitas-openclaw。
今年下半年,我们将构建 Mesh DNS,使所有加入您的 Mesh 网络的节点与设备,自动获得可路由的内部主机名。无需 DNS 配置或手动创建记录。添加一个名为 postgres-staging 的节点,postgres-staging.mesh 就会从 Mesh 上的任何设备解析为正确的 Mesh IP。
与主机名路由结合使用,您将能够直接执行 ssh postgres-staging.mesh 或 curl http://api-prod.mesh:3000/health,而无需知道或管理 IP 地址。
目前,Mesh 节点会向 Cloudflare 边缘进行身份认证,但在网络层共用同一身份标识。设备通过 Cloudflare One Client 对用户身份进行验证,但节点还没有携带 Gateway 策略可以区分的唯一、可路由的身份。
我们将改变这一现状。我们的目标是为 Mesh 实现身份感知路由,让每个节点、每台设备,最终每个智能体,都拥有独立的身份,以供策略进行评估判定。您无需再基于 IP 网段编写规则,而是基于连接主体的身份来制定规则。
这对智能体最为重要。如今,当 Workers 上运行的智能体通过 VPC 绑定调用工具时,目标服务会识别为由 Worker 发起的请求。它无法识别具体哪个智能体发起调用、谁提供了授权,以及已授予的权限范围。在 Mesh 侧,当您笔记本电脑上的本地编码智能体访问预发布环境服务时,Gateway 仅能识别您的设备身份,却无法识别智能体的身份。
我们正致力于构建一种智能体在网络中携带自己身份标识的模型:
主体 / 发起人:授权该操作的人员(平台团队的 Nikita)
智能体:执行它的 AI 系统(部署助手,会话 #abc123)
范围:智能体允许执行的操作(读取部署、触发回滚,仅此而已)
这让您可以编写诸如以下的策略:允许 Nikita 的智能体进行读取,但写入操作必须由 Nikita 本人直接执行。智能体流量可以独立于人类流量进行过滤。可撤销智能体的网络访问权限,但不会影响 Nikita 的网络访问权限。
支撑此功能的基础架构已部署就绪。Mesh 节点采用单节点令牌进行配置,设备以单用户身份完成认证,Workers VPC 绑定则限定每个服务的访问范围。目前缺失的一环是让这些身份对策略层可见,从而使 Gateway 能够基于这些身份做出路由与访问决策。这正是我们正在构建的能力。
目前,Mesh 节点运行于 VM 与裸机 Linux 服务器之上。而现代基础设施正越来越多地运行于容器之中:Kubernetes Pod、Docker Compose 栈以及临时的 CI/CD 执行器。我们正在构建一个 Mesh Docker 镜像,让您可以将 Mesh 节点添加到任何容器化环境中。
这意味着您可以在 Docker Compose 栈中加入一个 Mesh sidecar,并为该栈中的每个服务提供私有网络访问能力。在预发布集群中运行的微服务,可通过 Mesh 访问您生产 VPC 内的数据库,且双方服务均无需对外开放公网端点。
这对于在构建与测试阶段需要访问私有基础设施的 CI/CD 流水线同样非常实用:您的 GitHub Actions 执行器拉取 Mesh 容器镜像,加入您的网络,针对预发布环境运行集成测试,随后自动销毁。无需管理 VPN 凭据,也无需维护持久隧道:节点随容器退出而消失。
我们预计 Mesh Docker 镜像将于今年晚些时候推出。
在我们持续完善这些身份与路由能力的同时,安全统一网络连接的基础能力今天已经可用。仅需几分钟,即可实现多云互联并为智能体提供安全防护。
开始使用 Cloudflare Mesh:在 Cloudflare 仪表板中前往“网络” > “Mesh”。最多 50 个节点和 50 个用户免费。
使用 Agents SDK 和 Workers VPC 构建智能体:安装 Agents SDK (`npm i agents`),按照Workers VPC 快速入门进行操作,并构建具有私有后端访问权限的远程 MCP 服务器。
已经使用 Cloudflare One? Mesh 可与您的现有部署兼容。您的 Gateway 策略、设备态势检查和访问规则会自动应用于 Mesh 流量。请参阅Mesh 文档以添加您的第一个节点。