Cloudflare Mesh dirilis - Jaringan privat aman untuk pengguna, node, agen, dan Workers

 (blog.cloudflare.com)
5 poin oleh GN⁺ 5 hari lalu | 5 komentar | Bagikan ke WhatsApp
  • Di era ketika agen AI harus mengakses sumber daya jaringan privat dengan aman, alat lama seperti VPN dan tunnel SSH memiliki keterbatasan struktural yang tidak cocok untuk software otonom, bukan manusia
  • Cloudflare Mesh adalah solusi jaringan privat dua arah yang menghubungkan perangkat pribadi, server jarak jauh, dan agen dengan satu konektor ringan
  • Dengan memperluas Workers VPC, agen yang dibangun dengan Agents SDK dapat langsung mengakses jaringan Mesh, serta mendukung koneksi ke layanan internal lewat pemanggilan fetch() dengan satu binding
  • Bagi pengguna Cloudflare One yang sudah ada, kebijakan Gateway, aturan Access, dan pemeriksaan device posture langsung diterapkan otomatis ke traffic Mesh tanpa konfigurasi tambahan
  • Tersedia gratis hingga 50 node dan 50 pengguna serta global edge routing di lebih dari 330 kota, sehingga dapat langsung diadopsi mulai dari startup hingga enterprise

Masalah akses jaringan privat di era agen

  • Workflow yang mengharuskan agen AI menjangkau sumber daya privat seperti query database staging, pemanggilan API internal, dan akses ke layanan jaringan rumah terus meningkat
  • Keterbatasan alat lama:
    • VPN membutuhkan login interaktif
    • Tunnel SSH membutuhkan konfigurasi manual
    • Jika layanan diekspos ke publik, akan muncul risiko keamanan
    • Tidak ada visibilitas atas apa yang sebenarnya dilakukan agen setelah terhubung

Tiga workflow inti

  • Akses jarak jauh untuk agen pribadi: Saat menjalankan OpenClaw di Mac mini dan mengaksesnya dari ponsel atau laptop, mengeksposnya ke publik akan membuka akses ke shell, sistem file, dan jaringan sekaligus, sehingga satu salah konfigurasi saja bisa memicu risiko keamanan
  • Akses agen coding ke lingkungan staging: Alat seperti Claude Code, Cursor, dan Codex memerlukan eksposur internet atau tunneling seluruh VPC agar dapat mengakses layanan di dalam VPC cloud privat
  • Koneksi layanan privat untuk agen yang dideploy: Saat agen Workers berbasis Agents SDK mengakses API internal dan database, dibutuhkan izin yang dibatasi cakupannya, audit trail, dan pencegahan kebocoran kredensial

Arsitektur dan cara kerja Cloudflare Mesh

  • Menghubungkan perangkat pribadi, server jarak jauh, dan endpoint pengguna dengan satu konektor ringan (binary)
  • Perangkat yang terhubung berkomunikasi dua arah melalui IP privat lewat jaringan global Cloudflare di lebih dari 330 kota
  • WARP Connector yang ada kini berganti nama menjadi Cloudflare Mesh node, sedangkan WARP Client menjadi Cloudflare One Client
  • Skenario penggunaan konkret:
    • Menggunakan Cloudflare One Client untuk iOS untuk terhubung secara aman dari ponsel ke OpenClaw di Mac mini lokal
    • Menggunakan Cloudflare One Client untuk macOS agar agen coding di laptop dapat mengakses database staging dan API
    • Menggunakan Mesh node di server Linux untuk menghubungkan VPC cloud eksternal satu sama lain, sehingga agen dapat mengakses resource dan MCP di jaringan privat eksternal

Perbedaan Mesh dan Tunnel

  • Cloudflare Tunnel: Cocok untuk proxy traffic satu arah dari edge Cloudflare ke layanan privat tertentu seperti web server atau database
  • Cloudflare Mesh: Menyediakan jaringan dua arah, many-to-many di mana semua perangkat dan node dapat saling mengakses melalui IP privat
    • Tidak perlu menyiapkan Tunnel terpisah untuk setiap resource; semua resource yang terhubung ke Mesh bisa diakses

Memanfaatkan jaringan Cloudflare: mengatasi masalah traversal NAT

  • Sebagian besar internet berada di balik NAT (Network Address Translation), dan jika dua perangkat sama-sama berada di balik NAT, koneksi langsung bisa gagal sehingga harus bergantung pada relay server
  • Jika infrastruktur relay hanya memiliki PoP (Point of Presence) yang terbatas, sebagian besar traffic akan melewati relay sehingga menimbulkan latensi dan penurunan keandalan
  • Cloudflare Mesh merutekan semua traffic melalui jaringan global Cloudflare untuk menghadirkan performa yang konsisten tanpa relay server terpisah
  • Pada traffic lintas region dan multi-cloud, performanya secara konsisten lebih baik dibanding routing melalui internet publik

Hal utama yang ditawarkan

  • Gratis untuk 50 node dan 50 pengguna: termasuk dalam semua akun Cloudflare
  • Global edge routing: lebih dari 330 kota, routing backbone yang dioptimalkan, tanpa jalur fallback yang menurunkan performa
  • Kontrol keamanan sejak hari pertama: kebijakan Gateway, DNS filtering, DLP, inspeksi traffic, dan pemeriksaan device posture dapat diaktifkan di platform yang sama, masing-masing cukup dengan satu toggle
  • High availability (HA): menjalankan beberapa konektor dengan token yang sama dalam mode active-passive, mengiklankan route IP yang sama sehingga saat terjadi gangguan dapat failover otomatis

Integrasi Workers VPC

  • Memperluas Workers VPC sehingga seluruh jaringan Mesh dapat diakses dari Workers dan Durable Objects
  • Binding ke jaringan Mesh di file wrangler.jsonc dengan kata kunci reservasi cf1:network:
    • "vpc_networks": [{ "binding": "MESH", "network_id": "cf1:network", "remote": true }]
  • Di dalam kode Worker, host privat dapat diakses langsung dalam bentuk env.MESH.fetch("http://10.0.1.50/api/data"), tanpa perlu preregistrasi
  • Dapat digunakan bersamaan dengan VPC binding berbasis Tunnel, sehingga pilihan metode keamanan jaringan menjadi lebih luas
  • Ini memungkinkan pembangunan agen lintas cloud dan MCP yang mengakses database privat, API internal, dan MCP dengan aman

Komponen arsitektur keseluruhan

  • Mesh node: Menjalankan versi headless dari Cloudflare One Client di server, VM, atau container dan menerima IP Mesh untuk komunikasi privat IP dua arah antar layanan
  • Perangkat: Menjalankan Cloudflare One Client di laptop dan ponsel untuk mengakses Mesh node secara langsung — SSH, query database, dan pemanggilan API semuanya berjalan lewat IP privat
  • Agen Workers: Mengakses layanan privat melalui Workers VPC Network binding, di mana jaringan mengontrol jangkauan agen dan server MCP mengontrol tindakan agen

Roadmap ke depan

  • Routing hostname

    • Musim panas ini, routing hostname di Cloudflare Tunnel akan diperluas ke Mesh
    • Traffic dapat dirutekan menggunakan hostname privat seperti wiki.local atau api.staging.internal, sehingga tidak perlu mengelola daftar IP
    • Mengurangi kompleksitas routing di lingkungan dengan IP dinamis, grup auto-scaling, dan container sementara

  • Mesh DNS

    • Akhir tahun ini, semua node dan perangkat yang bergabung ke Mesh akan diberi hostname internal yang bisa dirutekan secara otomatis
    • Tanpa konfigurasi DNS atau record manual, akses seperti postgres-staging.mesh akan dimungkinkan
    • Dikombinasikan dengan routing hostname, ini memungkinkan akses tanpa alamat IP seperti ssh postgres-staging.mesh atau curl http://api-prod.mesh:3000/health

  • Identity-aware Routing

    • Saat ini Mesh node menggunakan ID bersama di layer jaringan; perangkat diautentikasi dengan ID pengguna, tetapi node belum memiliki ID routing terpisah yang bisa dibedakan oleh kebijakan Gateway
    • Tujuannya adalah memberi ID unik pada setiap node, perangkat, dan agen agar kebijakan dapat ditulis berdasarkan subjek yang terhubung, bukan rentang IP
    • Rancangan model ID agen:
      • Principal/Sponsor: orang yang menyetujui tindakan
      • Agent: sistem AI yang menjalankan tindakan tersebut, termasuk session ID
      • Scope: cakupan tugas yang diizinkan untuk agen
    • Ini akan memungkinkan kebijakan yang lebih granular seperti "read diizinkan untuk agen, write hanya diizinkan untuk manusia secara langsung"
    • Infrastruktur dasarnya sudah dibangun (token per node, ID per pengguna, VPC binding per layanan); bagian yang sedang dikerjakan adalah visibilitas ID di layer kebijakan

  • Dukungan container untuk Mesh

    • Saat ini Mesh node berjalan di server Linux berbasis VM dan bare metal
    • Sedang disiapkan image Docker Mesh untuk lingkungan container seperti Kubernetes pod, stack Docker Compose, dan runner CI/CD
    • Menambahkan sidecar Mesh ke stack Docker Compose akan memberi seluruh layanan dalam stack akses ke jaringan privat
    • Di pipeline CI/CD, runner GitHub Actions dapat menarik image container Mesh, bergabung ke jaringan, menjalankan integration test terhadap lingkungan staging, lalu node otomatis dihapus saat container dihentikan
    • Dijadwalkan tersedia akhir tahun ini

Cara memulai

  • Cloudflare Mesh: Mulai dari Networking > Mesh di dashboard Cloudflare, gratis hingga 50 node dan 50 pengguna
  • Agents SDK + Workers VPC: instal dengan npm i agents, lalu lihat panduan quickstart Workers VPC dan remote MCP server
  • Pengguna Cloudflare One yang sudah ada: kompatibel dengan konfigurasi yang sudah ada; kebijakan Gateway, pemeriksaan device posture, dan aturan Access otomatis diterapkan ke traffic Mesh

Bacaan terkait

5 komentar

 
eoeoe 5 hari lalu

Awalnya saya cuma menyiapkan tunnel di komputer rumah dan hanya memakai RDP... sepertinya saya juga harus mencoba agennya!
 
yangeok 5 hari lalu

Kalau gratis dari sisi harga dan keamanannya juga bagus, pasti langsung dipakai sih haha

Kalau lihat yang begini, jadi lumayan kebayang juga kira-kira DevOps bakal berubah ke arah mana
 
xguru 5 hari lalu

Karena disebut mesh, saya sempat mengira ini mirip Tailscale, tapi ternyata sedikit berbeda.
Ini bukan model P2P seperti Tailscale, melainkan arsitektur yang melewati jaringan edge CF, jadi
kebijakan Gateway atau fitur keamanan seperti DLP diterapkan otomatis,
dan dari Workers/Agents SDK, layanan privat bisa dipanggil hanya dengan satu baris fetch(). Itulah pembeda utamanya.
Saya sih tetap pakai Tailscale saja..
 
minhoryang 5 hari lalu

Saya justru merasa karena Cloudflare edge mengambil peran sebagai relay DERP milik Tailscale, bukankah pesaing yang lebih kuat telah muncul? Tailscale juga mengirim komunikasi melalui relay DERP jika P2P tidak bisa dilakukan. Bagian “jika PoP (Point of Presence) dari infrastruktur relay terbatas, maka sebagian besar traffic akan melewati relay sehingga terjadi latensi dan penurunan keandalan” terasa seperti sedang membicarakan Tailscale. Saya rasa saya akan memakai keduanya secara campuran. Saya langsung pergi bereksperimen.
 
minhoryang 5 hari lalu

Edge Cloudflare juga tampaknya memakai rentang yang diawali 100.96.0.0 dan 100. Saya sempat ingin memakainya bersama Tailscale, tetapi ada sedikit kendala mulai dari instalasi sampai penggunaan. Bagi yang ingin memakainya bersamaan seperti saya, semoga ini bisa jadi referensi.