- ऐसे दौर में जब AI agents को private network resources तक सुरक्षित पहुंच चाहिए, VPN और SSH tunnel जैसे पारंपरिक टूल्स में संरचनात्मक सीमाएं हैं, क्योंकि वे इंसानों के लिए बने हैं, autonomous software के लिए नहीं
- Cloudflare Mesh एक lightweight connector के जरिए personal devices, remote servers और agents को जोड़ने वाला bidirectional private networking solution है
- Workers VPC को बढ़ाकर Agents SDK से बने agents को Mesh network तक सीधे पहुंच दी गई है, और एक single binding के
fetch() call से internal services से कनेक्ट किया जा सकता है
- मौजूदा Cloudflare One users के लिए Gateway policies, Access rules और device posture checks Mesh traffic पर अपने-आप लागू हो जाते हैं, बिना अतिरिक्त configuration के
- 50 nodes और 50 users तक free उपलब्धता और 330+ cities के global edge routing के साथ, startup से enterprise तक इसे तुरंत अपनाया जा सकता है
एजेंट युग में private network access की समस्या
- ऐसे workflows तेजी से बढ़ रहे हैं जहां AI agents को staging database query, internal API call, home network service access जैसी स्थितियों में private resources तक पहुंचना पड़ता है
- मौजूदा टूल्स की सीमाएं:
- VPN में interactive login चाहिए
- SSH tunnel में manual setup चाहिए
- services को public expose करने पर security risk बढ़ता है
- agent कनेक्ट होने के बाद वह वास्तव में क्या कर रहा है, इस पर visibility की कमी रहती है
तीन मुख्य workflows
- personal agent remote access: Mac mini पर OpenClaw चलाकर mobile या laptop से access करने पर, यदि उसे public expose किया जाए तो shell, file system और network access सब खुल जाते हैं, और एक गलत configuration से security risk पैदा हो सकता है
- coding agents का staging environment access: Claude Code, Cursor, Codex जैसे टूल्स को private cloud VPC के अंदर की services तक पहुंचने के लिए या तो internet exposure चाहिए या पूरा VPC tunnel करना पड़ता है
- deployed agents का private services से connection: Agents SDK आधारित Workers agents को internal API और database तक पहुंचते समय scoped permissions, audit trail और credentials leak prevention की जरूरत होती है
Cloudflare Mesh की संरचना और काम करने का तरीका
- एक lightweight connector (binary) से personal devices, remote servers और user endpoints सभी को जोड़ा जाता है
- जुड़े हुए devices private IP के जरिए Cloudflare के global network (330+ cities) पर होकर bidirectional communication करते हैं
- मौजूदा WARP Connector का नाम बदलकर Cloudflare Mesh node और WARP Client का नाम Cloudflare One Client कर दिया गया है
- उपयोग के ठोस उदाहरण:
- iOS के लिए Cloudflare One Client से mobile पर local Mac mini के OpenClaw तक सुरक्षित connection
- macOS के लिए Cloudflare One Client से laptop का coding agent staging database और API तक पहुंचता है
- Linux server के Mesh node से बाहरी cloud VPCs को आपस में जोड़ा जा सकता है, ताकि agents बाहरी private networks के resources और MCP तक पहुंच सकें
Mesh और Tunnel में अंतर
- Cloudflare Tunnel: Cloudflare edge से किसी खास private service (web server, database) तक one-way traffic proxy करने के लिए उपयुक्त
- Cloudflare Mesh: सभी devices और nodes को private IP के जरिए एक-दूसरे तक पहुंच देने वाला bidirectional, many-to-many network
- हर resource के लिए अलग Tunnel सेट करने की जरूरत नहीं; Mesh से जुड़े सभी resources तक पहुंचा जा सकता है
Cloudflare network का उपयोग: NAT traversal की समस्या का समाधान
- इंटरनेट का बड़ा हिस्सा NAT (Network Address Translation) के पीछे होता है, और जब दोनों devices NAT के पीछे हों तो direct connection विफल होने पर relay server पर निर्भर रहना पड़ता है
- यदि relay infrastructure के PoP (Point of Presence) सीमित हों, तो traffic का बड़ा हिस्सा relay से गुजरता है और latency बढ़ती है, reliability घटती है
- Cloudflare Mesh सभी traffic को Cloudflare के global network से route करके अलग relay servers की जरूरत बिना consistent performance देता है
- cross-region और multi-cloud traffic में यह public internet routing की तुलना में लगातार बेहतर performance देता है
मुख्य सुविधाएं
- 50 nodes और 50 users free: हर Cloudflare account में शामिल
- global edge routing: 330+ cities, optimized backbone routing, performance गिराने वाले fallback paths नहीं
- Day 1 से security controls: Gateway policies, DNS filtering, DLP, traffic inspection, device posture checks — सब एक ही platform पर enable किए जा सकते हैं, और हर feature एक toggle से चालू किया जा सकता है
- high availability (HA): एक ही token के साथ कई connectors को active-passive mode में चलाया जा सकता है, वही IP routes advertise होते हैं, और failure पर automatic failover होता है
Workers VPC integration
- Workers VPC को बढ़ाकर पूरे Mesh network को Workers और Durable Objects से accessible बनाया गया है
wrangler.jsonc फ़ाइल में cf1:network reserved keyword के जरिए Mesh network binding:
"vpc_networks": [{ "binding": "MESH", "network_id": "cf1:network", "remote": true }]
- Worker code के अंदर
env.MESH.fetch("http://10.0.1.50/api/data";) जैसे रूप में private host तक सीधे पहुंच संभव है, बिना pre-registration के
- Tunnel आधारित VPC binding के साथ इसे साथ-साथ इस्तेमाल किया जा सकता है, जिससे network security approach चुनने में अधिक लचीलापन मिलता है
- इससे private database, internal API और MCP तक सुरक्षित पहुंच वाले cross-cloud agents और MCP बनाए जा सकते हैं
पूरी architecture के components
- Mesh nodes: server, VM और container पर Cloudflare One Client का headless version चलाकर Mesh IP दिया जाता है, जिससे services के बीच bidirectional private IP communication होता है
- devices: laptop और phone पर Cloudflare One Client चलाकर Mesh nodes तक सीधे पहुंच — SSH, database query, API call सब private IP से
- Workers agents: Workers VPC Network binding के जरिए private services तक पहुंच; network agent की reach नियंत्रित करता है और MCP server agent के व्यवहार को नियंत्रित करता है
आगे का roadmap
-
hostname routing
- इस गर्मियों में Cloudflare Tunnel की hostname routing को Mesh तक बढ़ाने की योजना है
wiki.local या api.staging.internal जैसे private hostnames से traffic route किया जा सकेगा, जिससे IP list manage करने की जरूरत नहीं रहेगी- dynamic IP, auto-scaling groups और temporary container environments में routing की जटिलता कम होगी
-
Mesh DNS
- इस साल के बाद के हिस्से में Mesh में शामिल हर node और device को अपने-आप routable internal hostname दिया जाएगा
- DNS setup या manual records के बिना
postgres-staging.mesh से access संभव होगा
- hostname routing के साथ मिलकर
ssh postgres-staging.mesh या curl http://api-prod.mesh:3000/health जैसी IP address के बिना access संभव होगा
-
identity-aware routing
- अभी Mesh nodes network layer पर shared ID इस्तेमाल करते हैं; devices user ID से authenticate होते हैं, लेकिन nodes के पास ऐसा अलग routing ID नहीं है जिसे Gateway policy अलग-अलग पहचान सके
- लक्ष्य: हर node, device और agent को unique ID देना, ताकि policies IP range के बजाय access करने वाले principal के आधार पर लिखी जा सकें
- agent ID model की परिकल्पना:
- Principal/Sponsor: वह व्यक्ति जिसने action को approve किया
- Agent: वह AI system जो action करता है (session ID सहित)
- Scope: वह सीमा जिसके भीतर agent को काम करने की अनुमति है
- इससे "read agents कर सकते हैं, write सिर्फ सीधे इंसान कर सकते हैं" जैसी granular policies लागू की जा सकेंगी
- infrastructure पहले से बना हुआ है (per-node token, per-user ID, per-service VPC binding); अभी policy layer में ID visibility पर काम चल रहा है
-
Mesh container support
- अभी Mesh nodes VM और bare-metal Linux servers पर चलते हैं
- Kubernetes pods, Docker Compose stacks, CI/CD runners जैसे container environments के लिए Mesh Docker image तैयार की जा रही है
- Docker Compose stack में Mesh sidecar जोड़कर stack की सभी services को private network access दिया जा सकेगा
- CI/CD pipeline में GitHub Actions runner Mesh container image खींचकर network में शामिल होगा, staging environment पर integration tests चलाएगा, और container बंद होते ही node अपने-आप हट जाएगा
- यह इस साल के बाद के हिस्से में उपलब्ध होगा
शुरू करने का तरीका
- Cloudflare Mesh: Cloudflare dashboard के Networking > Mesh से शुरू करें; 50 nodes और 50 users तक free
- Agents SDK + Workers VPC:
npm i agents से install करें, फिर Workers VPC quickstart और remote MCP server guide देखें
- मौजूदा Cloudflare One users: मौजूदा settings के साथ compatible, और Gateway policies, device posture checks, Access rules Mesh traffic पर अपने-आप लागू होंगे
अभी कोई टिप्पणी नहीं है.