Una cloud privata virtuale globale per app sicure cross-cloud su Cloudflare Workers

Oggi condividiamo un'anteprima di una nuova funzionalità che semplifica la creazione di applicazioni cross-cloud: Workers VPC.

Workers VPC è la nostra versione della cloud privata virtuale (VPC) tradizionale, modernizzata per una rete e un processo che non è vincolato a una singola regione cloud. La complementiamo con Workers VPC Private Links per facilitare la creazione tra tutte le cloud. Insieme, introducono due nuove funzionalità per Workers:

• Un modo per raggruppare le risorse delle tue applicazioni in Cloudflare in ambienti isolati, dove solo le risorse all'interno di una Workers VPC possono accedere tra loro, consentendoti di proteggere e segmentare il traffico da applicazione ad applicazione (una "Workers VPC").
• Un modo per connettere una Workers VPC a una VPC legacy in una cloud pubblica o privata, permettendo alle tue risorse Cloudflare di accedere alle tue risorse nelle reti private e viceversa, come se fossero in un'unica VPC ("Workers VPC Private Link").

Workers VPC e Workers VPC Private Link consentono la connettività bidirezionale tra Cloudflare e le cloud esterne.

Quando è collegato a una VPC esterna, Workers VPC rende le risorse sottostanti direttamente indirizzabili, in modo che gli sviluppatori di applicazioni possano pensare al livello applicativo, senza dover scendere al livello di rete. Immagina una VPC unificata in tutte le cloud, con rilevamento dei servizi integrato.

Stiamo sviluppando Workers VPC basandoci sui nostri prodotti di rete privata esistenti e prevediamo di implementarla più avanti nel 2025. Vogliamo condividere un'anteprima per ricevere feedback e ottenere maggiori informazioni su ciò di cui avete bisogno.

Creare applicazioni private cross-cloud è difficile

Gli sviluppatori scelgono sempre più Workers come piattaforma preferita, creando su di essa applicazioni ricche e con stato. Abbiamo già superato i casi d'uso originali del perimetro di Workers: stai modernizzando una parte più ampia del tuo stack e spostando più logica di business su Workers. Scegli Workers per creare applicazioni di collaborazione in tempo reale che accedono ai tuoi database esterni, applicazioni su larga scala che utilizzano le tue API protette e server di protocollo di contesto del modello (MCP) che espongono la tua logica di business agli agenti il più vicino possibile ai tuoi utenti finali.

Ora, ti trovi di fronte all'ultima barriera che ti ferma nelle cloud esterne: la VPC. Le cloud private virtuali ti offrono tranquillità e sicurezza, ma sono state progettate in modo intelligente per aggiungere deliberatamente grandi barriere alla creazione delle tue applicazioni in Workers. Questo è l'interesse tacito e creato per farti usare più VPC legacy: è un altro modo in cui le cloud captive trattengono i tuoi dati e le tue applicazioni come ostaggi e ti bloccano.

In molte conversazioni, ci hai detto che "le VPC sono bloccanti". Lo capiamo: le politiche della tua azienda richiedono la VPC, e per una buona ragione! Pertanto, per accedere alle risorse private da Workers, devi 1) creare nuove API pubbliche che eseguono l'autenticazione per fornire un accesso sicuro, o 2) configurare e scalare Cloudflare Tunnels e Zero Trust per ogni risorsa a cui vuoi accedere. Sono molti ostacoli da superare prima di poter iniziare a sviluppare.

Anche se disponiamo delle opzioni di archiviazione e di elaborazione per farti sviluppare completamente su Workers, capiamo anche che non sposterai le tue applicazioni o i tuoi dati dall'oggi al domani. Ma crediamo che tu debba avere almeno la libertà di scegliere Workers oggi per creare applicazioni moderne, agenti AI e applicazioni globali in tempo reale con le tue API e database privati esistenti. Per questo stiamo sviluppando Workers VPC.

Abbiamo assistito alle difficoltà di sviluppo intorno alle VPC. Nel 2024, abbiamo lanciato il supporto per i database privati per Hyperdrive. Ciò ti ha permesso di connetterti a database in una VPC esterna da Cloudflare Workers, utilizzando Cloudflare Tunnels come soluzione di rete sottostante. Come soluzione punto a punto, ha funzionato molto bene. Ma questa soluzione ha i suoi limiti: gestire e scalare Cloudflare Tunnel per ogni risorsa nella tua cloud esterna non è sostenibile per architetture grandi e complesse.

Vogliamo offrirti una soluzione semplice per sbloccare l'accesso alle risorse della cloud esterna, in modo che si espanda man mano che modernizzi i tuoi carichi di lavoro con Workers. E sfruttiamo l'esperienza che abbiamo nello sviluppo di Magic WAN e Magic Cloud Networking per renderlo possibile.

Stiamo globalizzando le VPC con Workers VPC. E ti permettiamo di connetterli alle tue reti private legacy con Workers VPC Private Links. Perché crediamo che tu debba avere la libertà di creare applicazioni sicure, globali e cross-cloud su Workers.

Le applicazioni cross-cloud globali necessitano di una VPC globale

Le reti private sono complesse da configurare, abbracciano molti strati di astrazione e richiedono interi team per la loro gestione. Ci sono poche cose così complesse come la gestione di architetture che hanno superato la loro rete punto a punto originale! Sapevamo di dover offrire una soluzione semplice per ambienti isolati sulla nostra piattaforma.

Le Workers VPC sono, per definizione, cloud private virtuali. Ciò significa che ti permettono di definire ambienti isolati di risorse Workers e della Piattaforma per Sviluppatori come R2, Workers KV e D1 che hanno accesso sicuro tra loro. Altre risorse nel tuo account Cloudflare non avranno accesso a queste: le VPC ti permettono di specificare determinati insiemi di risorse che sono associati a determinate applicazioni e garantiscono che non si verifichi un accesso tra applicazioni alle risorse.

Le Workers VPC sono l'equivalente della VPC legacy, riprogettata per la Piattaforma per Sviluppatori di Cloudflare. La principale differenza è come le Workers VPC vengono implementate internamente: invece di essere create su reti regionali basate su IP, le Workers VPC sono create su scala globale con la Rete di Cloudflare isolando le risorse in tutti i suoi data center.

E, come ci si aspetterebbe dalle VPC tradizionali, le Workers VPC hanno funzioni di rete che consentono loro di integrarsi in modo efficiente con le reti tradizionali, il che ti permette di creare applicazioni cross-cloud che non abbandonano mai le reti di cui ti fidi. È qui che entrano in gioco Workers VPC Private Links.

Come AWS PrivateLink e altri approcci da VPC a VPC, Workers VPC Private Links connette la tua Workers VPC alla tua cloud esterna tramite tunnel standard attraverso IPsec o Cloudflare Network Interconnect. Quando viene stabilito un Private Link, le risorse di entrambi i lati possono accedervi direttamente, senza che nulla sia esposto sulla Internet pubblica, come se fossero un'unica VPC connessa.

Workers VPC Private Link configura e abilita automaticamente un gateway per tunnel IPsec o Cloudflare Network Interconnect e configura il DNS per il routing verso le risorse Cloudflare.

Per rendere questo possibile, Workers VPC e Private Links lavorano insieme per configurare e gestire automaticamente le risorse nella tua cloud esterna. Questo stabilisce la connessione tra entrambe le reti e configura le risorse necessarie per rendere possibile il routing bidirezionale. E, poiché sappiamo che alcuni team vorranno mantenere la piena responsabilità sulla configurazione e l'abilitazione delle risorse, Workers VPC Private Link può fornirti automaticamente script Terraform per configurare e abilitare le risorse della cloud esterna che puoi eseguire.