今天,我们将分享 Workers VPC 这项新功能的预览,该功能使得构建跨云应用更轻松。
Workers VPC 是对传统虚拟私有云 (VPC) 的改良:经过现代化改造,获得了不绑定到单个云区域的网络和计算能力。另外,它与 Workers VPC Private Link 相辅相成,使跨云构建更加容易。它们协同工作,为 Workers 引入两项新功能:
一种将 Cloudflare 上的应用资源分组到隔离环境中的方法,其中只有 Workers VPC 内的资源可以相互访问,从而能够保护和分段应用到应用流量(“Workers VPC”)。
一种将 Workers VPC 连接到公有云或私有云中的旧 VPC 的方法,使您的 Cloudflare 资源能够访问专用网络中的资源,反之亦然,就像它们位于单个 VPC 中一样(“Workers VPC Private Link”)。

Workers VPC 和 Workers VPC Private Link 支持 Cloudflare 与外部云之间的双向连接
当连接到外部 VPC 时,Workers VPC 使底层资源可直接寻址,以便应用开发人员可以在应用层思考,而无需下降到网络层。可以把它视为一个跨云的统一 VPC,并内置服务发现功能。
我们正在现有专用网络产品的基础上积极构建 Workers VPC,预计将于 2025 年下半年正式推出。我们希望提前分享它的预览,以获得反馈并进一步了解您的需求。
构建跨云私有应用并非易事
越来越多的开发人员选择 Workers 作为首选平台,在其上构建功能丰富的有状态应用。我们早已超越了 Workers最初的边缘用例:您正在将更多技术栈现代化,并将更多业务逻辑迁移到 Workers 上。您选择 Workers 来构建实时协作应用(用于访问外部数据库)、大规模应用(用于调用受保护 API),以及模型上下文协议 (MCP) 服务器(用于将业务逻辑尽可能地暴露给靠近终端用户的智能体)。
现在,您遇到了阻碍您使用外部云的最后一道障碍:虚拟私有云 (VPC)。虚拟私有云确实能带来安全性和安心感,但它们的设计初衷,就是刻意设置重重障碍,阻挠您在 Workers 上构建应用。这背后藏着未明言的既得利益:迫使您使用更多传统 VPC,不过是禁锢云挟持数据和应用、锁定用户的又一种手段。
在一次次交流中,您反复告诉我们:“VPC 是绊脚石”。我们了解:贵公司的政策强制要求使用 VPC,而且有充分的理由!因此,要从 Workers 访问私有资源,您必须:1) 创建新的公共 API 来执行身份验证以提供安全访问,或者 2) 为您想要访问的每个资源设置和扩展 Cloudflare Tunnels 和 Zero Trust。还没开始构建,就得先跨过这么多道关卡。
尽管我们提供了存储和计算方案,支持您完全基于 Workers 进行构建,但我们也明白,不可能一夜之间迁移所有应用和数据!不过,我们认为,您至少应该能自由地立即选择 Workers,使用您现有的私有 API 和数据库,构建现代应用、AI 智能体和实时全球应用。这就是我们构建 Workers VPC 的原因。
我们亲眼目睹了围绕 VPC 构建的痛苦。在 2024 年,我们为 Hyperdrive 提供对私有数据库的支持。这使得您能够使用 Cloudflare Tunnels 作为底层网络解决方案,从 Cloudflare Workers 连接到外部 VPC 中的数据库。作为一种点对点解决方案,它一直运行良好!但这个解决方案有其局限性:对于大型复杂的架构来说,为外部云中的每个资源管理和扩展 Cloudflare Tunnel 是不可持续的。
我们想提供一个极其简单的解决方案,让您能够解锁外部云资源的访问,同时随着您将更多工作负载迁移到 Workers 上而扩展。我们正在利用我们在构建 Magic WAN 和 Magic Cloud Networking 方面的经验来实现这一目标。
因此,我们打算通过 Workers VPC 将 VPC 全球化。我们允许您通过 Workers VPC Private Link 连接到您的传统专用网络。因为我们认为您应该可以自由地在 Workers 上构建安全、全球化、跨云的应用。
全球化跨云应用需要一个全球化 VPC
专用网络设置复杂,跨越许多抽象层,需要整个团队来管理。很少有比管理超出原始点对点网络规模的架构更复杂的事情了!所以我们知道需要为平台上的隔离环境提供简单的解决方案。
根据定义,Workers VPC 本质上是虚拟私有云。这意味着,它们允许您定义由 Workers 和开发人员平台资源(例如R2、Workers KV 和D1)组成的隔离环境,让它们能够安全地相互访问。您的 Cloudflare 帐户中的其他资源将无法访问这些资源;VPC 允许您指定与特定应用关联的特定资源集,并确保不会发生跨应用访问资源的情况。
Workers VPC 相当于为 Cloudflare 开发人员平台重新设计的传统 VPC。主要区别在于 Workers VPC 的底层实现方式:Workers VPC 不是基于区域性的 IP 网络构建,而是为全球规模构建,利用 Cloudflare 网络在所有数据中心实现资源隔离。
正如您对传统 VPC 的期望一样,Workers VPC 具有网络功能,可以与传统网络无缝集成,使您能够构建始终处于可信网络中的跨云应用。这就是 Workers VPC Private Link 的用武之地了。
与 AWS PrivateLink 和其他 VPC 到 VPC 方法一样,Workers VPC Private Link 使用基于 IPsec 的标准隧道或 Cloudflare Network Interconnect 将您的 Workers VPC 连接到您的外部云。建立 Private Link 后,双方的资源可以直接相互访问,无需暴露在公共互联网上,就像它们是单个连接的 VPC 一样。

Workers VPC Private Link 会自动为 IPsec 隧道或 Cloudflare Network Interconnect 配置网关,并配置 DNS 以路由到 Cloudflare 资源。
为了实现这一点,Workers VPC 和 Private Link 协同工作,自动配置和管理您的外部云中的资源。这会在两个网络之间建立连接,并配置实现双向路由所需的资源。此外,由于我们知道有些团队希望完全掌控资源预配,Workers VPC Private Link 可以自动为您提供 Terraform 脚本,以便您自行配置可运行的外部云资源。
建立连接后,Workers VPC 将自动检测您的外部 VPC 中的资源,并将其作为具有唯一 ID 的绑定提供。通过 Workers VPC 资源绑定发出的请求将自动路由到您的外部 VPC,在那里将进行 DNS 解析(如果您使用的是通过主机名访问的资源),并将其路由到预期的资源。

例如,要从 Cloudflare Workers 连接到外部 VPC 中的私有 API,只需在绑定上对命名的 Workers VPC 资源调用 fetch() 即可:
const response = await env.WORKERS_VPC_RESOURCE.fetch("/api/users/342");
同样,Cloudflare 资源可通过一个标准化 URL 访问,该 URL 可通过Workers VPC Private Link 在您的外部云的私有 DNS 资源中配置。如果您尝试从您的 VPC 中的 API 访问 R2 对象,则可以向预期的 URL 发出请求:
const response = await fetch("https://<account_id>.r2.cloudflarestorage.com.cloudflare-workers-vpc.com");
最重要的是,由于 Workers VPC 是在我们现有平台上构建的,它能充分利用我们的网络与路由能力,降低出口费用并助力构建全球化应用。
首先,通过支持 Cloudflare Network Interconnect 作为底层连接方法,Workers VPC Private Link 可享受外部云出口带宽折扣,显著降低您的带宽成本。其次,由于 Workers VPC 本质上是全球性的,因此您可以将 Workers 和资源放置在任何需要的地方,以确保最佳性能。例如,利用 Workers 的Smart Placement 功能,您可以确保将 Workers 自动放置在最靠近您的外部区域性 VPC 的区域,以最大限度地提高应用性能。
端到端的全球连通云
Workers VPC 可以释放您目前锁定在外部云中的大量工作负载,而无需将这些私有资源暴露到公共互联网上,就能在 Workers 上进行构建。以下是您告诉我们您希望使用Workers VPC 在 Workers 上构建的应用的真实示例:

基于 Workers 和 Durable Objects 构建的实时画布应用的示例架构,该应用访问外部 VPC 中的私有数据库和容器
假设您要尝试在 Workers 上为您的应用构建一项新功能。您还希望使用 Durable Objects 为您的应用添加实时协作功能。并且您还要使用容器,因为您需要访问 FFmpeg 进行实时视频处理。在上述每种场景中,您都需要一种方法来将状态更新持久保存到现有的传统数据库中并访问现有的 API。
在过去,您可能必须创建一个单独的 API 来处理来自 Workers 和 Durable Objects 的更新操作,但现在您可以直接访问传统数据库,并使用 Workers VPC 直接更新值。
模型上下文协议 (MCP) 服务器也是如此!如果您要在 Workers 上构建 MCP 服务器,您可能希望公开某些无法立即作为公共 API 提供的功能,尤其是在上市时间至关重要的情况下。借助 Workers VPC,您可以直接在 MCP 服务器中创建基于私有 API 或数据库的新功能,从而快速安全地交付。

从 R2、D1、KV 访问数据的外部云资源示例架构
越来越多的开发团队正将数据迁移至 Cloudflare 开发人员平台:无论是借助 R2 零出口成本优势存储 AI 训练数据,利用 D1 水平分片模型管理应用数据,还是通过 KV 实现全球毫秒级读取延迟的配置数据存储。
现在,您需要实现从外部云计算环境调用 R2 中的训练数据来训练或微调 LLM 模型。由于涉及用户数据访问,按照安全团队的要求必须使用专用网络。同样,在执行特定管理或分析任务时,您也需要访问 D1 和 KV 中的用户数据及配置数据,且要求全程规避公共互联网。Workers VPC 通过自动配置的专用 DNS 提供便捷主机名解析,实现从外部 VPC 到 Cloudflare 资源的直接专用路由。

最后,让我们以 AI 智能体为例——毕竟现在是 Developer Week 2025!此 AI 智能体基于 Workers 构建,并使用检索增强生成 (RAG) 技术,可在最小化上下文窗口的同时提升生成文本的质量。
您当前在外部云中使用 PostgreSQL 和 Elasticsearch,因为这是您数据的主要存储位置,同时您也是 pgvector 的忠实用户。您决定使用 Workers,因为您希望快速进入市场,现在您需要访问您的数据库。您的数据库再次被放置在专用网络中,无法从公共互联网访问。
尽管您可以在容器中预配新的 Hyperdrive 和 Cloudflare Tunnel,但由于您的 Workers VPC 已经完成设置并已链接,因此您可以使用 Workers 或 Hyperdrive 直接访问数据库。
若外部云对象存储新增文档该如何处理?您可能希望启动一个工作流来处理新文档、对其进行分块、获取其嵌入向量,并相应地更新应用的状态,同时向最终用户实时更新工作流的状态?
在这种情况下,您可以使用由外部云中的无服务器函数触发的工作流。然后,工作流将从对象存储中获取新文档,根据需要进行处理,使用您首选的嵌入提供程序(无论是 Workers AI 还是其他提供程序)来处理并更新 Postgres 中的向量存储,然后更新应用的状态。
这些只是我们知道在第一天就能从 Workers VPC 中受益的部分工作负载。我们期待见证您的构建成果,并携手实现全球化 VPC 的愿景。
虚拟私有云的新时代
我们怀着无比激动的心情宣布,Workers VPC 将使您能够在 Workers 上实现更强大的构建能力。我们坚信,通过专用网络私密访问您的 API 和数据库,将彻底重塑您在 Workers 上的构建能力。Workers VPC 为您解锁私有资源访问能力,使您能够更快地在 Workers 上部署性能更卓越的应用。当然,我们将确保容器与 Workers VPC 实现原生集成。
我们正基于我们一直用于大规模连接客户网络的网络原语和入口构建 Workers VPC,目标是在 2025 年下半年发布早期预览版。
我们计划首先解决 Workers 到外部云的连接问题,让您能够使用 Workers 现代化更多需要访问私有 API 和数据库的应用,然后再扩展以支持完全定向流量流和多个 Workers VPC 网络。如果您正受困于传统云中的工作负载,并希望参与塑造 Workers VPC 的未来愿景,请在此表达您的意向。