今天,我們將分享一項新功能的預覽,該功能可讓您更輕鬆地建置跨雲端應用程式:Workers VPC。
Workers VPC 是我們對傳統虛擬私人雲端 (VPC) 的全新詮釋,專為適應不受單一雲端區域限制的網路和運算需求而設計。為了讓跨雲端建置更加便捷,我們還推出了 Workers VPC Private Links。二者共同為 Workers 帶來了兩項全新功能:
一種將 Cloudflare 上的應用程式資源分組到隔離環境中的方法,其中只有同一 Workers VPC 內的資源才能互相存取,從而保護和分隔應用程式間流量(「Workers VPC」)。
一種將 Workers VPC 連接到公有雲端或私人雲端中傳統 VPC 的方法。這樣,Cloudflare 資源和私人網路中的資源將能夠互相存取,就好像它們處於同一個 VPC 中一樣(「Workers VPC Private Link」)。
Workers VPC 和 Workers VPC Private Link 可實現 Cloudflare 和外部雲端之間的雙向連線性
當連結到外部 VPC 時,Workers VPC 使底層資源可直接定址,讓應用程式開發人員專注於應用程式層,而無需深入到網路層。可以將其視為具有內建服務探索的跨雲端統一 VPC。
我們正在現有私人網路產品的基礎上積極建置 Workers VPC,預計將於 2025 年晚些時候推出。我們希望提前分享這項功能的預覽,以便收集意見反應,並更好地瞭解大家的需求!
建置私人跨雲端應用程式並非易事
越來越多的開發人員選擇 Workers 作為他們的首選平台,並在其上建置豐富的具狀態應用程式。Workers 的應用場景早已超越了最初的邊緣使用案例:人們正在對更多堆疊進行現代化改造,將更多的業務邏輯遷移到 Workers 上。人們選擇 Workers 來建置可存取外部資料庫的即時協作應用程式、使用安全 API 的大規模應用程式,以及將業務邏輯暴露給盡可能靠近終端使用者之智慧體的模型上下文通訊協定 (MCP) 伺服器。
然而,現在開發人員正面臨著外部雲端環境中最後一道障礙:VPC。虛擬私人雲端確實能提供安全性和安心感,但它們的設計卻巧妙地製造了高高的壁壘,讓人們在 Workers 上建置應用程式變得困難重重。這背後隱藏的動機其實很明顯:這是「束縛雲端」用來綁架資料和應用程式的另一種方式,目的是將開發人員鎖定在他們的生態系統中。
在一次又一次的交談中,人們告訴我們:「VPC 是一個阻礙」。我們完全理解:公司政策要求使用 VPC,這是有充分理由的!然而,為了讓 Workers 能夠存取私人資源,開發人員目前只能選擇以下一種方式:1) 建立新的公用 API,並透過驗證來提供安全存取;2) 為想要存取的每項資源設定並擴展 Cloudflare Tunnels 和 Zero Trust。僅僅是為了開始建置應用程式,這些步驟就已經讓人感到繁瑣不堪。
雖然我們已經提供了儲存和運算選項,讓開發人員能夠完全在 Workers 上建置應用程式,但我們也明白,人們不可能一夜之間將所有應用程式或資料遷移過來!然而,我們認為,開發人員至少應該擁有選擇的自由,能夠從今天開始使用 Workers 來建置現代化應用程式、AI 主體以及即時全球應用程式,同時繼續使用其現有的私人 API 和資料庫。這就是我們建置 Workers VPC 的原因。
我們親眼目睹了圍繞 VPC 進行建置的痛苦。2024 年,我們推出了對 Hyperdrive 私人資料庫的支援,讓開發人員能夠使用 Cloudflare Tunnels 作為基礎網路解決方案,從 Cloudflare Workers 連接到外部 VPC 中的資料庫。作為一種點對點解決方案,其效果一直很好!但這種解決方案有其局限性:對於大型複雜的架構,為外部雲端中的每筆資源管理和擴展一個 Cloudflare Tunnel 是不可持續的。
我們希望為開發人員提供一種簡單直接的解決方案,讓其能夠輕鬆存取外部雲端資源,並且這種解決方案能夠隨著他們使用 Workers 對更多工作負載進行現代化改造而靈活擴展。為了實現這一目標,我們利用了建置 Magic WAN 和 Magic Cloud Networking 時積累的經驗。
因此,我們將透過 Workers VPC 將 VPC 推向全球。開發人員可以使用 Workers VPC Private Links 將其連線至舊式私人網路。因為我們認為,開發人員應該擁有自由,能夠在 Workers 上建置安全、全球化且跨雲端的應用程式!
全球跨雲端應用程式需要全球 VPC
私人網路的設定非常複雜,跨越多個抽象層,並且需要整個團隊來管理。沒有什麼比管理超出最初點對點網路架構的應用程式更為複雜的了!因此,我們深知,我們需要在平台上為隔離環境提供一個簡單的解決方案。
Workers VPC 從定義上來說,就是虛擬私人雲端。這意味著它們允許您定義 Workers 和開發人員平台資源(如 R2、Workers KV 和 D1)的隔離環境,這些資源可以安全地相互存取。您的 Cloudflare 帳戶中的其他資源將無權存取這些資源——VPC 讓您可以指定某些資源集與特定應用程式相關聯,並確保不同應用程式之間的資源不會發生交叉存取。
Workers VPC 相當於傳統 VPC,針對 Cloudflare 開發人員平台進行了重新構想。主要差異在於 Workers VPC 的內部實作方式:Workers VPC 不是建立在基於 IP 的區域性網路之上,而是針對全球規模而建置,Cloudflare 網路在其所有資料中心執行資源隔離。
與傳統 VPC 一樣,Workers VPC 也具有網路功能,可與傳統網路無縫整合,讓您能夠建置永不離開您所信任網路的跨雲端應用程式。這正是 Workers VPC Private Links 的用武之地。
類似於 AWS PrivateLink 和其他 VPC 對 VPC 的連接方式,Workers VPC Private Links 透過基於 IPsec 的標準通道或 Cloudflare 網路互連,將您的 Workers VPC 連接到外部雲端。建立私人連結後,雙方的資源可以直接互相存取,而無需暴露在公用網際網路上,就像它們屬於同一個連接的 VPC 一樣。
Workers VPC Private Link 自動為 IPsec 通道或 Cloudflare 網路互連佈建閘道,並設定 DNS 以路由到 Cloudflare 資源
為了實現這一功能,Workers VPC 和 Private Links 協同工作,自動在外部雲端中佈建和管理所需資源。這樣可以在兩個網路之間建立連線,並設定實現雙向路由所需的資源。同時,考慮到一些團隊希望全權負責資源佈建,Workers VPC Private Link 還可以自動為您提供 Terraform 指令碼,您執行這些指令碼即可佈建外部雲端資源。
建立連線後,Workers VPC 將自動偵測外部 VPC 中的資源,並使其作為具有唯一 ID 的繫結項目提供。透過 Workers VPC 資源繫結發出的請求將自動路由到您的外部 VPC,將在其中進行 DNS 解析(如果您使用的是主機名稱存取的資源),然後路由到預期的資源。
例如,若要 Cloudflare Workers 連線到外部 VPC 中的私人 API,只需在指定 Workers VPC 資源的繫結上呼叫 fetch() 即可:
const response = await env.WORKERS_VPC_RESOURCE.fetch("/api/users/342");同樣地,也可以透過 Workers VPC Private Link 在外部雲端的私人 DNS 資源中設定的標準化 URL,存取 Cloudflare 資源。如果您想要從 VPC 中的 API 存取 R2 物件,則可以直接向預期的 URL 發送請求:
const response = await fetch("https://<account_id>.r2.cloudflarestorage.com.cloudflare-workers-vpc.com");最棒的是,由於 Workers VPC 是基於我們現有平台建置的,它充分發揮了 Cloudflare 網路和路由功能,幫助您減少輸出費用並建置全球化應用程式。
首先,透過支援 Cloudflare 網路互連作為基礎連線方法,Workers VPC Private Links 可以利用外部雲端輸出折扣價來幫助您降低頻寬成本。其次,由於 Workers VPC 本質上是全球性的,因此您的 Workers 和資源可以放置在任何需要的位置,以確保最佳效能。例如,使用 Workers 的 Smart Placement,您可以確保您的 Workers 自動放置在最靠近外部區域 VPC 的地區,以最大限度地提高應用程式效能。
端對端全球連通雲
Workers VPC 解鎖了目前鎖定在外部雲端中的大量工作負載,無需您將這些私人資源公開給公用網際網路,即可在 Workers 上進行建置。以下是開發人員曾表示希望使用 Workers VPC 在 Workers 上建置的應用程式真實範例:
基於 Workers 和 Durable Objects 建立的即時畫布應用程式架構範例,可存取外部 VPC 中的私人資料庫和容器
假設您正在嘗試為 Workers 上的應用程式建置一項新功能。您還想使用 Durable Objects 向該應用程式新增即時協作能力。您也在使用 Containers,因為您需要存取 FFmpeg 來進行即時視訊處理。在每種情況下,您都需要一種方法將狀態更新保留在現有傳統資料庫中,並存取現有 API。
過去,您可能必須建立單獨的 API 來處理來自 Workers 和 Durable Objects 的更新操作,而現在,您可以直接存取傳統資料庫,並使用 Workers VPC 直接更新值。
模型內容通訊協定 (MCP) 伺服器也是如此!如果您在 Workers 上建置 MCP 伺服器,則可能需要公開某些無法立即作為公用 API 提供的功能,特別是在上市時間很重要的情況下。使用 Workers VPC,您可以直接在基於私人 API 或資料庫的 MCP 伺服器中建立新功能,從而快速安全地交付。
從 R2、D1、KV 存取資料的外部雲端資源架構範例
許多開發團隊正在將越來越多的資料儲存在 Cloudflare 開發人員平台上,或是由於零輸出成本效率而將 AI 訓練資料儲存在 R2 上,或是由於水平分片模型而將應用程式資料儲存在 D1 中,也可能是由於全域個位數毫秒級的讀取延遲而將設定資料儲存在 KV 中。
現在,您需要提供一種方法,讓您在外部雲端中的運算資源能夠使用 R2 中的訓練資料來訓練或微調 LLM。由於您需要存取使用者資料,因此必須使用私人網路,這是您的安全團隊所要求的。同樣地,您需要存取 D1 和 KV 中的使用者資料和設定資料,以執行某些管理或分析任務,並且希望避免使用公用網際網路。Workers VPC 能夠實現從外部 VPC 到 Cloudflare 資源的直接私人路由,並且可以透過自動設定的私人 DNS 輕鬆存取主機名稱。
最後,我們以一個 AI 主體為例——畢竟這是 2025 年 Developer Week!這個 AI 主體基於 Workers 建置,並使用檢索增強生成 (RAG) 技術來提升其所產生文字的品質,同時最小化上下文視窗。
您在外部雲端使用 PostgreSQL 和 Elasticsearch,因為您目前的資料儲存在這些系統中,而且您是 pgvector 的支援者。您選擇使用 Workers,是因為希望快速進入市場,而現在您需要存取您的資料庫。您的資料庫再次被放置在私人網路中,無法從公用網際網路直接存取。
雖然您可以在容器中佈建新的 Hyperdrive 和 Cloudflare Tunnel,但由於您的 Workers VPC 已經設定並連結,您可以使用 Workers 或 Hyperdrive 直接存取資料庫。
如果有新文件被新增到外部雲端的物件儲存體中,該怎麼辦?您可能想要啟動一個工作流程來處理新文件,將其分塊,取得嵌入內容,並相應地更新應用程式的狀態,同時向終端使用者提供有關工作流程狀態的即時更新資訊。
那麼,在這種情況下,您可以使用 Workflows,由外部雲端中的無伺服器功能觸發。然後,Workflow 將在物件儲存體中擷取新文件,根據需要進行處理,使用您偏好的嵌入提供者(無論是 Workers AI 還是其他提供者)來處理和更新 Postgres 中的向量儲存,然後更新應用程式的狀態。
這些只是我們已知能從第一天起就受益於 Workers VPC 的一些工作負載範例。我們很期待看到您將建置的內容,並期待與您合作,使全球 VPC 成為現實。
虛擬私人雲端的新紀元
我們非常期待您能夠使用 Workers VPC 在 Workers 上建置更多內容。我們相信,透過私人網路對您的 API 和資料庫進行私人存取,將重新定義您可以在 Workers 上建置的可能性。Workers VPC 將解鎖對私人資源的存取權限,讓您能夠在 Workers 上更快、更高效地發佈應用程式。當然,我們也會確保 Containers 能夠與 Workers VPC 原生整合。
我們正在基於我們用於大規模連接客戶網路的網路基礎元件和入口,積極建置 Workers VPC。我們的目標是在 2025 年晚些時候推出一個早期預覽版本。
我們計劃首先解決從 Workers 到外部雲端的連線性問題,讓您對需要透過 Workers 存取私人 API 和資料庫的更多應用程式進行現代化改造,然後再擴展以支援全向流量和多個 Workers VPC 網路。如果您想要參與塑造 Workers VPC 的願景,並且有工作負載被困在傳統雲端中,請在此處表達您的興趣。