Cloudflare запустила Mesh, щоб замінити VPN: забезпечує безпечний доступ до вашої внутрішньої мережі через AI-проксі, безкоштовно на 50 вузлах

Cloudflare на Agents Week 2026 офіційно випустила Cloudflare Mesh, замінивши традиційний VPN та SSH-тунелі двонапрямною багатоточковою мережею, що дозволяє AI-агентам безпосередньо отримувати доступ до приватної інфраструктури в рамках політики Zero Trust, а також безкоштовно пропонує стартовий план з 50 вузлами.
(Попередній огляд: Cloudflare підключившись до Kimi K2.5 щодня обробля 7 мільярдів токенів, економлячи 77% на безпековому аудиті)
(Додатковий контекст: Cloudflare обирає Coinbase чи Stripe? Це рішення визначить стандарт оплати для AI-агентів)

Зміст статті

Перемикач

• Мертві точки VPN: вона припускає, що ви завжди присутні
• Технічна основа Mesh: двонапрямна, глобальна, автоматична穿透 NAT
• Автоматичне застосування політики Zero Trust до трафіку через代理
• Дорожня карта та нездійснені обіцянки
• Що можуть зробити розробники зараз

О 3 годині ночі ваш AI-агент намагається зробити 10 000-й API-запит, а ваш VPN все ще відкриває вікна, очікуючи його ручного входу.

Це реальний стан речей у 2026 році для інженерної команди, коли AI-агенти починають самостійно запитувати бази даних і підключатися до приватних сервісів, ми зрозуміли: існуючі мережеві інструменти (VPN, SSH, Bastion Host) створені для «людей». Вони вимагають натискання, взаємодії, людського втручання.

У епоху AI, що працює без людської участі, ці інструменти стають найуразливішими точками системи.

З цієї причини, Cloudflare 14 числа минулого місяця офіційно випустила Cloudflare Mesh під час щорічного заходу «Agents Week 2026», прямо оголосивши про намір заповнити цю архітектурну прогалину, створивши нативну приватну мережу, спеціально розроблену для AI-агентів, щоб замінити старі інструменти, створені для ручної роботи.

Мертві точки VPN: вона припускає, що ви завжди присутні

Традиційна модель довіри VPN базується на прихованому припущенні: є «людина», яка підтверджує особу, ініціює з’єднання і відповідає за доступ. Це припущення стає проблематичним у епоху AI-агентів.

Агенти не чекатимуть взаємодії MFA. Вони не зможуть вручну налаштувати SSH-тунель. Більш того, як тільки VPN-з’єднання встановлено, майже немає механізму, щоб дізнатися, що саме робить агент на іншому кінці: він може за кілька мілісекунд просканувати дані, до яких ви ніколи не очікували доступу.

Ще один крайній варіант — зробити сервіс відкритим у публічній мережі, але це рівносильно вставити ключ у двері. У своєму оголошенні Cloudflare прямо вказала на спільні «мертві точки» трьох підходів: «Ці рішення не дозволяють вам побачити, що саме робить агент після підключення».

Концепція Cloudflare Mesh починається з вирішення проблеми видимості перед тим, як говорити про з’єднання.

Технічна основа Mesh: двонапрямна, глобальна, автоматична穿透 NAT

У порівнянні з існуючим продуктом Cloudflare Tunnel, ключова різниця в архітектурі Mesh — у напрямку.

Tunnel — односторонній: трафік іде ззовні у вашу інфраструктуру. Mesh — двонапрямний багатоточковий (bidirectional, many-to-many): будь-який вузол може самостійно ініціювати з’єднання з будь-яким іншим вузлом, а маршрутизація трафіку здійснюється через глобальну мережу Cloudflare, що охоплює 330 міст.

Цей дизайн безпосередньо вирішує найболючішу проблему в корпоративних середовищах:穿透 NAT. Домашні мережі, офісні фаєрволи, хмарні VPC — різноманітні складні налаштування NAT зазвичай вимагають ручного налаштування правил перенаправлення, але Mesh обіцяє автоматизувати цей процес.

Для розробників головним стимулом є інтеграція з платформою Cloudflare Developer Platform. Просто вказавши Mesh у файлі wrangler.jsonc, Workers і Durable Objects зможуть викликати приватні сервіси через env.MESH.fetch(), як будь-який зовнішній API — але весь трафік залишатиметься в рамках Zero Trust політики Cloudflare.

У назві також відбувся ребрендинг: раніше відомий як WARP Connector тепер називається «Cloudflare Mesh node», а WARP Client — «Cloudflare One Client», об’єднані у лінійку Mesh.

Політика Zero Trust автоматично застосовується до трафіку代理

Cloudflare підкреслює, що Mesh — це не окремий новий продукт, а нативне розширення пакету Cloudflare One SASE.

Це означає, що існуючі політики Gateway, стан здоров’я пристроїв, захист від витоку даних (DLP) — все це автоматично застосовуватиметься до трафіку, ініційованого агентами, без додаткових налаштувань.

Це має велике значення для команд безпеки. Проблема AI-агентів полягає не лише у «можна підключитися», а й у «хто контролює після підключення». Mesh інтегрує трафік агентів у вже існуючу систему управління, а не створює окремий, важкий для аудиту канал.

Що стосується цінової політики, Cloudflare пропонує досить щедрий безкоштовний поріг: будь-який обліковий запис може безкоштовно використовувати 50 вузлів і 50 користувачів, що робить сценарії «доступ до домашньої лабораторії через代理» практично безбар’єрними.

Дорожня карта та нездійснені обіцянки

Варто зазначити, що багато з ключових функцій, описаних у оголошенні Cloudflare, наразі перебувають у планах і ще не запущені.

• Hostname Routing (дозволяє агентам використовувати внутрішні домени типу wiki.local, api.staging.internal для прямого доступу) планується запустити влітку 2026 року
• Mesh DNS (автоматичне призначення імен хостів у форматі postgres-staging.mesh для кожного вузла) — пізніше
• Identity-Aware Routing — здатність розрізняти трафік за типом ініціатора (Principal, Sponsor, Agent), наразі у планах без конкретних дат.

Підтримка контейнерів (Docker, Kubernetes, CI/CD) також очікується до кінця 2026 року.

Інакше кажучи, сьогодні доступний Mesh — це переважно зв’язки між Workers/Durable Objects і базовий з’єднувальний потенціал між вузлами. Більш тонка ідентифікація та управління агентами ще попереду.

Що можуть зробити розробники зараз

Для команд, вже працюючих у екосистемі Cloudflare One, Mesh доступний без додаткових заявок — просто активуйте його у поточному обліковому записі. Інтеграція з Workers VPC вимагає додавання Mesh у wrangler.jsonc, а потім викликів приватних сервісів через env.MESH.fetch().

Для команд, що ще оцінюють можливості, найкращим сценарієм тестування є: доступ агентів до staging-баз даних або виклики внутрішніх API офісної мережі через хмарний агент — ці базові можливості вже можна протестувати сьогодні.

До запуску Hostname Routing прямий IP:порт зв’язок залишається основним варіантом, хоча й не ідеальним. Реальний досвід «відчуття внутрішньої мережі» через DNS доведеться почекати до літа.