中文 EN
登录 注册
C
Cloudflare 2026-06-10
Architecture Shift 影响: Major 置信: 85%

Cloudflare 将安全栈延伸至私有源站:DNS 路由开启应用层控制新范式

内容摘要

Cloudflare 发布 Application Services for Private Origins,允许企业客户通过 DNS 记录启用私有路由,将 WAF、Bot 管理、速率限制等安全服务应用于私有 IP 上的应用,无需公网暴露或 connector 软件。该功能基于 Cloudflare 已有的私有网络连接(IPsec/GRE/CNI/Mesh)实现,并支持 Spectrum 和 Workers VPC 绑定,构建统一的私有流量控制平面。

核心要点

Cloudflare 宣布推出 Application Services for Private Origins(封闭测试版),核心创新在于将 Cloudflare 的全栈安全与性能服务(WAF、Bot Management、Rate Limiting、Caching、Rewrites、Workers)直接应用于私有网络中的源站,而无需传统 VPN 或公网 IP。

其实现机制是:在 Cloudflare 的 DNS 记录中新增 useprivaterouting 标志位。当 Cloudflare 的代理平台(基于 Pingora)看到该标志时,不再尝试通过公网连接私有 IP,而是将请求交给 Cloudflare 的私有网络路由层,该层利用客户已有的 IPsec 隧道、GRE 隧道、CNI 链路或 Cloudflare Mesh 进行最后一跳转发。RFC 1918 及类似私有地址段自动启用该特性,公网 IP 可手动开启。

此外,Spectrum(Layer 4 代理)现在支持通过 virtualnetworkid 指向私有源站,仅限 Cloudflare Tunnel 模式(初期),未来扩展更多连接选项。Workers VPC binding 允许 Workers 运行时通过相同私有路径访问私有 API。

Cloudflare 将应用流量分为四种组合:公网用户到公网应用(已有)、私网用户到公网应用(Cloudflare One)、公网用户到私网应用(本次发布)、私网到私网(下一步目标)。最终愿景是所有流量(无论用户或源站是否公网)都经过同一套安全栈。

重要性说明

防守/合围谁? 此举直接针对传统 VPN 和 ZTNA 厂商(如 Zscaler, Netskope, Palo Alto Networks Prisma Access),以及依赖 connector 软件的竞争对手(如 Cloudflare 自己的旧模式 cloudflared)。Cloudflare 通过将安全栈与私有网络路由深度绑定,试图将客户从“代理+隧道”的复杂架构迁移到纯 DNS 级别的路由,从而削弱竞争对手在私有应用安全交付领域的控制力。

隐性锁定用户什么资产? 客户一旦启用此功能,其私有网络的路由策略、安全策略和 DNS 解析将完全依赖 Cloudflare 的 私有网络路由层。这意味着客户必须使用 Cloudflare 的 IPsec/GRE/CNI/Mesh 连接,无法轻易切换到其他 CDN 或安全厂商,因为路由规则与 Cloudflare 的 Origin API 和虚拟网络 ID 深度耦合。

故意隐瞒了什么物理限制/成本陷阱? 博客未提及 尾部延迟 问题:通过 Cloudflare 全球网络进行私有路由,相比直接内部网络会增加至少一跳(PoP 到客户私有网络)。对于延迟敏感的 AI 推理或高频交易应用,这种额外延迟可能不可接受。此外,大规模 Spectrum 私有路由初期仅支持 Tunnel,而 Tunnel 本身有带宽和连接数限制(受限于 cloudflared 实例),对于高吞吐 UDP 服务(如实时音视频)可能成为瓶颈。PFC/ECN 等拥塞控制机制在跨 Cloudflare 的私有路由中缺乏明确支持,可能导致丢包敏感应用性能下降。

PRO 决策建议

【厂商】(竞争对手)

  • Zscaler / Netskope / Palo Alto Networks: 立即在客户沟通中强调 Cloudflare 此方案的实际延迟代价和数据主权风险。指出其私有路由依赖单一厂商的网络层,而你们的 ZTNA 方案支持多云、多网络连接(如 AWS Direct Connect、Azure ExpressRoute),提供更灵活的控制。同时,发布独立基准测试,对比 Cloudflare 私有路由与传统 VPN/ZTNA 在 尾部延迟吞吐量 上的差异。
  • Akamai / Fastly: 加速推出类似的内联安全服务,但必须支持与客户现有私有网络(如 MPLS、SD-WAN)的松耦合集成,而非要求客户迁移到你们的网络。强调 跨云可移植性避免供应商锁定

【企业】(CIO/架构师)

  • 立即启动零信任技术审计:评估当前私有应用的安全交付是否真的需要 Cloudflare 的全栈服务。对于非关键应用,可以测试此功能,但必须保留传统 VPN 作为备用。
  • 防范隐性锁定:要求 Cloudflare 提供明确的 数据导出和路由策略迁移工具。确保 DNS 记录和虚拟网络 ID 能够被标准化(如 JSON/YAML)导出,以便未来迁移到其他平台。
  • 性能验证:在测试环境中部署延迟敏感应用(如 AI Agent 后端、实时数据库),对比通过 Cloudflare 私有路由与直接内部网络的 P99 延迟丢包率。要求 Cloudflare 提供 SLA 关于私有路由的延迟上限。

【投资者】

  • 看穿公关辞令:此功能本质是 Cloudflare 将 Cloudflare One 私有网络能力与 Application Services 安全栈进行交叉销售,旨在提高客户粘性和平均合同价值。短期收入增长可期,但需关注 客户流失风险:如果企业发现延迟或锁定问题,可能转向更开放的 SASE 方案。
  • 长期趋势:Cloudflare 正在构建一个从 DNS 到安全到私有网络的统一平台,这使其在 SASE 市场 中占据独特位置。但竞争对手(尤其是 AWS 和 Microsoft)拥有更广泛的云生态,可能通过原生集成反击。关注 Cloudflare 是否能在 供应商集中度风险 上给出令人信服的解耦方案。

来源: blog
查看原文 →

觉得这篇分析有用?

每周收到3-5条AI基础设施关键信号 →

💬 评论 (0)