Cloudflare Mesh kullanıma sunuldu - kullanıcılar, düğümler, ajanlar ve Workers için güvenli özel ağ iletişimi

• Yapay zeka ajanlarının özel ağ kaynaklarına güvenli şekilde erişmesi gereken bir dönemde, VPN ve SSH tüneli gibi mevcut araçlar insan yerine otonom yazılımlar için uygun olmayan yapısal sınırlamalara sahip
• Cloudflare Mesh, tek bir hafif bağlayıcıyla kişisel cihazları, uzak sunucuları ve ajanları bir araya getiren çift yönlü özel ağ iletişimi çözümü
• Workers VPC’yi genişleterek Agents SDK ile geliştirilen ajanların Mesh ağına doğrudan erişmesini sağlıyor ve tek bir binding üzerinden yapılan fetch() çağrısıyla dahili servislere bağlantıyı destekliyor
• Mevcut Cloudflare One kullanıcılarında ek yapılandırma olmadan Gateway politikaları, Access kuralları ve cihaz duruşu kontrolleri Mesh trafiğine otomatik olarak uygulanıyor
• 50 düğüm ve 50 kullanıcıya kadar ücretsiz sunuluyor; ayrıca 330’dan fazla şehirdeki küresel edge yönlendirmesi sayesinde startup’tan enterprise’a kadar herkes hemen kullanmaya başlayabiliyor

Ajan çağında özel ağa erişim sorunu

• Yapay zeka ajanlarının staging veritabanı sorguları çalıştırması, dahili API’leri çağırması ve ev ağındaki servislere erişmesi gibi özel kaynaklara ulaşmayı gerektiren iş akışları hızla artıyor
• Mevcut araçların sınırlamaları:
  • VPN, etkileşimli oturum açma gerektiriyor
  • SSH tünelleri, elle kurulum gerektiriyor
  • Servisleri herkese açık hale getirmek güvenlik riski yaratıyor
  • Ajanların bağlandıktan sonra gerçekte ne yaptığına dair görünürlük eksikliği bulunuyor

Üç temel iş akışı

• Kişisel ajanın uzaktan erişimi: Mac mini üzerinde OpenClaw çalıştırıp mobil cihaz veya dizüstünden erişirken, herkese açık erişim açıldığında shell, dosya sistemi ve ağ erişimi de beraberinde açılıyor; tek bir yanlış yapılandırma güvenlik riski oluşturabiliyor
• Kodlama ajanının staging ortamına erişimi: Claude Code, Cursor ve Codex gibi araçların özel bulut VPC içindeki servislere erişebilmesi için internete açma ya da tüm VPC’yi tünelden geçirme zorunluluğu doğabiliyor
• Dağıtılmış ajanın özel servislere bağlanması: Agents SDK tabanlı Workers ajanlarının dahili API’lere ve veritabanlarına erişirken kapsamı belirlenmiş yetkiler, denetim izi ve kimlik bilgisi sızıntısını önleme ihtiyacı var

Cloudflare Mesh mimarisi ve çalışma şekli

• Tek bir hafif bağlayıcı (binary) ile kişisel cihazlar, uzak sunucular ve kullanıcı uç noktaları birbirine bağlanıyor
• Bağlanan cihazlar, özel IP üzerinden Cloudflare’in küresel ağı (330’dan fazla şehir) aracılığıyla çift yönlü iletişim kuruyor
• Mevcut WARP Connector artık Cloudflare Mesh node, WARP Client ise Cloudflare One Client olarak adlandırılıyor
• Somut kullanım senaryoları:
  • iOS için Cloudflare One Client ile mobil cihazdan yerel Mac mini üzerindeki OpenClaw’a güvenli bağlantı
  • macOS için Cloudflare One Client ile dizüstündeki kodlama ajanının staging veritabanı ve API’lere erişmesi
  • Linux sunucudaki Mesh node ile harici bulut VPC’lerinin birbirine bağlanması; ajanın harici özel ağ kaynaklarına ve MCP’ye erişebilmesi

Mesh ile Tunnel arasındaki fark

• Cloudflare Tunnel: Cloudflare edge’den belirli bir özel servise (web sunucusu, veritabanı) giden tek yönlü trafiği proxy’lemek için uygun
• Cloudflare Mesh: Tüm cihaz ve düğümlerin özel IP ile birbirine erişebildiği çift yönlü, çoktan çoğa (many-to-many) bir ağ sağlıyor
  • Her kaynak için ayrı bir Tunnel kurmaya gerek kalmadan, Mesh’e bağlı tüm kaynaklara erişilebiliyor

Cloudflare ağının kullanımı: NAT aşma sorununu çözmek

• İnternetin büyük bölümü NAT (Network Address Translation) arkasında bulunuyor; iki cihaz da NAT arkasındaysa doğrudan bağlantı başarısız olduğunda röle sunucularına bağımlılık oluşuyor
• Röle altyapısının PoP (Point of Presence) sayısı sınırlıysa trafiğin önemli bir bölümü röle üzerinden geçiyor ve bu da gecikme ile güvenilirlik kaybı yaratıyor
• Cloudflare Mesh, tüm trafiği Cloudflare’in küresel ağına yönlendirerek ayrı bir röle sunucusuna ihtiyaç duymadan tutarlı performans sunuyor
• Bölgeler arası ve çoklu bulut trafiğinde, genel internet yönlendirmesine kıyasla sürekli olarak daha iyi performans sağlıyor

Temel sundukları

• 50 düğüm ve 50 kullanıcı ücretsiz: Tüm Cloudflare hesaplarına dahil
• Küresel edge yönlendirmesi: 330’dan fazla şehir, optimize edilmiş backbone yönlendirmesi, performansı düşüren fallback yolları yok
• İlk günden güvenlik kontrolleri: Gateway politikaları, DNS filtreleme, DLP, trafik denetimi ve cihaz duruşu kontrolleri aynı platformdan etkinleştirilebiliyor; her özellik tek bir anahtarla açılıp kapatılabiliyor
• Yüksek erişilebilirlik (HA): Aynı token ile birden fazla bağlayıcı active-passive modda çalıştırılabiliyor, aynı IP route’u ilan edilerek arıza anında otomatik failover sağlanıyor

Workers VPC entegrasyonu

• Workers VPC genişletilerek Mesh ağının tamamına Workers ve Durable Objects içinden erişim sağlanıyor
• wrangler.jsonc dosyasında cf1:network ayrılmış anahtar sözcüğüyle Mesh ağına binding yapılabiliyor:
  • "vpc_networks": [{ "binding": "MESH", "network_id": "cf1:network", "remote": true }]
• Worker kodu içinde env.MESH.fetch("http://10.0.1.50/api/data") biçiminde özel host’a doğrudan erişim mümkün; önceden kayıt gerekmiyor
• Tunnel tabanlı VPC binding ile birlikte kullanılabildiği için ağ güvenliği yaklaşımında daha fazla esneklik sunuyor
• Böylece özel veritabanlarına, dahili API’lere ve MCP’ye güvenli şekilde erişen çoklu bulut ajanları ve MCP’ler inşa edilebiliyor

Genel mimari bileşenleri

• Mesh düğümleri: Sunucu, VM ve container üzerinde headless sürümde çalışan Cloudflare One Client, Mesh IP alarak servisler arasında çift yönlü özel IP iletişimi sağlıyor
• Cihazlar: Dizüstü ve telefonlarda çalışan Cloudflare One Client ile Mesh düğümlerine doğrudan erişiliyor — SSH, veritabanı sorguları ve API çağrılarının tamamı özel IP üzerinden yapılıyor
• Workers ajanları: Workers VPC Network binding üzerinden özel servislere erişiyor; ağ, ajanın erişebileceği alanı kontrol ederken MCP sunucuları ajanın davranışını kontrol ediyor

Yol haritası

• Hostname routing

  • Bu yaz, Cloudflare Tunnel’ın hostname routing özelliğinin Mesh’e genişletilmesi planlanıyor
  • wiki.local veya api.staging.internal gibi özel hostnameler üzerinden trafik yönlendirilerek IP listesi yönetme ihtiyacı ortadan kalkacak
  • Dinamik IP, auto scaling grupları ve geçici container ortamlarındaki yönlendirme karmaşıklığı azaltılacak

• Mesh DNS

  • Bu yılın ilerleyen dönemlerinde Mesh’e katılan tüm düğüm ve cihazlara otomatik olarak yönlendirilebilir dahili hostname’ler verilmesi planlanıyor
  • DNS yapılandırması veya elle kayıt ekleme olmadan postgres-staging.mesh üzerinden erişim mümkün olacak
  • Hostname routing ile birleştiğinde ssh postgres-staging.mesh veya curl http://api-prod.mesh:3000/health gibi IP adresi olmadan erişim sağlanacak

• Kimlik farkındalıklı yönlendirme (Identity-aware Routing)

  • Şu anda Mesh düğümleri ağ katmanında paylaşılan bir kimlik kullanıyor; cihazlar kullanıcı kimliğiyle doğrulansa da düğümlerin Gateway politikalarının ayırt edebileceği ayrı bir yönlendirme kimliği yok
  • Hedef, her düğüme, cihaza ve ajana benzersiz bir kimlik atayarak politikaları IP aralığına göre değil bağlantıyı kuran özneye göre yazabilmek
  • Tasarlanan ajan kimliği modeli:
    • Principal/Sponsor: Eylemi onaylayan kişi
    • Agent: Eylemi gerçekleştiren yapay zeka sistemi (oturum kimliği dahil)
    • Scope: Ajanın izinli olduğu görev kapsamı
  • Bu sayede “okuma ajanlara serbest, yazma yalnızca doğrudan insanlara açık” gibi ince taneli politikalar uygulanabilecek
  • Altyapı hâlihazırda kurulmuş durumda (düğüm bazlı token’lar, kullanıcı bazlı kimlikler, servis bazlı VPC binding); şu anda geliştirilen kısım politika katmanında kimlik görünürlüğü

• Mesh container desteği

  • Şu anda Mesh düğümleri VM ve bare-metal Linux sunucularda çalışıyor
  • Kubernetes pod’ları, Docker Compose stack’leri ve CI/CD runner’ları gibi container ortamları için Mesh Docker image hazırlanıyor
  • Docker Compose stack’ine bir Mesh sidecar eklenerek stack içindeki tüm servislere özel ağ erişimi verilebilecek
  • CI/CD pipeline’larında GitHub Actions runner’ları Mesh container image’ını çekip ağa katılacak, staging ortamında entegrasyon testleri çalıştıracak ve container kapanınca düğüm otomatik silinecek
  • Bu yılın ilerleyen dönemlerinde sunulması planlanıyor

Nasıl başlanır

• Cloudflare Mesh: Cloudflare dashboard içinde Networking > Mesh bölümünden başlayın; 50 düğüm ve 50 kullanıcıya kadar ücretsiz
• Agents SDK + Workers VPC: npm i agents ile kurulum yapın; Workers VPC quickstart ve remote MCP server kılavuzlarına bakın
• Mevcut Cloudflare One kullanıcıları: Mevcut yapılandırmalarla uyumlu; Gateway politikaları, cihaz duruşu kontrolleri ve Access kuralları Mesh trafiğine otomatik uygulanır