Route public traffic to private applications with Cloudflare

通过 Cloudflare 将公共流量路由到私有应用

2026-06-10

• Enrique Somoza

• Steve Welham

• Shruti Mittal

6 分钟阅读

在互联网的大部分历史中，公共和私有基础设施作为两个独立的世界运行。公共应用位于内容分发网络（CDNs）和网络应用防火墙（WAFs）之后。私有应用则位于虚拟专用网络（VPNs）、防火墙和独立的操作堆栈之后。我们认为这种区分正在变得过时。

许多组织关注的应用并不是公共网站。它们是内部 API、AI 代理后端、MCP 服务器、操作工具和从未设计为暴露给公共互联网的服务。然而，这些应用仍然需要现代的安全性、性能和可编程性服务。安全性应该是到达应用的流量的属性，而不是应用所在位置的偶然结果。

到目前为止，将这些服务应用于私有应用通常需要公共 IP、防火墙例外、连接软件或复杂的网络配置。因此，许多私有应用错过了诸如 WAF、机器人管理、速率限制、缓存、流量加速、重写和 Workers 等功能，尽管它们需要与面向公众的应用程序相同的保护和控制。

今天，我们为符合条件的企业客户推出了 Application Services for Private Origins 的封闭测试版。客户现在可以安全地将流量路由到私有源，而无需将这些源暴露给公共互联网。这使得 Cloudflare 的安全、性能和可编程性服务能够保护运行在私有网络上的应用，就像它们对公共互联网应用所做的那样。

WAF 规则、机器人管理、速率限制、缓存、重写和 Workers 现在可以在不暴露公共 IP、不需要入站防火墙规则或在源上运行 cloudflared 的情况下位于私有源之前。

四种使用场景，一个应用层

这种路由模型建立在 Cloudflare 今天通过 Cloudflare Tunnel、Cloudflare One Client 和私有网络集成所支持的连接模式之上。多年来，Cloudflare Tunnel 一直允许客户通过 cloudflared 将公共流量路由到私有应用。这项新功能将相同的模型扩展到现有的 Cloudflare WAN 或 Cloudflare Mesh 连接，而无需在源上运行连接软件。

大部分连接是通过 Cloudflare 的私有网络路由层进行编排的，该路由层决定了流量如何通过 Cloudflare Tunnels、虚拟网络、Cloudflare Mesh 和其他连接模型到达私有目的地。客户现在可以通过 API 和仪表板定义其路由行为，而无需为每个产品管理单独的网络堆栈。

我们已将 Cloudflare 的私有网络层直接扩展到应用服务堆栈中，使安全性和性能代理基础设施能够将私有 IP 视为公共主机名的有效源目标。因此，之前只能通过 Cloudflare Tunnel、Cloudflare One、Cloudflare Mesh 或 Cloudflare WAN 访问的私有 IP，现在可以像公共源一样，位于 Cloudflare 的安全、性能和可编程性服务之后。

这也为 Cloudflare 产品创建了一个更加统一的模型。Workers VPC 绑定和 Spectrum 私有源路由现在依赖于相同的底层私有连接层，使客户能够在一个统一的来源中控制私有流量在其 Cloudflare 环境中的流动方式。

应用程序流量现在根据用户来源和应用程序所在位置分为四种组合：

右上角的组合是 Cloudflare 一直以来的做法：互联网上的用户访问互联网上的应用程序，Cloudflare 位于中间。右下角是 Cloudflare One：私有网络上的用户安全地访问公共服务。

左上角的是我们今天正在推出的组合。左下角的私有到私有组合是我们下一步要实现的目标。

当前正在推出的功能

到目前为止，将公共流量发送到私有源通常意味着需要做出权衡。客户可以使用 Cloudflare Tunnel，它在源附近运行 cloudflared，我们的连接软件，或者使用 Cloudflare 负载均衡和私有源池进行健康检查和故障转移。在许多情况下，组织还维护了并行的基础设施，如面向公众的负载均衡器、反向代理、跳点之间的 mTLS 以及多层的 TLS 终止。因此，将 Cloudflare 的完整应用程序服务堆栈应用于私有应用程序通常需要额外的复杂性、运营开销或单独的产品。Private Origins 的应用程序服务消除了这些权衡。

所缺少的是为那些已经使用 Cloudflare WAN（IPsec 隧道、GRE 隧道、CNI 链接）或 Cloudflare Mesh 的客户提供的一条路径。他们已经在 Cloudflare 中构建了私有连接，用于站点到站点的网络和零信任，他们希望使用相同的连接来处理公共流量到私有源。这就是 Private Origins 的应用程序服务所提供的功能。

当你在代理的 A 或 AAAA 记录上启用“使用私有网络路由”时，Cloudflare 的 WAF、速率限制、缓存、机器人管理以及转换规则都会像往常一样在 Cloudflare 的网络上运行。唯一的不同是最后一跳：流量不再通过公共互联网到达源，而是通过你现有的私有网络连接进行路由。

对于 RFC 1918 私有 IPv4 范围（10.x.x.x、172.16.x.x–172.31.x.x 和 192.168.x.x）、RFC 6598 CGNAT 范围（100.64.x.x–100.127.x.x）和 RFC 4193 唯一本地 IPv6 地址（FC00::/7），该切换功能会自动启用，因为这些地址只能在私有网络内部访问。对于只能通过你的私有网络或隧道访问的公共 IP 地址，你可以手动启用该切换功能。

API 的外观

对于通过 API 自动化部署的客户，私有路由只是标准 DNS 记录上的一个额外属性。

POST /zones/{zone_id}/dns_records
{
 "type": "A",
 "name": "app.example.com",
 "content": "10.0.0.50",
 "ttl": 300,
 "proxied": true,
 "use_private_routing": true
}

在幕后，Cloudflare 的代理平台通过查询 Cloudflare 的 Origin API 来确定将 app.example.com 的流量发送到哪里。响应包括指示应通过私有网络路径到达目的地的元数据：

{
 "zone_name": "example.com",
 "ipv4_addresses": ["10.0.0.50"],
 "use_private_routing": true
}

use_private_routing 标志是关键信号。当我们的代理看到这个标志时，它不会尝试通过公共互联网直接连接到私有 IP 地址，而是将请求交给我们的私有网络层，该层随后通过客户现有的私有网络连接路由连接，无论这种连接是 IPsec、GRE、Cloudflare Tunnel、CNI 还是 Cloudflare Mesh。

超越 HTTP：Spectrum 和 Workers VPC

相同的路由模型现在已扩展到 HTTP 应用程序之外。源端不一定是 Web 服务器，它可以是 TCP 数据库、UDP 日志记录端点，或者 Workers 直接调用的私有 API。共同点在于，Cloudflare 位于您的流量和私有网络之间，无论协议或请求来源如何，都应用相同的安全部分、性能和路由层。

Spectrum，Cloudflare 的第 4 层代理，现在可以位于运行在私有 IP 上的 TCP 和 UDP 服务前面。无需创建负载均衡器池作为中介，Spectrum 应用程序可以在源配置上直接指定虚拟网络 ID。创建 Spectrum 应用程序时，您可以将虚拟网络 ID 与私有源 IP 一起包含在内：

{
 "protocol": "tcp/22",
 "dns": {
   "type": "CNAME",
   "name": "ssh.example.com"
 },
 "origin_direct": ["tcp://10.0.0.50:22"],
 "virtual_network_id": "fab9ac85-491b-44c8-b7ae-dd44d4f4672e"
}

当您使用私有源和虚拟网络创建或更新 Spectrum 应用程序时，Cloudflare 会在保存配置之前验证 IP 地址是否与您的 Cloudflare Tunnel 中的路由匹配。如果没有匹配的路由，API 会拒绝请求，并且应用程序不会被创建。保存后，Spectrum 会将连接交给您的虚拟网络，该网络通过与 HTTP 流量在启用私有网络路由的 DNS 记录时使用的相同路径，将连接通过相关隧道路由。在此次初始发布中，Spectrum 的私有源通过 Cloudflare Tunnel 支持。对其他私有网络连接选项的支持将在未来的版本中推出。

这意味着现在您可以将 Spectrum 放在运行在私有 IP 上的任何 TCP/UDP 服务前面。服务仍然保持私有，无需公共 IP、连接软件或负载均衡器。

Workers VPC 为在 Cloudflare 上运行的代码形成了闭环。绑定会告诉 Workers 运行时通过与 DNS 记录相同的私有路径进行路由。浏览器、移动应用、Workers 和 AI 代理都可以通过 Cloudflare 到达您的私有源：Internet 流量使用 DNS 记录，Workers 使用绑定。

接下来是什么

公共到私有路由目前处于封闭测试阶段，我们计划在 2026 年第四季度实现 GA（一般可用性）。

在 GA 之后，我们正朝着私有到私有流量的方向发展：私有网络上的用户、服务和 AI 代理可以安全地到达其他私有网络上的应用程序，Cloudflare 的应用服务将位于中间。

我们正在朝着一个模型前进，即无论用户还是源端是公共的，相同的 Cloudflare 基础设施都可以保护流量。

最终目标是实现这样一个世界：使用 Cloudflare One 客户端访问 wiki.company.internal 的员工，与访问公共 API 的客户一样，都能获得相同的 WAF、速率限制和机器人管理保护。一个消费专有内部 API 的 AI 代理，会通过与浏览器相同的网络安全栈。跨云和数据中心的服务间流量，会受到与互联网流量相同的控制，即使用户或服务器都不在公共互联网上。

立即开始

目前，路由到私有源的功能已向符合条件的 Enterprise 客户开放封闭测试。请联系您的 Cloudflare 账户团队以申请访问权限。启用后，请按照我们的开发人员文档进行操作，文档将逐步引导您完成整个设置过程。您需要 Cloudflare One 连接（IPsec、GRE、CNI 或 Cloudflare Mesh）以及在私有网络中为 Cloudflare 的源 IP 范围 100.64.0.0/12 设置返回路由。

有任何问题或反馈？请加入我们的社区论坛讨论，或联系您的账户团队。

[if astro]>server-island-start<![endif]

应用服务

私有网络

DNS

Pingora

Cloudflare One

Cloudflare Zero Trust

零信任

产品新闻