Cloudflare Mesh×Workers VPCで作るエージェント私設網設計

Cloudflare MeshとWorkers VPCは、エージェント活用で頻出する矛盾に対応します。内部データに触れさせたいが、公開API化は避けたいという要件です。

よくある失敗パターン

公開API+トークン依存か、閉じすぎて価値が出ないかの二択になりがちです。Mesh+VPCは私設網前提の中間解として有効です。

推奨設計原則

1. セッション単位ID
2. ツール単位最小権限
3. 要求境界でポリシー評価
4. 短命認証と即時失効
5. 全操作追跡

セグメント分離

閲覧系、更新系、高リスク系を分離し、更新系への昇格条件を明示します。

インシデント設計

緊急停止、セッション再現ログ、認証失効自動化、被害ラベル管理を初期構築で入れるべきです。

性能との両立

許可判断キャッシュ、read/write経路分離、操作種別SLOでセキュリティとUXを両立させます。

導入順序

1-2週: 連携先棚卸し
3-4週: read系私設化
5-6週: write系拡張
7週以降: ポリシーテスト自動化

参考:
https://blog.cloudflare.com/tag/workers-ai/