pile·
인프라 / DevOps·cloudflare-blogCloudflare Blog·

퍼블릭 트래픽을 프라이빗 앱으로 라우팅: Cloudflare Private Origins

Cloudflare가 공개 호스트명을 통해 프라이빗 네트워크의 내부 애플리케이션으로 트래픽을 라우팅하는 "Application Services for Private Origins"를 엔터프라이즈 대상 폐쇄 베타로 공개했다. 기존에는 내부 앱에 Cloudflare 보안·성능 레이어를 적용하려면 공개 IP를 노출하거나 커넥터 소프트웨어를 설치해야 했지만, 이 기능은 DNS 레코드에 use_private_routing: true 플래그를 추가하는 것만으로 가능하게 한다. IPsec·GRE·CNI·Cloudflare Mesh 등 기존 연결 방식을 그대로 활용하며, WAF·봇 관리·캐싱 등 기존 Application Services를 프라이빗 오리진에도 적용할 수 있다.

핵심 포인트
  • DNS A 레코드에 use_private_routing: true를 추가하면 프라이빗 IP(RFC 1918/6598/4193)를 Cloudflare 프록시 뒤에 배치할 수 있다.
  • 기존 연결 경로(IPsec·GRE·CNI·Cloudflare Mesh)를 그대로 활용해 추가 커넥터 소프트웨어 없이 동작한다.
  • WAF·봇 관리·속도 제한·캐싱·Workers가 모두 프라이빗 오리진 앞에서 그대로 작동한다.
  • Spectrum(Layer 4 프록시)과 Workers VPC도 동일한 프라이빗 라우팅 경로를 공유한다.
  • 내부 API·AI 에이전트 백엔드·MCP 서버·운영 도구 등 인터넷 노출 없이 Cloudflare 보안 레이어를 원하는 워크로드가 대상이다.
상세 정리
  • 배경: Cloudflare 보안·성능 서비스는 공개 IP 오리진에만 적용 가능했다. 내부 앱은 공개 IP 노출이나 별도 커넥터가 필요해 운영 복잡도가 높았다.
  • 핵심 변경점: DNS A 레코드에 proxied: true와 use_private_routing: true를 함께 설정하면 Cloudflare 프록시가 내부 프라이빗 경로로 트래픽을 보낸다.
  • 동작 원리: Cloudflare 프록시 플랫폼이 Origin API를 쿼리해 트래픽 대상을 결정한다. 응답에 use_private_routing 플래그가 있으면 프라이빗 네트워킹 계층으로 연결을 라우팅한다.
  • 자동 지원 RFC 범위: RFC 1918(10.x.x.x, 172.16-31.x.x, 192.168.x.x), RFC 6598(100.64-127.x.x), RFC 4193(FC00::/7)이 자동으로 활성화된다.
  • 연결 경로: IPsec 터널·GRE 터널·CNI 링크·Cloudflare Mesh 중 기업이 이미 사용 중인 방식을 추가 변경 없이 그대로 쓴다.
  • 적용 서비스: WAF·봇 관리·속도 제한·캐싱·트래픽 가속·리라이트·Workers가 프라이빗 오리진 앞에서 동일하게 동작한다.
  • Spectrum(Layer 4): TCP/UDP 서비스도 프라이빗 IP로 라우팅 가능하다. virtual_network_id를 지정해 특정 가상 네트워크로 격리한다. 예: SSH(tcp/22)를 ssh.example.com 뒤 10.0.0.50:22로 연결.
  • Workers VPC: Workers 런타임이 DNS 레코드와 동일한 프라이빗 경로를 통해 내부 서비스에 접근할 수 있다.
  • 요구사항: Cloudflare One 연결 설정 + 소스 IP 범위 100.64.0.0/12에 대한 반환 경로 필요.
  • 현황 및 로드맵: 현재 엔터프라이즈 폐쇄 베타. GA는 2026년 4분기 목표. 다음 단계는 직원·서비스·AI 에이전트가 서로 다른 프라이빗 네트워크 앱에 접근하는 프라이빗-프라이빗 트래픽 흐름이다.
왜 읽나내부 API·AI 에이전트 백엔드·MCP 서버를 인터넷 노출 없이 Cloudflare 보안 레이어 아래 운영하려는 인프라·보안 엔지니어에게, 실제 DNS API 설정 방법과 아키텍처 동작 원리.
cloudflare-blog
Cloudflare Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 인프라 / DevOps·vercel-blogVercel Blog·

    Vercel CLI 드라이런 배포로 실제 배포 전 구성 미리 확인하기

    Vercel CLI v54.17.2부터 vercel deploy --dry 명령으로 실제 파일 업로드 없이 배포 구성을 미리 검사할 수 있다. 프레임워크 감지 결과, 포함/제외 파일 목록, 디렉터리 크기 분포, 콘텐츠 해시까지 사전에 확인하고 나서 배포를 결정할 수 있어 의도치 않은 배포 실패를 예방한다.

    #deployment#ci-cd#vercel-cli+1