こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2025/09/21 ~ 2025/09/27 の変更
Wrangler
4.40.2
パッチアップデート
- Worker Loader バインディングタイプを修正
4.40.1
パッチアップデート
- 複雑な名前を持つシークレットの削除をサポート
4.40.0
マイナーアップデート
-
wrangler r2 bucket catalog compactionコマンドのフラグを--fileSizeMBから--file-sizeに変更 - pipelines コマンドに小規模な修正を適用
パッチアップデート
- リダイレクトされた設定ファイル(Cloudflare Vite プラグイン使用時など)で一部 Workers に誤ったサービスタグが適用され、ダッシュボード上で sibling 環境と正しくグループ化されない問題を修正
- 依存関係を更新
miniflare@4.20250924.0
4.39.0
マイナーアップデート
- VPC サービスバインディングをサポート
- 新しい pipelines コマンド(
pipelines,streams,sinks,setup)を追加し、従来のコマンドは--legacyフラグで利用可能に - Hyperdrive ローカル接続文字列環境変数を
-
WRANGLER_HYPERDRIVE_LOCAL_CONNECTION_STRING_<BINDING_NAME>から -
CLOUDFLARE_HYPERDRIVE_LOCAL_CONNECTION_STRING_<BINDING_NAME>に変更(旧名は非推奨警告付きでサポート)
-
- Worker Loader バインディングを安定化
パッチアップデート
- workers-sdk で Cap'n Web を使用
- ホットキーが二重に描画される問題を修正
- 依存関係を更新
miniflare@4.20250923.0
Workers
複数 Worker の同時ローカル実行と相互通信を強化
wrangler dev が複数の設定ファイルを同時に扱え、別ターミナルで起動した他の wrangler dev セッションとも相互通信できるようになりました。Service Bindings や Tail Workers を含む構成を、デプロイせずにローカルで再現・検証できます。
- できること
-
--configを複数指定して一括起動 - 別ターミナルで起動した Worker とも相互通信
- ローカルで Service Bindings や内部サービス呼び出しの挙動を再現
-
- 使い方の例
- 1 つのターミナルで複数 Worker を起動
wrangler dev --config ./web/wrangler.jsonc --config ./api/wrangler.jsonc
- 別ターミナルで追加の Worker を起動して連携
wrangler dev --config ./auth/wrangler.jsonc
- 1 つのターミナルで複数 Worker を起動
R2
R2 SQL オープンベータ開始
R2 SQL は、R2 Data Catalog で管理する Apache Iceberg テーブルに対してサーバーレスで分散実行されるクエリエンジンです。ログやイベント、クリックストリームなど大規模データを、インフラ管理なしで R2 上に置いたまま直接 SQL で探索・分析できます。
- 特長
- サーバーレス実行でスケール管理不要
- R2 のデータローカリティを活用して高効率にスキャン
- Iceberg のスキーマ進化やトランザクションに対応
- 提供状況と料金
- オープンベータ(R2 サブスクリプションがあれば利用可)
- ベータ期間は R2 SQL の課金なし(R2 の標準ストレージ/操作は従来どおり課金)
- 将来は「スキャン量」に基づく課金を予定(有料化の 30 日前に告知)
- 使い方のイメージ
- Wrangler からカタログ化済みテーブルにクエリを実行
npx wrangler r2 sql query <WAREHOUSE> "SELECT * FROM events WHERE domain='example.com'"
- ユースケース
- Pipelines で取り込んだイベントやアクセスログの探索
- 時系列データの高速フィルタリングとアドホック分析
- R2 をデータレイクとして活用した軽量な分析基盤
Data Catalog にコンパクション機能を追加
R2 Data Catalog の Iceberg テーブルで、小さなオブジェクトをまとめて再配置するコンパクションが利用できるようになりました。これにより、R2 SQL のスキャン効率が上がり、クエリのレイテンシ低減とコスト最適化が期待できます。
- 実行方法
- ダッシュボードまたは API/Wrangler からオンデマンドで実行
- 対象テーブルやパーティションを指定して実行可能
- ポリシーと管理
- 目標ファイルサイズや最小ファイル数などのしきい値を指定して制御
- 実行はジョブとして管理でき、進捗確認・再実行・キャンセルに対応
- 運用のヒント
- 取り込みが落ち着く時間帯に実行し、更新の少ないパーティションを優先
- 定期的なコンパクションで小ファイル化の進行を抑え、長期の性能を安定化
Containers
Containers リソース上限を大幅引き上げ
CPU・メモリ・ディスクの同時利用上限が引き上げられ、より多くのコンテナを同時に実行できるようになりました。
- 新しい上限
- メモリ合計 400GiB 旧 40GiB
- vCPU 合計 100 旧 20
- ディスク合計 2TB 旧 100GB
- 同時稼働インスタンスの目安
- dev 1000
- basic 400
- standard 100
- 期待できる効果
- バッチ処理やメディア変換などの水平スケールを容易化
- 同時実行数の制約によるジョブ待ちを削減
AI Search
モデル対応を拡充
AI Search で利用できるモデルのラインアップが拡大され、用途に応じて埋め込みや再ランキング、生成などをより柔軟に選べるようになりました。品質・レイテンシ・コストのバランスを取りながらプロジェクト単位で最適な構成を組めます。
Pipelines
SQL 変換と Apache Iceberg に対応
Pipelines がストリーミング取り込みに対して SQL での変換をサポートし、R2 へ Apache Iceberg テーブルまたは Parquet として出力できるようになりました。HTTP エンドポイントや Worker バインディングで受け取ったイベントを、重複なく一度きりで書き込みつつ分析向けに整形できます。
- できること
- SQL でフィルタリング・列抽出・正規化・タイムスタンプ整形
- R2 の Iceberg テーブルに書き込み、R2 SQL で即座にクエリ
- クリックストリームやログ、IoT テレメトリの分析基盤をノーインフラで構築
- はじめかた
- ダッシュボードで Pipeline を作成
- Wrangler のコマンドを実行
npx wrangler pipelines setup
Access
ブラウザ版 RDP が GA
Cloudflare Access のブラウザ版 RDP が一般提供となり、VPN や専用 RDP クライアントなしで安全に Windows サーバへ接続できるようになりました。SSO・MFA・きめ細かなポリシーと統合し、監査証跡を取りつつ公開面を最小化できます。
- 主な改善(ベータ以降)
- IPv6 ターゲットに対応
- Magic WAN と WARP Connector をオンランプとして利用可能
- ログインページのエラーメッセージを改善
- 多言語キーボードに対応(デスクトップ RDP と同等の操作感)
- Entra ID を含む認証周りの改善、スペースや記号を含むユーザー名のサポートを強化
- 利点
- SSO/MFA とポリシーで認可を統合
- アクセスの記録と可視化でコンプライアンスを支援
- クライアントインストール不要で配布・運用負荷を低減
Browser Rendering
Playwright が GA、Stagehand の利用上限を明確化
Browser Rendering の Playwright 対応が一般提供となり、Puppeteer と並ぶ安定した選択肢として Workers Bindings と REST API の両方で利用できるようになりました。また、Stagehand(ブラウザ自動化)については呼び出し回数や同時実行などの利用上限が整理・明記され、ダッシュボードで消費状況を確認しながら運用できます。
- 主なポイント
- Playwright の GA により新規・既存プロジェクトで公式サポートの自動化フレームワークを選択可能
- Stagehand の上限(呼び出し回数・同時実行・実行時間など)をドキュメント化
- 利用状況は Browser Rendering の Usage から監視可能、上限到達時はエラー応答で通知
- 運用のヒント
- 既存コードは Playwright 版のサンプルに合わせて最小変更で移行可能
- ジョブが上限に近い場合は再試行戦略やキューイングを併用しスパイクを平準化
- ワークロードに応じて無料枠/同時実行の計画とコスト見積もりを見直す
WAF
WAF ルール更新(2025-09-22)
- 追加・調整(既定アクション)
- Azure Networking 権限昇格(CVE-2025-54914)
- Block(新規検出)
- Skyvern SSTI→RCE(CVE-2025-49619)
- Block(新規検出)
- Next.js SSRF
- Block(新規検出)
- Adobe Commerce RCE(CVE-2025-54236)
- Block(新規検出)
- SSRF(Host/Local/Cloud)
- Disabled(新規検出)
- SQLi Obfuscated Boolean(Beta)
- Block(既存ルールへ統合)
- Azure Networking 権限昇格(CVE-2025-54914)
- 運用のポイント
- まず Log で観測し誤検知がないことを確認してから段階的に Block へ移行
- ベンダーパッチの適用と並行し重要エンドポイントに例外ルールを準備
緊急リリース(2025-09-24)
- 追加・適用(既定アクション)
- Fortra GoAnywhere MFT デシリアライゼーション(CVE-2025-10035)
- Block(新規検出)
- Fortra GoAnywhere MFT デシリアライゼーション(CVE-2025-10035)
- 運用のポイント
- 直ちにルールを有効化し影響範囲をログで確認
- 対象製品はパッチ適用と設定見直しを優先
WAF ルール更新(2025-09-26)
- 新規検知ルール(すべて Disabled)
- SQLi(UNION、MSSQL Length Enumeration、Evasion、Probing)
- コマンドインジェクション(Generic)
- コードインジェクション(Generic)
- 情報漏洩(Common Files)
- URL アノマリー(Relative Paths)
- XSS(Inline Function、DOM)
Discussion