こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2026/03/01 ~ 2026/03/07 の変更
Wrangler
4.71.0
マイナーアップデート
- Hyperdrive で MySQL 固有の SSL モードとカスタム CA をサポート
-
REQUIRED、VERIFY_CA、VERIFY_IDENTITYの MySQL 専用 SSL モードが利用可能に -
--sslmodeフラグがデータベーススキーム(PostgreSQL / MySQL)に応じて値を検証し、適切な CA 証明書要件を適用
-
サンプル
# MySQL with CA verification
wrangler hyperdrive create my-config --connection-string="mysql://user:pass@host:3306/db" --sslmode=VERIFY_CA --ca-certificate-id=<cert-id>
# PostgreSQL (unchanged)
wrangler hyperdrive create my-config --connection-string="postgres://user:pass@host:5432/db" --sslmode=verify-full --ca-certificate-id=<cert-id>
4.70.0
マイナーアップデート
- Containers で DockerHub の認証情報設定に対応
-
wrangler containers registries configure docker.ioで DockerHub のクレデンシャルを設定し、wrangler.jsoncのcontainers.imageで DockerHub のイメージを参照可能に
-
- Containers から Workers への通信を実験的にサポート(
interceptOutboundHttp)-
experimentalcompatibility flag の追加が必要
-
-
secrets設定プロパティのローカル開発バリデーションを追加(実験的)-
secrets.requiredに宣言したシークレットが.dev.varsや.env/process.envに存在しない場合に警告を表示 -
secrets定義時はリストされたキーのみが読み込まれ、余分なキーは除外
-
-
secrets設定プロパティの型生成に対応(実験的)-
wrangler typesがsecrets.requiredから型付きバインディングを生成 - 環境ごとのシークレットにも対応し、一部の環境にしか存在しないシークレットはオプショナルとしてマーク
-
-
wrangler containers registries credentialsコマンドを追加- Cloudflare マネージドレジストリ(
registry.cloudflare.com)への一時的な push/pull クレデンシャルを生成 - CI/CD パイプラインやローカル Docker 認証に便利
- Cloudflare マネージドレジストリ(
- Workflows のステップ数上限を設定可能に
-
wrangler.jsoncのlimits.stepsで 1〜25,000 の範囲で設定可能(デフォルト 10,000) -
wrangler devでのローカル開発時にも適用
-
パッチアップデート
- SolidStart v2.0.0-alpha 以降で autoconfig が動作するよう修正
- 設定ファイルが
app.config.(js|ts)からvite.config.(js|ts)に移行された変更に対応
- 設定ファイルが
-
wrangler pipelines setupで Data Catalog シンク使用時のエラーコード修正 - 依存関係を更新
workerd@1.20260226.1
Workflows
ステップ数上限を 25,000 に引き上げ
Workflow インスタンスあたりのステップ数上限が引き上げられました。Workers Paid プランではデフォルト 10,000、wrangler.jsonc で最大 25,000 まで設定可能です。従来は 1,024 ステップが上限でしたが、再帰的呼び出しや子ワークフローを使わずに、より複雑で長時間の実行が可能になります。
なお、インスタンスあたりの永続化状態の最大サイズは Workers Free で 100 MB、Workers Paid で 1 GB のままです。
サンプル
{
"workflows": [
{
"name": "my-workflow",
"binding": "MY_WORKFLOW",
"class_name": "MyWorkflow",
"limits": {
"steps": 25000
}
}
]
}
step.do() でリトライ試行回数を取得可能に
step.do() のコールバックにコンテキストオブジェクトが渡されるようになり、現在のリトライ試行回数(ctx.attempt)にアクセスできるようになりました。1-indexed で、初回実行が 1、最初のリトライが 2 です。ログ・可観測性の改善、プログレッシブバックオフ、条件分岐などに活用できます。
サンプル
await step.do("my-step", async (ctx) => {
// ctx.attempt is 1 on first try, 2 on first retry, etc.
console.log(`Attempt ${ctx.attempt}`);
});
Agents
Agents SDK v0.7.0 がリリース
Agents SDK v0.7.0 がリリースされました。オブザーバビリティが diagnostics_channel ベースの構造化イベントに全面刷新され、リスナーがいない場合はオーバーヘッドゼロ、本番環境では Tail Workers に自動転送されます。また、長時間処理中の Durable Object エビクションを防ぐ keepAlive() / keepAliveWhile() と、onChatMessage 前に MCP サーバー接続の安定を待つ waitForMcpConnections が追加されました。
そのほか、チャットオプションへの requestId 追加、ツール拒否時のカスタムエラーメッセージ対応、MCP URL の SSRF 防止バリデーション、非 OAuth サーバーでの callbackHost 省略、名前+URL による MCP サーバー重複排除などの改善が含まれています。
Sandbox のリアルタイムファイル監視
Sandbox SDK に sandbox.watch() メソッドが追加され、コンテナ内のファイルシステム変更をリアルタイムで監視できるようになりました。ネイティブの inotify を利用した Server-Sent Events ストリームで、create、modify、delete、move イベントをリアルタイムに受信できます。
返される ReadableStream はブラウザクライアントへの直接プロキシにも、parseSSEStream を使ったサーバーサイド消費にも対応しています。recursive オプションでサブディレクトリの監視、include オプションで glob パターンによるフィルタリングも可能です。
サンプル
const stream = await sandbox.watch("/workspace/src", {
recursive: true,
include: ["*.ts", "*.js"],
});
return new Response(stream, {
headers: { "Content-Type": "text/event-stream" },
});
Workers AI
Markdown Conversion に変換オプションを追加
Markdown Conversion サービスでファイルタイプごとの変換オプション(conversionOptions)を指定できるようになりました。
- PDF: メタデータを出力から除外
- HTML: CSS セレクターで特定コンテンツを抽出、またはホスト名を指定して相対リンクを解決
- Images: AI 生成の画像説明に使用する言語を設定
env.AI バインディングと REST API の両方から利用可能です。
サンプル
await env.AI.toMarkdown(
{ name: "page.html", blob: new Blob([html]) },
{
conversionOptions: {
html: { cssSelector: "article.content" },
image: { descriptionLanguage: "es" },
},
},
);
RealtimeKit のリアルタイム文字起こしが 10 言語に対応
RealtimeKit のリアルタイム文字起こしが、Workers AI 上の Deepgram Nova-3 により 10 言語(英語・スペイン語・フランス語・ドイツ語・ヒンディー語・ロシア語・ポルトガル語・日本語・イタリア語・オランダ語)とその地域バリアント(en-AU、es-419、fr-CA 等)に対応しました。multi を指定すれば多言語の自動検出も可能です。
音声は AI Gateway 経由で Workers AI の Nova-3 に送られるため、外部の音声認識サービスを経由する場合と比べてレイテンシーが低減されます。音声エージェントやリアルタイム翻訳ワークフローを構築する際に、追加のサービスやルーティングロジックなしで発話者の言語をネイティブに処理できます。
AI Gateway
default ゲートウェイで即座に利用開始
AI Gateway をセットアップなしで利用できるようになりました。ゲートウェイ ID に default を指定すると、最初のリクエスト時に自動的にゲートウェイが作成されます。
AI Gateway はロギング、キャッシング、レート制限、複数 AI プロバイダーへの単一エンドポイントからのアクセスを提供します。API トークンに AI Gateway - Read、AI Gateway - Edit、Workers AI - Read の権限を付与するだけで始められます。
サンプル
curl -X POST https://gateway.ai.cloudflare.com/v1/$CLOUDFLARE_ACCOUNT_ID/default/compat/chat/completions \
--header "cf-aig-authorization: Bearer $CLOUDFLARE_API_TOKEN" \
--header 'Content-Type: application/json' \
--data '{
"model": "workers-ai/@cf/meta/llama-3.3-70b-instruct-fp8-fast",
"messages": [
{
"role": "user",
"content": "What is Cloudflare?"
}
]
}'
Browser Rendering
REST API レートリミットを 3 倍に引き上げ
Workers Paid プランの Browser Rendering REST API のレートリミットが、3 リクエスト/秒(180/分)から 10 リクエスト/秒(600/分)に引き上げられました。ユーザー側の対応は不要で、自動的に新しいリミットが適用されます。
/links、/json、/scrape、/snapshot、/markdown、/pdf、/screenshot、/content の各エンドポイントがより高いレートで利用可能になります。Workers Bindings 経由の同時ブラウザ数・新規ブラウザ数の引き上げも近日予定とのことです。
Access
ブラウザベース RDP のクリップボード制御
ブラウザベース RDP でクリップボードのコピー&ペーストを方向別に制御できるようになりました。管理者はポリシーごとに以下の 2 方向を独立して許可・拒否できます。
- リモート RDP セッション → ローカルクライアント
- ローカルクライアント → リモート RDP セッション
BYOD ポリシーやサードパーティ契約者のアンマネージドデバイスを利用するケースで、リモートセッションからの機密データの持ち出しを防止できます。新規ポリシーではデフォルトで両方向が拒否、この機能以前に作成された既存のアプリケーションでは後方互換性のためクリップボードアクセスが有効のままです。
Access ポリシーでユーザーリスクスコアを利用可能に
Access ポリシーの条件として User Risk Score セレクターが利用可能になりました。Cloudflare のリスクスコアリングシステムが検出するユーザー行動パターン(不可能な移動、DLP ポリシーの多数一致など)に基づいて、アプリケーションへのアクセスを動的に制御できます。
Gateway
Gateway Authorization Proxy と hosted PAC ファイル(オープンベータ)
Gateway Authorization Proxy と PAC ファイルホスティングが全プランタイプでオープンベータになりました。
従来のプロキシエンドポイントは静的ソース IP アドレスに依存しており、ログやポリシーにユーザーレベルの ID が含まれませんでした。新しい Authorization Proxy では、IP ベースの認証を Cloudflare Access 認証に置き換え、WARP クライアントなしでユーザーの身元を確認してから Gateway フィルタリングを適用します。VDI、M&A、コンプライアンス制約のあるエンドポイントなど、デバイスクライアントを導入できない環境に最適です。
主な機能は以下のとおりです。
- Cloudflare hosted PAC ファイル — Okta や Azure 向けのテンプレート付きで、
https://pac.cloudflare-gateway.com/上にホスティング - 複数 IdP の同時表示 — 複数の ID システムにまたがるユーザーに柔軟なログイン方法を提供
- ID 対応のプロキシトラフィック — ログにユーザー情報が表示され、「Finance チームのみこの会計ツールにアクセス可能」のような ID ベースポリシーの作成が可能
- シンプルな課金 — WARP クライアントと同じシート単位の課金
Cloudflare One
リソースを JSON / POST リクエストとしてコピー
Cloudflare One のリソースをダッシュボードから JSON または API POST リクエストとして直接コピーできるようになりました。オーバーフローメニュー(⋮)から「Copy as JSON」または「Copy as POST request」を選択すると、リソースに存在するフィールドのみを含むクリーンな出力がコピーされます。
API 呼び出し・自動化スクリプト・IaC パイプラインへの移行が簡単になります。対応リソースは ID プロバイダー、サービストークン、Resolver ポリシー、Gateway ポリシー、Access ポリシー、Access アプリケーションで、今後も対応リソースが追加予定です。
Radar
Network Quality Test ページの追加
Radar に Network Quality Test ページが追加されました。インターネット接続の品質とパフォーマンスを測定し、IP アドレス、サーバーロケーション、ネットワーク(ASN)、IP バージョンなどの接続情報を表示します。より詳細な速度テスト結果は speed.cloudflare.com へのリンクから確認できます。
リージョンフィルタリング・AS トラフィック量・ナビゲーション改善
Radar にいくつかの新機能が追加されました。
リージョンフィルタリング — ロケーション対応の全ページで、大陸、地理的サブリージョン(中東、東アジア等)、政治的リージョン(EU、アフリカ連合等)、米国国勢調査リージョン/区分(New England 等)によるフィルタリングが可能になりました。
トラフィック量の表示 — 特定のロケーションにおけるトップ AS やトップ国/地域別のトラフィック量ビューが追加されました。どのネットワークプロバイダーが接続問題を抱えているかの特定や、リージョン間のトラフィック分布の把握に役立ちます。新しい AS / ロケーションディメンションは Data Explorer の HTTP、DNS、NetFlows データセットにも追加されています。
また、ほとんどのページにパンくずナビゲーションが追加され、親ページや関連ページ間の移動が容易になりました。
Security Center
Brand Protection のマッチ結果の却下・フィルタリング
Brand Protection にトリアージ管理機能が追加されました。検出されたマッチ結果を却下(dismiss)してノイズを排除しつつ、過去の判断を完全に保持できます。
- 却下機能 — 良性・誤検知と判断した結果を却下し、プライマリトリアージビューから除外
- 表示/非表示トグル — アクティブなマッチのみの表示と、却下済みを含む表示をワンクリックで切り替え
- 永続化 — 却下ステータスはセッション間で保持され、チームメンバーが他のメンバーの判断を確認可能
WAF
WAF ルール更新(2026-03-02)
- 新規検出ルール
- SmarterMail - Arbitrary File Upload - CVE-2025-52691
- Log → Block に変更
- SmarterMail - Authentication Bypass - CVE-2026-23760
- Log → Block に変更
- SmarterMail - Arbitrary File Upload - CVE-2025-52691
- 既存ルールの改善
- Command Injection - Nslookup - Beta を既存ルールに統合
- Log → Block に変更
- Command Injection - Nslookup - Beta を既存ルールに統合
Discussion