こんにちは、あさひです 🙋♂️ 今週の Cloudflare のアップデートをまとめていきます!
この記事の主旨
この記事では、前週に Cloudflare のサービスにどんな変更があったかをざっくりと理解してもらい、サービスに興味を持ってもらうことを目的としています。そのため、変更点を網羅することを優先します。
2026/03/15 ~ 2026/03/21 の変更
Wrangler
4.76.0
マイナーアップデート
-
wrangler containers listを Dash API エンドポイントに移行-
/dash/applicationsエンドポイントを使用し、ページネーション対応のテーブル表示(ID、Name、State、Live Instances、Last Modified)に変更 -
--per-page(デフォルト 25)でページサイズを指定可能、--jsonで機械可読な JSON 出力に対応
-
- Stream バインディングのサポートを追加
-
wrangler.jsonでstreamバインディングの宣言が可能に - バリデーション、デプロイメタデータ、型生成で一貫して認識される
-
- Local Explorer がデフォルトで有効化
- ローカル開発中に
/cdn-cgi/explorerにアクセスして D1、Durable Objects、KV リソースの状態を確認可能 - まだ実験的機能のため、
X_LOCAL_EXPLORER=falseで無効化可能
- ローカル開発中に
パッチアップデート
- Astro v5 / v4 プロジェクトの autoconfig に後方互換性を追加
- Astro 6.0.0+: ネイティブの
astro add cloudflareを使用(変更なし) - Astro 5.x:
@astrojs/cloudflare@12をインストールして手動設定 - Astro 4.x:
@astrojs/cloudflare@11をインストールして手動設定
- Astro 6.0.0+: ネイティブの
- コンテナイメージダイジェスト比較時にレジストリポートを正しく処理するよう修正
-
localhost:5000/app:tagのようなタグで不要なプッシュが発生する問題を防止
-
- 依存関係を更新
miniflare@4.20260317.1-
@cloudflare/unenv-preset@2.16.0(実験的だった Node.js モジュールの互換フラグperf_hooks、v8、tty、child_process、worker_threads、readline、replがnodejs_compat+ 互換日付2026-03-17以降で自動有効化)
4.75.0
マイナーアップデート
-
wrangler tunnelコマンド群を追加(実験的)-
create、list、info、delete、run、quick-startの 6 コマンド -
runとquick-startは cloudflared バイナリの自動ダウンロード・管理に対応し、~/.wrangler/cloudflared/にキャッシュ -
CLOUDFLARED_PATH環境変数でバイナリの場所をオーバーライド可能
-
パッチアップデート
- undici を 7.18.2 → 7.24.4 にバンプ
- DevTools フロントエンドを Cloudflare Pages から Workers + Assets に移行
- インスペクタープロキシの許可リストを新しい
workers.devドメインパターンに更新(旧pages.devパターンも後方互換のため維持)
- インスペクタープロキシの許可リストを新しい
- DevTools 未接続時に
debuggerステートメントで実行がフリーズする問題を修正-
Debugger.enableを DevTools 接続時にのみ送信し、切断時にDebugger.disableを送信するよう変更
-
- Windows で Pages Functions ルーティングのクロスドライブモジュールパスを拒否
- プロジェクトルート外に解決されるパスを正しく検出してブロック
- 依存関係を更新
workerd@1.20260317.1
4.74.0
マイナーアップデート
-
wrangler deployとwrangler versions uploadに--secrets-fileパラメーターを追加- シークレットをコードと同時にアップロード可能に
- JSON および .env 形式に対応し、ファイルに含まれないシークレットは前バージョンから継承
サンプル
wrangler deploy --secrets-file .env.production
wrangler versions upload --secrets-file secrets.json
-
wrangler containers instances <APPLICATION_ID>コマンドを追加- 特定のアプリケーションの全インスタンスを一覧表示(ID、状態、ロケーション、バージョン、作成日時)
- ページネーション対応で、多数のインスタンスがあるアプリケーションにも対応
パッチアップデート
- autoconfig がモノレポのワークスペースルートで失敗する問題を修正
- pnpm の
--workspace-root、yarn の-Wフラグを適切に付与するよう変更
- pnpm の
- アセットアップロードセッションが
nullを返した場合のエラーメッセージを改善- リトライを促す明確なエラーを表示するよう変更
Workers VPC
VPC Service のメトリクスと設定ダッシュボード
各 VPC Service に Metrics タブが追加され、接続の健全性を監視しダッシュボード上でエラーをデバッグできるようになりました。
- Connections — 成功・失敗した接続を、原因別(オリジン / 設定 / Cloudflare 内部)に時系列で表示
- Latency — 接続および DNS 解決のレイテンシー推移を追跡
- Errors — カテゴリ別のエラーコード詳細をドリルダウンし、上流・クライアント・内部のフィルタリングが可能
また、Settings タブから VPC Service の設定、ホスト詳細、ポート割り当ての確認・編集も可能です。
Tunnel
複数レプリカからの同時ログストリーミング
Cloudflare One ダッシュボードで、特定の Tunnel の全レプリカが概要ページに表示され、複数レプリカからのログを同時にストリーミングできるようになりました。
従来は一度に 1 つのレプリカからしかログをストリーミングできませんでしたが、今回の更新で以下が可能になります。
- Tunnel 概要ページの Connectors セクションに全アクティブレプリカを表示
- 複数のレプリカからログを同時にストリーミングし、デバッグやインシデント対応時のイベント相関が容易に
Wrangler から Tunnel を管理
Wrangler から直接 Cloudflare Tunnel を管理できるようになりました。wrangler tunnel コマンドで、ターミナルを離れることなくトンネルの作成・実行・管理が可能です。
-
wrangler tunnel create— 新しいリモート管理トンネルを作成 -
wrangler tunnel list— アカウント内の全トンネルを一覧表示 -
wrangler tunnel info— 特定のトンネルの詳細を表示 -
wrangler tunnel delete— トンネルを削除 -
wrangler tunnel run— cloudflared デーモンでトンネルを実行 -
wrangler tunnel quick-start— アカウント不要の一時トンネルを開始
Wrangler が cloudflared バイナリのダウンロードと管理を自動で行います。これらのコマンドは現在実験的機能であり、予告なく変更される可能性があります。
Workers AI
Moonshot AI Kimi K2.5 が利用可能に
Workers AI に初のフロンティアスケールのオープンソースモデル @cf/moonshotai/kimi-k2.5 が追加されました。256K コンテキストウィンドウ、マルチターンツール呼び出し、ビジョン入力、構造化出力に対応した大規模モデルで、AI エージェントのライフサイクル全体を Cloudflare 上で実行できます。
主な機能は以下のとおりです。
- 256,000 トークンのコンテキストウィンドウ
- マルチターンのツール呼び出しサポート
- ビジョン入力(画像とテキストの同時処理)
- JSON モード・JSON Schema による構造化出力
- ファンクション呼び出しによる外部ツール・API 連携
Prefix Caching とセッションアフィニティにも対応しており、x-session-affinity ヘッダーで同じモデルインスタンスにリクエストをルーティングすることで、キャッシュ済みトークンによるレイテンシー低減とコスト削減が可能です。
また、非同期バッチ API も刷新され、プルベースのシステムでキューに入ったリクエストをキャパシティが空き次第処理します。queueRequest: true を渡すだけで利用でき、リアルタイムでないユースケース(コードスキャンエージェントやリサーチエージェントなど)に最適です。
Workers AI バインディング、REST API、OpenAI 互換エンドポイントのいずれからも利用可能です。
Agents
@cloudflare/codemode v0.2.1
@cloudflare/codemode の最新リリースで、新しい MCP バレルエクスポート、メインエントリポイントからの ai / zod 依存関係の除去、サンドボックスのカスタムモジュール注入機能が追加されました。
-
@cloudflare/codemode/mcpエクスポートの追加-
codeMcpServer()で既存の MCP サーバーを Code Mode でラップし、各ツールを型付きcodemode.*メソッドとして提供 -
openApiMcpServer()で OpenAPI スペックからsearch/executeMCP ツールを生成
-
- メインエントリポイント(
@cloudflare/codemode)からai/zodピア依存関係を除去-
generateTypes等は@cloudflare/codemode/aiに移動(Breaking Change)
-
-
DynamicWorkerExecutorにmodulesオプションを追加し、サンドボックスにカスタム ES モジュールを注入可能に -
DynamicWorkerExecutorがコードの正規化とツール名のサニタイズを内部で自動実行するよう変更
AI Gateway
リクエストペイロードの保存を制御するヘッダーを追加
AI Gateway に cf-aig-collect-log-payload ヘッダーが追加されました。デフォルトは true でリクエスト・レスポンスボディがログに保存されますが、false に設定するとペイロードの保存をスキップしつつ、トークン数・モデル・プロバイダー・ステータスコード・コスト・所要時間などのメタデータのみを記録できます。
使用量メトリクスは必要だが、プロンプトやレスポンスの機密データを永続化したくない場合に便利です。
サンプル
curl https://gateway.ai.cloudflare.com/v1/$ACCOUNT_ID/$GATEWAY_ID/openai/chat/completions \
--header "Authorization: Bearer $TOKEN" \
--header 'Content-Type: application/json' \
--header 'cf-aig-collect-log-payload: false' \
--data '{
"model": "gpt-4o-mini",
"messages": [
{
"role": "user",
"content": "Hello!"
}
]
}'
Stream
Media Transformations の Workers バインディング
Workers バインディングを使って Media Transformations で動画を変換できるようになりました。R2 バケットなどのプライベートなストレージに保存された動画のリサイズ、クロップ、フレーム抽出、音声抽出が可能です。
主なユースケースは以下のとおりです。
- プライベートソースに保存された動画の変換
- 変換済み動画を R2 に保存して再利用
- Workers AI によるフレーム分類・説明のための静止画抽出
- Workers AI による文字起こしのための音声トラック抽出
出力モードには video(最適化 MP4 クリップ)、frame(静止画)、spritesheet(複数フレーム)、audio(M4A 抽出)があります。
サンプル
// wrangler.jsonc
{
"media": {
"binding": "MEDIA",
},
}
export default {
async fetch(request, env) {
const video = await env.R2_BUCKET.get("input.mp4");
const result = env.MEDIA.input(video.body)
.transform({ width: 480, height: 270 })
.output({ mode: "video", duration: "5s" });
return await result.response();
},
};
Vectorize
クエリ結果の topK 上限を 50 に引き上げ
Vectorize のクエリで returnValues: true または returnMetadata: "all" を使用する場合の topK の上限が、従来の 20 から 50 に引き上げられました。値やメタデータを含むクエリでも、1 回のレスポンスでより多くの一致結果を取得できます。
Hyperdrive
MySQL のカスタム TLS/SSL 証明書に対応
Hyperdrive が MySQL データベースのカスタム TLS/SSL 証明書に対応しました。従来 PostgreSQL でのみ利用可能だった証明書オプションが MySQL にも展開されます。
- サーバー証明書の検証 —
VERIFY_CAまたはVERIFY_IDENTITYSSL モードで、MySQL サーバーの証明書が期待する CA によって署名されていることを検証 - クライアント証明書(mTLS) — Hyperdrive が MySQL データベースに対してユーザー名・パスワード以外のクレデンシャルで自身を認証
サンプル
# CA 証明書のアップロード
npx wrangler cert upload certificate-authority --ca-cert your-ca-cert.pem --name your-custom-ca-name
# VERIFY_IDENTITY モードで Hyperdrive を作成
npx wrangler hyperdrive create your-hyperdrive-config \
--connection-string="mysql://user:password@hostname:port/database" \
--ca-certificate-id <CA_CERT_ID> \
--sslmode VERIFY_IDENTITY
DNS
Customer Metadata Boundary(EU)での DNS Analytics
Customer Metadata Boundary(CMB)を EU リージョンに設定している顧客向けに、DNS Analytics が利用可能になりました。メタデータを EU リージョンに保持したまま DNS の分析データをクエリできます。
- DNS Analytics — CMB=EU アカウントのゾーンでも標準と同様の DNS Analytics を利用可能
- DNS Firewall Analytics — CMB=EU 顧客でも DNS Firewall の分析をサポート
Data Localization Suite をご利用で CMB を EU リージョンに設定済みのお客様が対象です。
Rules
Worker 実行時間フィールドが Rules で利用可能に
Ruleset Engine で cf.timings.worker_msec フィールドが利用可能になりました。このフィールドは Worker がリクエストの処理に要したウォールクロック時間(ミリ秒)を報告します。
遅い Worker の特定、パフォーマンスリグレッションの検出、レイテンシーしきい値を超えたリクエストのロギングなどに活用できます。Worker が呼び出されなかった場合は 0 を返します。
サンプル
cf.timings.worker_msec > 500
Security Center
ロゴマッチのリアルタイムプレビュー
Brand Protection に Logo Match Preview が追加されました。従来は文字列ベースのクエリでのみ利用可能だった保存前の可視化機能が、視覚的なアセットにも拡張されます。
- ブランドロゴをアップロードすると、クエリを確定する前に検出候補のサンプルを即座に確認可能
- 類似スコア(75%〜100%)を調整しながら結果をリアルタイムで更新し、広範な検出とノイズ低減のバランスを調整
- 現在の設定でトリガーされた具体的なロゴを確認し、適切なレベルのブランド侵害を捉えているかを検証
Security Overview
Security Overview の UI 刷新
Security Overview が更新され、アプリケーションセキュリティのお客様により実用的なインサイトと明確なセキュリティ状態のビューが提供されるようになりました。
- すべてのインサイトに重要度レーティングが付与され、最もインパクトの大きいアクションアイテムを優先可能に
- 新しい Detection Tools セクションで、利用可能なセキュリティ検出ツールの有効/無効状態を確認可能
- Industry Peer Comparison(Enterprise 顧客向け)で、業界の同業他社とセキュリティ体制をベンチマーク比較
Cloudflare Fundamentals
Service Key 認証の非推奨化
Cloudflare API の Service Key 認証が非推奨になりました。Service Key は 2026 年 9 月 30 日に無効化されます。
X-Auth-User-Service-Key ヘッダーを使用している場合は、必要な権限にスコープされた API Token に置き換えが必要です。cloudflared を使用している場合は 2022 年 11 月以降のバージョンにアップデートすれば、既に API Token を使用しています。
SCIM プロビジョニングで Authentik が GA に
Cloudflare ダッシュボードの SCIM プロビジョニングが Authentik を ID プロバイダーとしてサポートしました。Okta、Microsoft Entra ID に続く 3 つ目の正式サポートプロバイダーです。
Authentik から Cloudflare へユーザーとグループ情報を同期し、Permission Policies を適用、ユーザー・グループのライフサイクル管理が可能になります。Enterprise 顧客が対象で、初期セットアップには Super Administrator 権限が必要です。
SCIM 監査ログに対応
SCIM プロビジョニングの操作が Audit Logs v2 に記録されるようになりました。ID プロバイダーによるユーザー・グループの変更に対する可視性が向上します。
| アクション | 説明 |
|---|---|
| Create SCIM User | IdP からのユーザープロビジョニング |
| Replace SCIM User | ユーザーの全体置換(PUT) |
| Update SCIM User | ユーザー属性の変更(PATCH) |
| Delete SCIM User | メンバーのデプロビジョニング |
| Create SCIM Group | IdP からのグループプロビジョニング |
| Update SCIM Group | グループメンバーシップまたは属性の変更 |
| Delete SCIM Group | グループのデプロビジョニング |
Discussion