Cloudflare如何打造競爭優勢？

整合零信任服務，Anycast 路由鑄就差異化。

1、全球網絡為基礎，集成全面的安全與性能服務

Cloudflare 在成立之初是一家內容分發網絡（CDN，Content Delivery Network）提供商。CDN 基本原理是反向代理（Reverse Proxy），反向代理服務器位于客戶端與 Web 服務器之間，用來攔截來自客戶端的請求并代表客戶端與Web服務器進行通信。為了降低延遲，CDN 提供商在全球各地區部署接入點（Point of Presence），每個 PoP 內都運行反向代理服務器，形成邊緣服務器網絡，以最大程度地接近用戶所在地、快速交付內容。自 2010 年成立以來，Cloudflare持續投資建設網絡基礎設施，截至 24Q3 公司的全球網絡已覆蓋120+個國家的330+城市，網絡容量達 321Tbps，全球分布的邊緣服務器網絡為安全解決方案領域的業務拓展提供底層架構支撐。2018-2023 年，公司陸續推出約40 項新產品和服務。目前，Cloudflare 已形成覆蓋 OSI 模型網絡層、傳輸層、會話層、表示層、應用層的解決方案產品體系，并為開發者提供全棧Serverless 應用程序構建環境，從單一的 CDN 服務提供商逐步成為覆蓋多領域的全球云服務領導者。

Application Service：內容分發網絡（CDN）原生集成應用程序服務。CDN邊緣節點的核心功能在應用層，包括緩存靜態內容、執行內容分發等。CDN提供商在邊緣服務器上集成應用程序服務，能夠兼顧安全與性能。

性能： 域名系統（DNS，Domain Name System）：Cloudflare 在各個邊緣節點部署 DNS 服務器，能夠快速實現用戶與目標服務器的連接。該DNS服務還內置安全功能，包括 DNS 安全擴展（DNSSEC，DomainNameSystem Security Extensions）等。 負載均衡（Load Balancing）： 動態平衡不同地區數據中心和服務器之間的流量。當源服務器宕機時，通過 Cloudflare 代理的請求會立即重新路由到最近的數據中心。

Cloudflare One：分布式架構具備 SASE 基礎，整合網絡與零信任服務。2019年，Gartner 提出安全訪問服務邊緣（SASE，Secure Access Service Edge）概念，將網絡和安全功能集成到統一的解決方案中，為接入網絡的任意主體提供一致的安全服務。安全訪問服務邊緣（SASE）要求在網絡邊緣更靠近用戶的位置提供服務，CDN 全球分布的邊緣節點原生契合 SASE 的基礎設施要求，因此CDN提供商能夠快速部署并運營 SASE 服務。 Cloudflare 的 SASE 平臺 Cloudflare One 包含零信任服務（Zero Trust Service）和網絡服務（Network Service），整合傳統網絡連接與安全服務的單點解決方案，幫助企業實現內部員工（包括遠程辦公人員）、分支機構、合作伙伴、客戶之間的安全連接，確保只有通過零信任安全驗證的連接主體才能訪問敏感數據和應用。

零信任服務：包含零信任網絡訪問（ZTNA，Zero Trust Network Access）、安全 Web 網關（SWG，Secure Web Gateway）、云訪問安全代理（CASB，Cloud Access Security Broker）、遠程瀏覽器隔離（RBI，Remote Browser Isolation）、數據丟失防護（DLP，Data Loss Protection）、云郵件安全（CloudSmail Security）等技術組件。

網絡服務：包含 WAN 即服務（WANaaS，WAN as a Service）、防火墻即服務（FWaaS，Firewall as a Service）、網絡互聯服務等（Network Interconnect）服務組件和網絡層和傳輸層 DDoS 攻擊防護解決方案，并集成智能路由（Smart Routing）、入侵檢測和防御系統（IDS/IPS）等功能。網絡層DDoS攻擊通常采用向目標主機發送大量無效數據包等方式消耗其網絡帶寬資源，導致正常的網絡連接中斷。傳輸層DDoS攻擊者常利用傳輸控制協議（TCP，Transmission Control Protocol）的三次握手機制，借助虛假源客戶端發送同步序列編號（SYN，Synchronize Sequence Numbers）請求TCP 連接，形成SYN 洪水攻擊以消耗目標服務器資源、中斷傳輸服務，間接影響應用層性能。 針對網絡層攻擊，Cloudflare 推出 Magic Transit，該解決方案利用全球網絡分散惡意流量，無需先路由至清洗中心再進行流量回傳。 針對傳輸層攻擊，Cloudflare 推出 Spectrum，該產品本質是部署在網絡層的反向代理，支持多種網絡協議（包括TCP、UDP 等），為接入互聯網的任何設備、容器和虛擬機提供防護。

Developer Platform：無服務器與邊緣計算結合，拓展開發者服務。公司借助廣覆蓋的邊緣網絡推出 Serverless 邊緣計算平臺 Workers，支持開發者在Cloudflare的網絡上直接運行 JavaScript、TypeScript、Rust、C++代碼，從而在距離用戶最近的邊緣節點處理數據、執行應用邏輯和響應請求。與Lambda、Functions、Cloud Functions 等通用無服務器計算平臺不同，Workers 專注于邊緣交付并直接使用 Chrome V8（專為 Google Chrome 開發的 JavaScript 引擎）執行函數，提高速度與安全性。 除計算資源外，Cloudflare 還提供對象存儲、關系型和非關系型數據庫、視頻流、API 網關等服務。2024 年，Cloudflare 正式成為能夠實現全棧應用程序開發的云平臺，對標三大公有云計算廠商。此外，Cloudflare 團隊于24Q3 宣布正在構建一個用于在全球網絡上運行容器的平臺（競對包含AWS ECS 和AzureContainer 等），預計將于 2025 年向用戶開放，其突破性亮點：使用全局調度程序，能根據網絡實時容量和硬件可用性動態放置工作負載；支持基于 GPU 的 AI 推理，能夠解決 GPU內存需求和容器運行時等挑戰；構建了一個自定義的容器鏡像注冊表，大幅提高推送和拉取速度；將容器平臺與 Workers、Durable Objects 集成，簡化部署和擴展。

1.1.1.1：關注用戶安全，提供消費者產品。Cloudflare 面向個人用戶推出1.1.1.1應用程序、WARP、Cloudflare Registrar 等產品。1.1.1.1 應用程序是一款速度與隱私性兼備的 DNS 解析器，支持移動端和桌面端，用戶可從公司官網直接下載；WARP 是專為消費者設計的 VPN，用以保護和加速移動設備流量，WARP的基礎版本可在 1.1.1.1 應用程序中直接獲得，WARP+在基礎版之上提升速度和性能；Cloudflare Registrar 提供安全的域名注冊和管理，用戶可直接在公司官網操作，只需支付注冊局和 ICANN（互聯網名稱與數字地址分配機構）收取的費用，即可注冊域名并獲得集成的 DNS、CDN 等服務，保證域名的安全與性能優勢。

2、底層架構優勢：Anycast 網絡+統一控制平臺

基礎設施：Anycast 路由+自建專用主干網。與其他CDN 供應商（如Akamai、AWS CloudFront）基于 DNS 的 Unicast 路由方法不同，Cloudflare 的全球網絡使用 Anycast 方法路由。Anycast 與 Unicast 在 IP 地址分配和面臨分布式拒絕服務（DDoS）攻擊時表現不同：

IP 地址分配：在基于 DNS 的 Unicast 網絡中，每個PoP（Point of Presence）具有不同的 IP 地址，當用戶發送請求時，DNS 會返回距離用戶最近的PoP的 IP 地址。在 Anycast 路由方法下，所有 PoP 則共享相同的IP 地址，當用戶請求進入與 IP 地址的 Anycast 網絡時，網絡會將請求發送到距離用戶最近的 PoP。

遭遇 DDoS 攻擊：由于 Unicast 總是將流量傳輸至特定的PoP，容易造成局部癱瘓進而導致正常請求受阻。相較而言，Anycast 網絡自帶DDoS緩解功能，更具安全性：基于共享的 IP 地址，Anycast 能夠將攻擊流量分散到多個 PoP，有效降低攻擊影響。 此外，Cloudflare 在 Anycast 基礎上集成智能路由服務（Argo），利用全球網絡的實時數據和動態路由算法，選擇數據傳輸的最優路徑，實現快速內容交付。在幫助客戶安全連接到公共互聯網的同時，Cloudflare 還額外構建專用主干網以供私人資源傳輸。主干網與所有 PoP 直連，大部分PoP 被部署在互聯網交換點（IXP），即位于不同互聯網服務提供商（ISP）網絡的連接點。由于Cloudflare與所有主要 ISP 建立了對等互聯（Peering），而智能路由技術能夠幫助客戶在其中選擇最優傳輸路徑。因此，使用主干網傳輸私人資源可以減少完全依賴ISP而產生的數據丟失風險和性能損耗。

數據傳輸：“端到端”連接+集成所有服務。Cloudflare 設有全面的接入通道，能夠將企業、用戶、分支機構、云服務提供商、數據中心、應用程序安全連接到任何資源。具體地，Cloudflare 提供四種將專用網絡連接到其全球網絡的方案：安裝 Cloudflared 代理程序，創建到 Cloudflare 的安全出站通道；借助 Cloudflare WARP 客戶端，在兩個或多個設備之間建立點對點連接； 使用 WARP Connector 客戶端建立站點、雙向和網狀網絡連接； 訂閱 Magic WAN 產品，與 Cloudflare 建立傳統的IPSec 隧道。實現全面安全互聯的同時，Cloudflare 在每個 PoP 的每臺服務器上運行每個服務，以對于所有連接主體進行一致的安全控制，讓客戶以較低的成本獲得整合的安全解決方案，比點解決方案供應商更具客戶吸引力。

控制平面：統一應用程序編程接口+整個 IT 基礎設施可視化。Cloudflare 搭建了統一的控制平面，該平面可聚合各種來源的信號，包括用戶、設備、應用程序和網絡，實現整個 IT 基礎設施的可視化。在管理員前端，每項服務都通過統一的應用程序編程接口（API）進行管理，便于操作。

3、邊緣云優勢：獨特市場定位+高性能產品

CDN：低延遲交付，瞄準 SMB 市場。Cloudflare 在CDN 領域的主要競爭者為Akamai 和 Fastly，從市場份額來看，根據 2021 年數據，Akamai 在CDN領域市占率達 55%，而 Cloudflare 和 Fastly 僅占比 1%左右。從網絡架構和主要客戶群來看，三者各不相同：

網絡架構：具有先發優勢的傳統 CDN 提供商 Akamai 依托在全球范圍內超4200 個分布式節點和 1Pbps 的邊緣容量實現超大規模內容分發。Cloudflare和 Fastly 則致力以更少但更強大的 PoP 提升內容交付速度。從性能來看，據公司官網描述，Cloudflare CDN 與 95%的互聯網用戶之間的延遲不超過50 毫秒，而根據 Cedexis 基準測試結果，Fastly 和Akamai CDN的延遲時間分別為 100+和 250+毫秒。同時，Cloudflare 內容交付的錯誤率為0.70%，低于 Akamai 和 Fastly。

客戶群：

Akamai：主要客戶為大型企業客戶，Facebook、Adobe、Airbnb、IBM等行業巨頭都是 Akamai 的客戶。從營收結構來看，來自大型企業客戶（訂單金額＞100 萬美元）的收入占其總營收的73%左右，而中小型客戶（訂單金額＜10 萬美元）對其營收貢獻不到10%。

Fastly：同樣以大型企業為目標客戶群，這些客戶通常是要求更高效的交付內容，如 GitHub、Python、Kubernetes 等。Fastly 客戶數量僅有3000 多名，客戶 ARPU 達 14.13 萬美元，營收較為集中，易受客戶流失沖擊。

Cloudflare：以中小型企業（SMB）為主要服務對象，靠高性價比產品迅速擴展客戶群。根據 2022 年數據橫向對比，Cloudflare 在客戶數量上已超過具有長期先發優勢的 Akamai，表明進入市場的策略有效。

邊緣計算：零冷啟動時間，率先實現商業化。Cloudflare 的無服務器邊緣計算平臺 Workers 基于 Chrome V8 引擎構建，在單個進程內的隔離環境中運行來自客戶瀏覽器中多個選項卡的代碼。V8 隔離技術能夠將傳統無服務器計算解決方案的“冷啟動時間”（首次加載和執行無服務器函數的新副本所需的時間）縮短至 5 毫秒。2020 年，Cloudflare 團隊宣布進一步優化Workers，完全消除“冷啟動時間”。與 Akamai 和 Fastly 的無服務器邊緣計算平臺相比，Workers 擁有更高性能。Cloudflare 于 2018 年迅速將 Workers 推向市場，而Akamai 和Fastly均于 2021 年才實現邊緣計算解決方案的商業化。

4、適應 AI 時代：應用全棧開發+安全防護

隨著 AI 應用場景不斷擴大，應用程序開發迎來新的范式轉變。在集中式云中進行 AI 推理面臨連接性不足、高延遲、數據本地化難題等困境；在用戶終端設備進行 AI 推理雖然能夠降低延遲并規避合規風險，但存在處理能力不足等問題。Cloudflare 位于云與終端用戶之間，是運行 AI 推理的最理想場所。

基于現有產品架構，Cloudflare 的開發者平臺能夠與AI 無縫銜接，讓開發人員高效、低成本地實現 AI 應用程序全棧開發。在安全方面，Cloudflare 根據AI 的特殊用例推出針對性安全解決方案。 AI 訓練：通過 R2 以最優價格存儲訓練數據。 R2 允許開發人員存儲大量非結構化數據且不收取出口費用，能夠實現訓練數據在云端的零成本遷移。同時，Cloudflare 提供與 Amazon S3 對象存儲相兼容的應用程序接口（API），能夠讓開發人員使用 S3 工具、庫和擴展管理數據對象的同時保持多云架構的靈活性。此外，R2 借助 Cloudflare 的全球網絡將數據自動存儲在離終端用戶最近的區域中，降低帶寬成本并提高性能和可用性。 AI 推理：基于 Workers AI 高效運行推理任務。Workers AI 是全球首個無服務器 AI 推理平臺。借助 Workers AI 及配套組件，開發人員能夠： 使用 Workers AI 中內置的模型生成嵌入（Embedding），并將其存儲在Cloudflare 的矢量數據庫 Vectorize 中。 借助 Workers AI 將每次查詢轉化為一個嵌入，并使用矢量數據庫Vectorize查詢相似向量。 從 Cloudflare 的對象存儲 R2 和鍵值存儲 KV 中檢索源內容。開發人員按使用量付費，并可按需擴展。Workers AI 推出后，Cloudflare 正在全球服務器中部署 GPU 以幫助客戶構建更高性能的 AI 應用程序。

AI 合規：借助合規產品將數據存儲和檢查本地化。數據本地化套件（DLS，Data Localization Suite）使任何可以識別最終用戶的流量元數據都保留在客戶選擇的區域內，區域服務（Regional Services）確保Cloudflare 只在客戶選擇的地區解密和檢查 HTTPS 通信的內容。Cloudflare 的數據本地化套件和區域服務可以保證 AI 應用程序客戶數據不用于 AI 訓練，幫助AI 程序開發者滿足客戶數據安全與個人隱私保護方面的需求。 AI 安全：使用 Firewall for AI 保護 AI 應用程序安全。Firewall for AI 部署在終端用戶與大模型之間，借助 LLM 提示掃描每個 API 請求，發現可能的攻擊。Firewall for AI 能減少濫用和數據泄露風險，提高 AI 應用程序安全性和可靠性。

AI 優化：連接 AI Gateway 觀察和控制 AI 應用程序。AI Gateway 作為管理和擴展生成式 AI 工作負載的統一接口，在 AI 應用程序與推理服務提供商之間建立連接。開發人員僅需修改 Base URL 即可實現接入。通過接入AI Gateway，開發人員可以借助分析和實時日志來監控用戶的交互，并使用緩存、速率限制、請求重試、模型回退等功能控制應用程序的擴展方式。截至24Q3，CloudflareAI Gateway已原生支持Workers AI以及16個AI提供商，包括Hugging Face、OpenAI、Anthropic 等，為開發人員提供多種選擇。