摘要
- Cloudflare 最强大的产品宣称是可编程的全局控制。其官方页面称,公司平均每秒处理 1.02 亿个 HTTP 请求,并在超过 125 个国家的 335 个城市提供数据服务;而其网络页面则指出,客户流量在最近的数据中心处理,且每项服务在每个数据中心均运行。这种架构在商业上具有吸引力,因为无需等待每个源环境重建,便可通过缓存策略、WAF 规则、Worker 版本、Zero Trust 规则或网络保护设置来快速改变靠近用户的行为。同样的架构使变更纪律成为可靠性的核心问题。
- 证据支持对 Cloudflare Inc 一个狭义但重要的看法:它不仅仅是 CDN、不仅仅是 WAF,也不仅仅是一个无服务器运行时。它是一个边缘操作层面,融合了流量代理、规则、缓存行为、机器人管理和 WAF 决策、Workers、R2、Access、Tunnel、Logpush、状态操作和回滚机制。Cloudflare 拥有所运营的边缘服务及其文档化的控制能力。它不拥有客户源站、客户的 Worker 代码、客户的规则表达式、客户的 DNS 选择、第三方云、第三方身份提供商,或使用 Cloudflare 的每个团队的内部发布流程。
- 最好的公开证据以有用的方式混合呈现。Cloudflare 记录了重要的安全机制:Worker 版本、灰度部署、回滚、指标、Logpush、Ruleset Engine 版本、WAF 规则、缓存清除选项、Access 策略逻辑和公开状态 API。它还发布了两份 2025 年事后分析报告,说明了为什么安全机制不等同于安全本身。2025 年 11 月 18 日,一个 Bot Management 特性文件错误在网络中传播,导致大范围 5xx 故障。2025 年 12 月 5 日,一个与 WAF 相关的变更影响了 Cloudflare 所处理的约 28% 的 HTTP 流量,持续约 25 分钟。这些不应成为否定 Cloudflare 的理由;它们是判断该产品真实运营负担的最清晰的公开测试案例。
- 因此,商业问题并非 Cloudflare 能否快速进行边缘变更。它能。买家的问题是:这种速度是否足以减少源站负载、部署摩擦、安全工具、网络暴露和开发者开销,以证明供应商依赖、规则测试、日志、故障转移规划、运行时限制、迁移工作和技术支持复杂性是合理的。Cloudflare 的 2025 年 10-K 表格报告了 332,466 个付费客户,其中 4,298 个客户的年化收入超过 10 万美元;其 2026 年第一季度财报显示季度收入为 6.398 亿美元。这些数字证明了需求,但并不能证明任何一个买家已经控制了误报、确保了一致的传播、拥有完整的日志或制定了恢复计划。
产品是控制,而不仅仅是交付
Cloudflare 最初以让网站更快、更安全的方式进入市场,但现代的 Cloudflare 产品更应该被理解为一个全球分布的控制平面。该公司描述了一个平台,其中 SASE、应用安全、应用交付、网络服务和全栈开发共享相同的全球基础设施。在其关于 Cloudflare页面上,Cloudflare 表示任何代码推送都会自动影响数百万个互联网资产,并且平均每秒处理 1.02 亿个 HTTP 请求,覆盖超过 125 个国家的 335 个城市。在其全球网络页面上,它表示每项服务均在每个数据中心运行,客户流量在靠近其源的地方处理,并与服务提供商、云提供商和企业网络之间拥有超过 13,000 个互联。
这就是运营理念。如果每项服务在每个地方都可用,那么相同的基础设施就可以缓存资产、过滤攻击、执行访问策略、路由流量、运行 Workers 代码和推送日志。客户看到的是一个仪表板和 API 族,而不是一系列区域设备。一条规则可以一次性更改并在多地执行。一个 Worker 可以在边缘部署而无需客户管理区域。CDN 变更可以减少源站流量而无需移动源站。如果架构基于 Cloudflare Tunnel,零信任策略可以保护应用程序而无需暴露公共 IP。
这就是 Cloudflare 的价值主张与狭义托管提供商不同的原因。该产品成为应用前的一个决策层。一些决策很简单:缓存此对象、通过此请求、阻止此 IP 范围、需要此身份组。其他则是概率性或上下文性的:分配机器人分数、评估托管 WAF 规则、质询请求、通过安全访问路径发送流量。还有一些是开发者决策:运行此 Worker 版本、绑定此 KV 命名空间、读取此 R2 对象、调用此下游服务。
这种区别之所以重要,是因为风险不仅仅在于宕机。一个错误的边缘决策在变成明显中断之前,可能造成无声的商业损失。它可能阻止真实客户、泄露过期内容、绕过安全控制、将流量发送到过载的源站、在 Worker 超出限制时故障开放、在可用性更重要时故障关闭,或在操作员最需要日志时使日志不完整。购买 Cloudflare 的公司是在购买将决策转移到 Cloudflare 边缘的权利,同时也接受了这些决策的正确性成为共同责任。
Cloudflare Inc 所拥有的,以及不拥有的
Cloudflare Inc 的边界很重要,因为在许多故障故事中,Cloudflare 只是路径的一部分。一个网站可以使用 Cloudflare DNS 而将应用程序托管在其他地方。客户可以编写有缺陷的 Worker。源站可能返回糟糕的标头,导致缓存行为出乎意料。第三方身份提供商可能使 Access 策略不可用。云提供商可能在 Cloudflare 代理后面故障。注册商记录可能配置错误。客户可能编写一个 WAF 表达式来阻止合法买家。
公司拥有所运营的 Cloudflare 服务、文档化的控制面、其部署的边缘软件、提供的状态和支持渠道,以及发布的产品限制。它不拥有整个互联网路径。因此,本文关注的是 Cloudflare 运营的连接性、安全性和开发者控制措施的可靠性和经济性,而不是每个碰巧使用 Cloudflare 的站点或其背后的每个客户系统。
Cloudflare 的申报文件强化了商业边界。其2025 年 10-K 表格指出,收入主要来自于访问其网络和产品的订阅,以及支持服务,并且客户被授予对 Cloudflare 网络和产品的持续访问权,而非对运行网络的软件的所有权。这是一份服务合同,而非基础设施所有权的转移。同一份文件指出,客户保持和扩展取决于对 Cloudflare 产品及全球网络安全性、性能和可靠性的满意度。
这也是 Cloudflare 的大客户增长具有两面性的原因。2025 年的申报文件显示期末有 332,466 个付费客户,4,298 个客户的年化收入超过 10 万美元。大客户是对平台的验证,但文件也指出大客户可能需要更复杂的配置、集成、部署、迁移协助、支持义务和网络基础设施支出。换句话说,Cloudflare 在出售企业控制方面做得越好,产品就越要以繁琐的变更管理而非简单的页面速度营销来评判。
2026 年第一季度显示了同样的张力。Cloudflare 的2026 年第一季度业绩显示收入为 6.398 亿美元,同比增长 34%,非 GAAP 运营利润为 7310 万美元,自由现金流为 8410 万美元。这表明对该捆绑包的强劲需求。但这并不能确定某个特定客户是否应将 WAF、CDN、Workers、R2、Access 和网络保护置于一个供应商之后。它仅说明许多客户愿意为这种可能性付费。
规则是速度变为风险的地方
Cloudflare 的规则机制是平台的核心。Ruleset Engine 文档将规则集定义为在 Cloudflare 全球网络上应用于流量的一组有序规则。规则集属于阶段,且有版本,每次修改都会创建新版本。阶段列表显示规则执行不是一种通用操作;网络层阶段、Magic Transit 阶段、请求阶段和产品特定阶段按定义的顺序运行。其价值在于可以将不同的安全和流量决策放在请求路径的正确部分。代价是顺序、范围和阶段选择至关重要。
WAF 自定义规则清楚地显示了这一点。Cloudflare 的自定义规则文档指出,自定义 WAF 规则使用表达式和操作来过滤发送到区域的入站流量。操作可以阻止、质询、跳过一个或多个安全功能,或执行其他产品特定工作。规则按顺序评估,阻止操作可以阻止后续规则的运行。API 文档补充说明,区域级自定义规则必须部署到http_request_firewall_custom阶段入口点规则集中,并且更新和删除需要正确的规则集和规则 ID。
这种设计之所以强大,恰恰因为它不容错。一条窄规则可以在请求到达源站之前减少攻击暴露。一条宽泛的规则可能阻止买家、合作伙伴、爬虫或 API。一条跳过规则可以在一个路径上修复误报,同时意外地绕过另一路径上的控制。规则顺序错误可能使后续保护形同虚设。托管规则覆盖可能比从头编写更安全,但仍需要客户了解流量、例外情况和业务影响。
Cloudflare 的WAF 产品页面称其 WAF 使用托管和自定义规则在边缘检查 HTTP/S 请求,并声称托管规则可以快速防御新漏洞。当框架或库漏洞在应用团队修补之前公开时,这是一个重要优势。但对供应商关于快速虚拟补丁的声明的证据标准,与买家决定执行该补丁的证据标准是不同的。问题不仅仅是“Cloudflare 能否编写和部署规则?”,而是“这条规则在我们的真实流量、登录流程、结账路径、API 客户端、移动应用和合作伙伴集成中能否正确运行?”
这就是监督成本进入经济考量的地方。安全自动化在盲目信任时最便宜,在仔细监督时最有价值。将 Cloudflare 规则视为一劳永逸的保护措施的买家,可能会在测试流量、允许列表、警报、异常处理和回滚方面投资不足。用类似生产环境的流量、分阶段操作、日志和所有权来监督每条规则的买家,可能会降低风险,但会花费更多的工程时间。商业案例取决于 Cloudflare 能否减少足够多的重复安全工作来抵消这些监督成本。
Workers 使边缘变更成为软件发布
Workers 将 Cloudflare 从流量控制供应商转变为软件运行时。Cloudflare 开发者文档将 Workers 和相关原语视为一种在 Cloudflare 全球网络上构建和部署无服务器函数及全栈应用的方式。Workers 产品页面表示团队可以部署到 330 多个城市,逐步向一定比例的用户推出更改,并在错误激增时回滚。这正是企业平台团队想要的承诺:全球覆盖,无需管理区域服务器群。
详细的 Workers 文档比营销声明更有用,因为它揭示了运营契约。版本与部署指出,每次代码或配置更改都会创建一个版本。部署决定哪些版本主动服务流量,可以是一个版本 100% 服务,或是灰度部署期间的两个版本。默认情况下,wrangler deploy创建一个版本并立即将其部署到所有流量中,可以一步完成,尽管版本上传和部署可以解耦。
这个默认设置很重要。当变更是安全的时,快速的全局部署是好的。当变更错误时,则是有风险的。Cloudflare 的答案是灰度部署。灰度部署文档指出,流量可以在版本之间分配,可以监控错误率和异常,如果出现问题可以恢复稳定版本。这是正确的控制形式。它允许买家针对部分真实流量测试发布,而不是所有真实流量。
回滚也有文档记录,但并非魔法。Workers 回滚指出,回滚会使用选定的先前版本创建一个新的部署,并使其在路由和域上生效。它还指出,连接资源在回滚期间不会更改,并且如果发生了 Durable 实体 迁移或目标版本依赖于不再存在的 R2 存储桶、KV 命名空间或队列,则可能阻止回滚。这个限制不是缺陷;它是状态的现实。代码回滚比数据回滚容易。一个只改变逻辑的 Worker 通常可以回退。一个更改了绑定、迁移或对象语义的 Worker 可能无法回退。
Cloudflare 的限制页面增加了另一个部署问题。Workers 限制指出,Workers 没有一般的每秒请求限制,但免费计划有每日请求限制,存在子请求限制,并且可以将路由行为配置为故障开放或故障关闭。该选择是架构性的。一个安全关键的 Worker 可能需要故障关闭行为。一个面向用户的个性化 Worker 可能更倾向于故障开放行为。错误的选择会使故障模式从优雅降级变为暴露或中断。
诚实的结论是,Workers 可以压缩部署时间,但不能消除发布工程。买家仍然需要测试套件、版本标签、所有者审核、分阶段推出策略、日志保留、警报阈值、绑定纪律和状态变更计划。其优势在于 Cloudflare 提供了一个全球发布面。负担在于客户的代码成为边缘的一部分。
缓存正确性是一种商业决策
CDN 层是 Cloudflare 最熟悉的部分,但也是最容易被过度简化的部分之一。Cloudflare 的CDN 产品页面表示,CDN 在 335 个以上城市缓存静态和动态内容,并从边缘提供服务以加速交付并吸收来自源站服务器的流量。这就是直接的经济价值:更少的源站请求、更低的延迟以及在流量高峰时更高的弹性。
难点在于正确性。默认缓存行为文档指出,当Cache-Control为 private、no-store、no-cache 或 max-age=0,或当存在 Set-Cookie 标头,或请求方法不是 GET 时,Cloudflare 不会缓存资源。它还表示 Cloudflare 默认缓存某些文件扩展名,默认不缓存 HTML 或 JSON,并使用请求合并,使同一数据中心对同一资产的同时缓存未命中不会产生重复的源站抓取。这些都是合理的默认值,但默认值并非完整的策略。
Cloudflare 的缓存规则允许客户自定义哪些内容可以缓存、缓存多久以及在何处应用缓存行为。当应用程序有可预测的静态页面、图片资源、API 响应或版本化文件时,这很有价值。但当规则将个性化或依赖授权的的内容视为可缓存时,也可能很危险。边缘可以让正确的资产在任何地方都快速,也可以让错误的响应在多个地方持久存在。
清除行为是缓存正确性恢复的一面。Cloudflare 的清除缓存文档描述了即时清除和多种清除范围,推荐单文件清除。全部清除页面警告称,清除所有内容会清除所有数据中心的资源,并使新请求返回源站,这可能大大增加源站负载并降低高流量网站的性能。
这个警告是一条商业线索。CDN 的价值不仅仅是更低的延迟;还在于更低的源站压力。一次不小心的清除可能会暂时将 CDN 本该吸收的源站负载还回去。一次小心的清除策略可以在不将每个用户变成源站请求的情况下移除不良内容。因此,买家的边缘控制问题不是“Cloudflare 是否支持清除?”,而是“我们的发布和事件团队能否快速选择最小的安全清除范围,并且我们是否知道如果选择范围过大,源站会发生什么?”
可观测性是产品的一部分,而非附加品
Cloudflare 的控制平面只有在操作员能够看到变更内容时才有用。一条阻止机器人的 WAF 规则和一条阻止买家的 WAF 规则,如果仪表板唯一的指标是攻击减少,可能看起来都像成功。一个仅在一个地理区域或一个绑定路径失败的 Worker,在汇总中可能看不见。一条在节省源站负载的同时提供过期内容的缓存规则,在客户投诉之前可能看起来高效。
Cloudflare 记录了几条可观测性途径。Workers 指标和分析指出,Workers 指标和基于区域的分析可以显示流量、请求成功和错误指标,以及调用状态。Logpush可以将日志发送到存储、SIEM 和日志管理提供商。Cloudflare 的Logpush 健康仪表板可以监控作业状态并诊断错误,但同一页面指出了关键限制:Logpush 一旦数据丢失无法回填。
仅这一项限制就改变了风险模型。日志不仅仅是事件发生后的取证记录。它们是用以决定规则是否安全、金丝雀能否扩大、回滚是否有效以及客户是否被错误阻止的证据。如果在高压变更期间日志导出失败,团队可能被迫在没有证据的情况下等待或没有信心的情况下行动。健康通知和仪表板有帮助,但它们增加了另一个需要监督的系统。
定价和保留也影响运营。Cloudflare 的Workers 定价文档指出,Workers 日志在免费和付费计划中都有事件和保留限制,而 Workers 跟踪事件 Logpush 是付费的,对经过过滤或采样后到达目的地的请求日志收费。这不会使产品变弱,而是意味着买家应将可观测性视为架构中的一项,而非免费的副产品。足够完整的日志成本可能正是负责任使用边缘自动化的真实成本的一部分。
对于企业买家而言,实际测试很简单:在将关键逻辑转移到 Cloudflare 之前,确定需要哪些日志来逆转错误决策。一个 WAF 团队可能需要规则 ID、操作、匹配表达式、IP 声誉上下文、机器人得分、路径、主机和用户影响。一个 Workers 团队可能需要版本 ID、异常率、子请求失败和绑定错误。一个缓存团队可能需要命中状态、源站状态、清除事件和标头。如果这些字段不可用、未被保留并连接至事件工作流,那么边缘虽有速度但缺乏足够的可追责性。
Cloudflare One 将同一模式扩展至访问
Cloudflare One 将边缘控制模型带入企业访问和网络领域。Cloudflare One 文档描述了一个 SASE 平台,包括 Access、Tunnel、安全 Web 网关、浏览器隔离、CASB、DLP、电子邮件安全和数字体验监控。Access 对用户进行身份验证并记录每个事件和请求。Tunnel 通过从客户基础设施发出的出站连接将资源连接到 Cloudflare,而无需暴露公共 IP。
其技术吸引力与 CDN 和 WAF 相同:将策略执行转移到分布式提供商,并减少对传统设备的依赖。风险也相同:策略正确性成为一项运营纪律。Access 策略文档指出,Include 规则类似 OR,Exclude 类似 NOT,Require 类似 AND。所有 Access 策略需要至少一个 Include 规则,Require 规则会缩小范围。这种逻辑很清晰,但真实组织并不清晰。他们有承包商、服务账户、紧急管理员、并购、过期设备、第三方身份和难以建模的例外情况。
Access 也依赖于产品交互。同一策略文档指出,当绕过策略包含设备状态检查,且 Zaraz 为受保护区域启用,或 Worker 拦截请求时,存在绕过策略不兼容的问题。推荐的解决方法是把策略动作改为 Service Auth。这正是决定零信任部署是否成熟的那种细节。问题不在于存在不兼容性,而在于客户是否有治理能力知道哪些产品交互、谁拥有例外以及如何在后续边缘变更后测试例外。
Cloudflare One 可以减少设备蔓延,使访问更加互联网原生。但它也可能创建对身份集成、客户端健康、隧道可用性、策略顺序、日志和 Cloudflare 仪表板/API 的新依赖。将 Cloudflare One 与 VPN 设备进行比较的买家不应只比较功能,而应比较故障模式。如果 Access 不可用,什么仍然有效?如果身份提供商降级,谁能访问应急路径?如果 Worker 在 Access 评估前修改请求,该交互是否经过审查?这些问题决定了整合是降低风险还是仅让风险更加优雅。
Magic Transit 展示了同一赌注的网络版本
Magic Transit 将 Cloudflare 的角色从应用代理扩展到网络保护。Magic Transit 文档描述了一种面向本地、云托管和混合网络的企业级 DDoS 防护和流量加速服务。它使用 Cloudflare 的全球网络在靠近攻击源处吸收和缓解攻击,并包含健康检查、流量调度、Cloudflare 拥有的 IP 和 BGP 对等(测试版)。参考架构将 Magic Transit 描述为面向互联网网络基础设施的基于 BGP 的保护,并表示 Cloudflare 拥有数百 Tbps 的缓解容量和全球平均不到 3 秒的缓解时间。
网络经济性令人信服。如果客户能在攻击期间引导流量经过 Cloudflare,可能避免购买和运营足够多的本地容量来吸收最恶劣的流量。如果 Cloudflare 能在靠近源处缓解,与集中清理相比,延迟和可用性可能得到改善。如果健康检查和流量调度配置得当,客户可以用一项服务保护云和物理基础设施。
但 Magic Transit 不是贴在电路上的贴纸。它涉及 BGP 公告、前缀、隧道、流量调度优先级、健康检查、路由策略、防火墙预期和内部运行手册。买家需要知道哪些前缀受保护、如何处理不对称路由、按需和始终在线的模式有何不同、误公告时会发生什么,以及谁有权在事件期间更改路由优先级。公开参考架构支持高级产品声明;它并不能证明某个特定客户的网络团队已安全实现了该产品。
这是更广泛的 Cloudflare 模式。该公司可以给予客户一个全球分布的控制面,而要内部再现则成本高昂。但一旦控制面触及路由、安全或身份,客户的操作成熟度就成为产品结果的一部分。Cloudflare 可以运营网络,但不能保证每个客户的路由意图正确。
R2 改变了存储经济,但没有改变数据责任
R2 是 Cloudflare 利用其边缘位置攻击成本问题的另一个例子。R2 产品页面描述了具有无出口费用的 S3 兼容对象存储、Workers 集成和从现有对象存储逐步迁移。R2 定价文档指出,R2 收取存储费以及 A 类和 B 类操作费,对任何存储类均无出口带宽费用,并对不频繁访问存储应用取回和最短持续时间规则。
对开发者团队而言,吸引力显而易见。出口账单使云存储难以预测。S3 兼容 API 减少了迁移摩擦。Workers 集成减少了在计算和存储之间处理凭证的麻烦。客户可以将日志、媒体、模型制品或应用程序对象放置在 Cloudflare 运行时附近,并避免一些跨云传输的痛点。
危险在于“无出口费用”听起来可能像“无存储经济”。事实并非如此。操作是收费的。不频繁访问取回是有成本的。迁移工具可能产生操作费用。数据治理、生命周期策略、备份、加密、访问控制和一致性期望仍是客户的责任。如果应用从超大规模云存储服务迁移到 R2,团队可能降低传输成本,但增加了对 Cloudflare 开发者平台、API 行为、支持路径和可观测性的依赖。
R2 在商业上很重要,因为它使 Cloudflare 成为更强的应用平台,而不是因为存储本身证明了边缘控制论点。它与本文核心问题的关联在于状态。Workers 回滚文档警告,在回滚期间连接资源不会改变。如果 Worker 和 R2 存储桶一起演变,代码回滚可能无法恢复先前的数据契约。团队需要迁移纪律,即使运行时让代码部署感觉瞬间完成。
2025 年 11 月的故障是最有用的公开测试
Cloudflare 2025 年 11 月 18 日的事件是边缘控制风险最清晰的公开示例。在其事后分析报告中,Cloudflare 表示网络在 UTC 时间 11:20 开始出现重大故障。问题不是攻击,而是一个数据库权限更改引起的,该更改导致一个查询为 Bot Management 返回重复的特性行。特性文件变得比预期更大,在网络中的机器上传播,超过了代理模块的限制并导致故障。核心流量在 14:30 基本恢复正常,所有系统在 17:06 完全正常运作。
有几个细节比标题更重要。首先,故障是一次常规的内部变更,而非新颖的互联网灾难。其次,坏文件每五分钟生成一次,因此网络可能表现为恢复又再次故障,因为好文件和坏文件交替出现。第三,初始症状具有误导性,Cloudflare 最初怀疑是超大规模 DDoS。第四,客户影响取决于产品配置。Cloudflare 表示,一些在规则中使用机器人分数的客户会看到误报,而不使用这些规则的客户则没有看到相同影响。
恢复过程也相关。Cloudflare 停止了坏特性文件的生成和传播,将一个已知完好的文件插入分发队列,重新启动了系统的某些部分,并随时间推移恢复了服务。时间线显示,首个自动化测试在 11:31 发现问题,11:35 召开事件会议,13:37 工作重点转向 Bot Management 回滚,14:24 停止自动部署,14:30 全局部署修正文件,17:06 所有下游服务恢复。
这不是简单的指责。Cloudflare 发布了详细的说明,指出了具体的触发因素,并描述了修复工作。但给买家上了艰难的一课:全局控制意味着全局爆炸半径,除非每条变更路径都有正确的门槛。一个安全产品使用的特性文件可能成为网络范围的可用性问题。一个旨在避免无限内存使用的限制可能成为崩溃条件。客户规则使用的安全评分可能成为误报机制。
Cisco ThousandEyes 的独立分析提供了外部视角。ThousandEyes 观察到受监控的 Cloudflare 依赖服务出现 HTTP 500 故障,诊断出在机器人管理故障期间缺少质询组件,并看到一些组织执行 DNS 故障转移,脱离 Cloudflare AS 13335。该故障转移为某些服务恢复了可达性,但也意味着失去 Cloudflare 服务,如机器人管理和边缘缓存。这是客户的权衡浓缩在一句话中:绕过 Cloudflare 可以恢复源站可用性,但前提是源站准备好在没有 Cloudflare 层的情况下运行。
2025 年 12 月的故障显示了推出类型何以重要
2025 年 12 月 5 日的事件更短,但强化了同一点。Cloudflare 的十二月报告表示,网络的一部分在 UTC 时间 08:47 发生重大故障,并在 09:12 恢复。Cloudflare 表示其所服务的全部 HTTP 流量中约 28% 受到影响。触发因素是与 WAF 体解析相关的工作,该工作与针对关键 React Server Components 漏洞的检测和缓解有关。
关键细节是推出形态。Cloudflare 表示,第一个更改(增加缓冲区大小)使用了其灰度部署系统。在该推出过程中,一个内部 WAF 测试工具不支持增加后的缓冲区大小。第二个更改(关闭该内部测试工具)使用了一个全局配置系统,该系统不执行灰度推出,并在几秒内传播到整个服务器群。中断并非来自保护客户免受紧急漏洞影响的想法,而是来自一条变更路径中,一个操作有灰度保护,另一个则没有。
这种区别应影响买家如何评估每个 Cloudflare 控制。仅仅问“Cloudflare 是否支持灰度推出”是不够的。真正的问题是哪种变更类型使用哪种推出机制。Workers 灰度部署有文档记录。规则集有版本。某些全局配置系统可能具有不同的安全属性。托管规则更新、客户规则、机器人特性、WAF 解析更改、缓存行为和内部测试工具可能不共享同一条推出路径。
对客户而言,这意味着变更分类很重要。一个团队可以安全地对其自己的 Worker 进行金丝雀测试,而同时仍受制于提供商的托管规则或配置更改。一个团队可以测试其自己的 WAF 自定义规则,而同时仍依赖于 Cloudflare 的托管规则和代理模块。这不是 Cloudflare 独有的;每个云服务都有提供商侧变更风险。但 Cloudflare 位于客户流量之前的地位意味着提供商侧变更风险能够非常快地让最终用户感知到。
商业影响很微妙。Cloudflare 的速度有价值,因为它能快速响应漏洞。十二月的事件显示,在安全压力下的速度也可能引入可用性风险。买家不应拒绝快速的边缘缓解,而应询问提供商更新是如何分阶段的,客户例外是如何表达的,当托管规则更改时日志显示什么,以及 Cloudflare 能够多快地传达产品特定的影响。
依赖是整合的代价
当客户试图减少工具蔓延时,Cloudflare 的方案变得最具吸引力。一个 Web 团队可能不希望拥有单独的 CDN、DNS、机器人管理、DDoS、WAF、对象存储、无服务器运行时、访问代理、日志导出器和流量调度供应商。一个安全团队可能更喜欢一个策略面,而不是每个区域的设备。一个开发者平台团队可能更喜欢 Workers、R2 和 Pages,而不是从零开始拼凑云计算、CDN 和对象存储。
整合可以是合理的。2025 年 10-K 报告的大客户数量和 2026 年第一季度收入增长表明市场正在为此付费。WAF、Workers 和 R2 页面上的供应商托管客户信号指向了相同的需求:Carrefour 在多个电子商务网站上使用 Cloudflare WAF 和 Bot Management,Intercom 赞扬 Workers 从概念到生产的速度,Character.AI 将 R2 描述为多云数据架构的一部分。这些例子应被视为选定的客户信号,而不是普遍证明,但它们显示了买家雇佣 Cloudflare 去完成的工作。
代价是依赖。一个将许多控制措施置于 Cloudflare 之后的客户减少了集成工作,但增加了 Cloudflare 账户问题、仪表板/API 问题、提供商事件、账单变动、支持延迟和产品特定限制的后果。这也增加了退出的成本。离开一个基础 CDN 比离开一整套 WAF 规则、缓存规则、Worker 路由、R2 存储桶、Access 策略、隧道、DNS 记录、日志和 Magic Transit 路由更容易。
这就是为什么锁定讨论应是运营性的,而非意识形态的。Cloudflare 使用许多开放协议和熟悉的接口。DNS 是标准的。HTTP 是标准的。R2 是 S3 兼容的。Workers 使用 JavaScript 和相关的 Web 运行时概念。但运营锁定源于围绕某个供应商成长起来的运行手册、警报、仪表板、例外、访问策略和生产习惯。一个团队可能能够转移代码或对象,但仍需要几个月才能在其他地方重建相同的安全性和流量行为。
正确的比较不是 Cloudflare 与无成本。比较的是 Cloudflare 的集成控制平面与在超大规模云提供商、CDN、安全供应商、身份堆栈和可观测性链条上组装、测试和运营可比控制措施的成本。对于一个小型应用,单独的原生云工具可能更简单。对于全球公共服务或拥有许多团队的企业,Cloudflare 可以减少重复工作。买家的责任是诚实地为依赖性定价。
一个严肃的买家测试着眼于普通变更
对 Cloudflare 的评估,与其说是看英雄式的宣称,不如说是看日常操作任务。重要的问题是一个团队能够多频繁地进行小型的边缘变更而不造成损害。一个有用的概念验证不是一个人造的 hello-world Worker 或单独的速度测试,而是一组有代表性的变更,它们看起来像生产环境中平常的一个月。
对于 WAF 和规则,买家应测试分阶段执行。在可能的情况下以日志或质询开始,将被阻止的请求与已知的合法流量进行比较,审查规则顺序,确认跳过规则不会绕过超出预期的内容,并要求对宽泛的表达指定所有者。每条规则应有一个回滚路径和一个存在的理由。如果团队不能解释为什么一条规则匹配,那么它很可能不能解释为什么该规则阻止了一个客户。
对于 Workers,买家应测试版本纪律。部署一个小型真实服务,手动上传版本,灰度部署,审查指标,回滚,并有意更改绑定。然后测试边缘情况:缺少 KV 命名空间、Durable 实体 迁移、子请求限制、失败的下游服务以及故障开放与故障关闭的路由行为。目的不是抓住 Cloudflare 失败,而是了解哪些故障可以通过代码回滚恢复,哪些需要数据或配置修复。
对于缓存,买家应测试标头行为和清除范围。通过生产站点将使用的相同发布过程,提供静态资产、个性化页面、API 响应和错误页面。确认 Set-Cookie 和 Cache-Control 行为符合团队的假设。练习单文件清除、前缀清除,以及在不良缓存规则后的回滚。在事件迫使选择之前,估计一次广泛清除后的源站负载。
对于可观测性,买家应将日志视为上线条件。确认必要字段到达目的地,Logpush 健康通知与运维关联,采样不会隐藏关键故障,以及保留覆盖团队的事件审查窗口。Logpush 文档中关于丢失数据无法回填的警告应是架构审查的一部分,而不是一个意外。
对于故障转移,买家应决定绕过意味着什么。ThousandEyes 观察到在十一月的事件中一些组织将流量移离 Cloudflare。这只有在源站能够处理直接负载、已准备好证书和路由、并能够接受安全权衡时才有用。仅存在于图纸上的绕过并不是一个恢复计划。
结论是有条件的
Cloudflare Inc 拥有成为可编程全球边缘平台的可靠声明。公开文档显示了成熟的规则、缓存行为、Workers 版本、灰度部署、回滚、日志、零信任策略和网络保护的控制面。财务证据表明客户需求大且不断增长。事件证据表明为什么这一声明必须在真实变更条件下进行测试。
看涨情形对于需要同时使用 Cloudflare 许多控制措施的团队最强:具有严重攻击暴露的公共 Web 应用、全球用户基础、源站负载压力、能够使用 Workers 的开发者团队、正在整合 WAF 和访问策略的安全团队,以及能够证明 Magic Transit 合理的网络团队。对于这些客户,Cloudflare 可以减少重复的基础设施工作,并将保护措施移动到更靠近用户的地方。
看跌情形在买家希望 Cloudflare 取代运营纪律时最强。平台无法让一个糟糕的 WAF 表达式变得精确,无法让状态迁移可逆,无法让缺失的日志后来出现,无法让一个未准备好的源站处理直接故障转移,也无法让每个提供商侧更改都无害。Cloudflare 可以给团队一个强大的边缘杠杆。它不能保证每个团队都知道何时拉动它。
因此,公正的评价是务实的。当更快的边缘部署、更低的源站负载、捆绑的安全、全局路由和开发者速度胜过规则测试、供应商依赖、可观测性成本、运行时限制、迁移工作、停电暴露和支持复杂性时,Cloudflare 是有价值的。它最难的考验不是网络的规模,而是每一项普通的边缘决策在错误变得全球性之前,是否正确、可见且可逆。

