CDN 是什么：从原理到选型

互联网早期，网站内容都放在一台源服务器上。用户请求会直接连到源服务器，经过多个路由跳转（hops）才能送达。距离远、网络拥塞、跨境链路瓶颈，都会导致延迟剧增。CDN 的核心思想很简单：**在全球各地部署服务器节点，把内容预先缓存到距离用户最近的节点，用户直接从近节点获取，而不是回源到原始服务器。**

具体流程如下：当用户访问 `image.example.com/photo.jpg` 时，DNS 会根据用户的 IP 地址，将请求智能解析到最近的 CDN 节点。如果该节点缓存了这张图片，直接返回（缓存命中）；如果没有，节点会从源服务器获取一份，缓存到本地，再返回给用户（缓存未命中，但下一个请求同地区的用户就会命中）。这个过程对用户透明，体验就是资源加载变快了。

CDN 的三大优势：一是降低延迟（用户离服务器更近）；二是减轻源服务器负担（大量请求被 CDN 拦截）；三是提高可用性（源服务器故障时，CDN 可继续服务缓存内容）。对于全球化业务，CDN 几乎是必需品。

另一个关键概念是"回源"。当 CDN 节点没有缓存某个内容时，需要从源服务器获取。如果所有节点同时回源，源服务器会被冲垮，所以好的 CDN 会用"缓存分层"和"请求合并"等技术避免雪崩。

CDN 也不是银弹。它最适合加速静态内容（图片、CSS、JavaScript、视频）；动态内容（实时 API、用户个性化数据）由于每次都要回源计算，CDN 的优势不大。所以实际部署中，通常是"动静分离"：动态请求直连源服务器，静态资源走 CDN。

CDN 的价值取决于节点的全球覆盖范围。Cloudflare 拥有 200+ 节点分布在全球六大洲；Akamai 更激进，有 300+ 节点；而国内的阿里云、腾讯云、七牛主要覆盖中国内地和港澳台。

边缘节点（Edge Node）的位置很关键。理想情况下，应该离用户越近越好。比如你的网站主要用户在华东地区，那么在南京、上海、杭州的节点会比北京的节点效果更好。大型 CDN 会在一级城市（北上广深）、二级城市（杭州、南京、西安等）甚至三级城市都部署节点，这叫"节点密度"。节点密度高意味着覆盖广，但也意味着成本高。

节点之间也会相互协作。如果上海节点的某个资源没有缓存，而杭州节点有，有些 CDN 会允许上海节点从杭州节点拉取（内网传输，极快），而不是直接回源。这叫"节点间协作"或"分层缓存"。

此外，节点的硬件配置也很重要。现代 CDN 节点不仅仅是简单的代理，还运行着计算引擎（如 Cloudflare Workers、阿里云函数计算），可以在边缘执行轻量级代码，进一步降低延迟。这种"边缘计算"能力正在改变互联网架构。

国内外 CDN 的一个重要区别是跨境节点。如果你需要同时服务全球用户和国内用户，需要选择既有海外节点又有国内节点的 CDN，并在中国大陆备案。Cloudflare 在国内有节点但不需要备案（利用境外节点）；阿里云、腾讯云的国内节点需要备案才能使用。

CDN 的缓存策略决定了内容在边缘节点的留存时间，直接影响缓存命中率和源服务器负载。HTTP 头中的 `Cache-Control` 和 `Expires` 是控制缓存的关键。

`Cache-Control: max-age=3600` 表示资源在浏览器和 CDN 节点中缓存 3600 秒（1 小时）。过期后，必须回源重新验证或重新获取。通常，静态资源（不会变化的图片、CSS）可以设置很长的过期时间（days 或 months）；而动态资源应该设置较短的时间（seconds 或 minutes）。

但实际情况更复杂。有时候文件已经过期，但内容其实没变。此时可以用 `ETag` 或 `Last-Modified` 头进行条件请求：CDN 向源服务器发送 `If-None-Match` 或 `If-Modified-Since`，源服务器如果内容未改变，返回 304 Not Modified，CDN 继续用缓存版本，省掉了重新传输整个文件的时间。这叫"缓存验证"。

另一个重要概念是"缓存分层"。不同 CDN 的缓存可能有三层：用户浏览器、CDN 边缘节点、CDN 中心节点。一级城市节点缓存满了，新内容会自动降级到中心节点，确保不会频繁回源。

手动清缓存（purge）在内容紧急更新时很重要。比如修复了网站漏洞，发布了新版本，不能等缓存自然过期，需要立即清空所有节点的旧版本。大多数 CDN 都提供清缓存 API，但清除 300+ 节点通常需要 5-15 分钟才能全部生效。为了避免清缓存的烦恼，可以用版本号策略：把 `style.css` 改成 `style.v2.css`，这样 CDN 会当作新文件，旧版本自然逐渐过期。

当用户输入域名，浏览器会进行 DNS 查询。传统 DNS 只是简单地返回一个 IP 地址，不考虑用户位置。CDN 的智能 DNS 则不同，它根据用户的 IP 地址、地理位置、网络运营商，返回离用户最近且网络质量最好的节点 IP。

这个过程叫"地理位置负载均衡"或"智能路由"。比如一个北京用户查询 `image.example.com`，DNS 服务器识别出他的 IP 来自北京联通，就返回北京联通节点的 IP；同时一个广州用户做同样的查询，DNS 返回的是广州电信节点的 IP。这样用户直接连到最优节点，避免了跨地区、跨运营商的延迟。

Cloudflare、Akamai 等全球 CDN 都自建了 DNS 系统，有专有的地理位置数据库和网络拓扑知识。国内 CDN（如阿里云）的智能解析则更了解国内运营商网络的特性，对中国用户优化更好。

DNS 解析本身也可以加速。使用 Anycast 技术，CDN 的 DNS 服务器被"投影"到全球多个节点，用户查询会自动路由到最近的 DNS 节点，而不是回源到一个中心 DNS 服务器。这样 DNS 查询延迟从 100ms+ 降到 10ms 以内。

配置 CDN 时，通常需要把域名的 NS（Name Server）记录改指向 CDN 提供商的 DNS，或者添加一条 CNAME 记录指向 CDN。后者更常见，因为你保留对主域名 DNS 的控制权。比如 `image.example.com CNAME image.example.cdn.provider.com`。

在实际项目中，怎样通过 CDN 加速静态资源？第一步是识别哪些是静态资源。通常包括：图片（.jpg、.png、.webp）、样式表（.css）、脚本（.js）、字体（.woff、.woff2）、视频（.mp4、.webm）、其他媒体文件。这些内容不会因为用户或时间而变化，适合长期缓存。

第二步是修改资源 URL。比如把 `example.com/image/logo.png` 改成 `cdn.example.com/image/logo.png` 或用 CDN 提供商的 URL `image.example.cdn.provider.com`。前者需要 CNAME 配置，后者需要在代码中替换 URL。现代构建工具（Webpack、Vite）都有插件自动替换。

第三步是配置缓存头。在源服务器（nginx、Apache、Node.js）设置 `Cache-Control` 头。对于版本不变的资源，设置 `max-age=31536000`（一年）并加上 `immutable` 标记；对于可能更新的资源，设置 `max-age=3600` 或 `max-age=86400`；对于频繁变化的资源，设置 `max-age=0` 或 `no-cache`。

第四步是监控缓存性能。大多数 CDN 提供仪表板，显示缓存命中率、回源频率、带宽使用等指标。一个健康的 CDN 应该有 80% 以上的缓存命中率。如果命中率低于 50%，说明缓存策略或节点覆盖可能有问题，需要优化。

特别要注意的是，某些资源虽然看起来"静态"，但 URL 带查询参数（如 `?v=1.0`）。默认情况下，CDN 会把 `a.js?v=1.0` 和 `a.js?v=2.0` 当作两个不同的资源缓存。可以配置 CDN 忽略指定的查询参数，或改用路径版本（`a.v1.0.js` 而不是 `a.js?v=1.0`）。

CDN 的价值不止加速。Cloudflare、Akamai 等大型 CDN 还在边缘节点部署了 WAF（Web 应用防火墙）和 DDoS 防护，保护源站免受攻击。

WAF 的原理是检查每个 HTTP 请求，识别并阻止恶意流量。常见的攻击包括：SQL 注入（在请求参数中嵌入 SQL 代码）、XSS（跨站脚本注入）、命令注入、路径遍历（访问不应该暴露的文件）等。WAF 有预定义的规则集合（OWASP Top 10），可以开箱即用；也支持自定义规则，例如限制某个 IP 的请求速率、阻止特定地区流量、要求特定 User-Agent 等。

DDoS 防护针对分布式拒绝服务攻击。攻击者用大量僵尸网络（botnet）同时向目标发送请求，试图耗尽源站的带宽和处理能力。CDN 的防护方式是：在边缘节点识别并丢弃异常流量（比如同一 IP 秒级请求数超过阈值、非正常用户行为特征）；合法流量被合并后才回源，源站承受的冲击被大幅削弱。Cloudflare、Akamai 的 DDoS 防护可以抵御 Tbps 级别的攻击。

但需要注意，WAF 和 DDoS 防护虽然强大，但不是完全自动的。需要根据自己的应用特点调优规则，避免误杀合法用户流量。比如某些合法的搜索引擎爬虫可能被当作 bot 拦截；某些 API 客户端的请求模式可能被识别为"异常"；某些国家或地区的用户可能被地理位置规则禁用。所以需要定期检查日志，调整规则。

Cloudflare 的免费版本提供基础 DDoS 防护和 WAF；付费版本 Pro 和 Business 提供更高级的威胁分析和自定义规则。国内 CDN（阿里云、腾讯云）的安全套餐类似，付费才能解锁高级防护。如果网站经常被攻击，这笔防护投资很值得。

这是国内网站必须面对的现实。根据中国政府规定，任何托管在国内服务器上的网站都必须进行 ICP 备案。但 CDN 的选择会影响备案义务。

如果你选择 Cloudflare 或其他国外 CDN，源站可以放在国外，完全不需要备案。即使目标用户都在国内，也不受此限制。这是很多创业公司和小网站的选择。但代价是，国内用户访问速度依赖 Cloudflare 在国内的节点覆盖，实际体验可能比用国内 CDN 慢 20%-30%。

如果选择阿里云、腾讯云、七牛等国内 CDN，想要使用国内节点加速，就必须先完成 ICP 备案。备案流程通常需要 7-30 天（大多数省份 10-15 天），需要提交营业执照、法人身份证、网站负责人信息等材料。备案成功后，网站才能通过国内节点访问。

特殊的是，某些国内 CDN（如阿里云）同时提供海外节点加速。如果不备案，你可以用阿里云的海外节点加速国外用户，但不能加速国内用户。如果想加速国内用户，就得备案。这给了你灵活性：先用国外节点试水，用户量上来后再备案上国内节点。

还有一个灰色地带：某些企业会把源站放在国外，只用 CDN 在国内缓存。理论上这样可以规避备案，但一旦被查实，网站会被强制关闭。所以不建议铤而走险。

总结：如果你不在乎国内用户体验，或用户主要在国外，用国外 CDN 不备案是最简单的。如果目标用户有相当一部分在国内，建议备案上国内 CDN，以获得最佳速度和合规性。

现在来看主流 CDN 各自的优劣，帮你选择。

Cloudflare：全球 200+ 节点，覆盖所有大陆。免费版本已包含基础 DDoS 防护、WAF、SSL 证书、页面规则等，非常划算。付费版本 Pro（20 美元/月）和 Business（200 美元/月）加入高级防护和优先支持。在国内有节点但速度一般，海外用户体验最佳。不需要 ICP 备案。适合小网站、开发者、全球化业务。

Akamai：全球最大 CDN，300+ 节点，企业级支持。价格昂贵，通常按 TB 计费，起价几万美元/年。但性能和稳定性业界最佳，很多大型互联网公司（Netflix、Facebook）都用 Akamai。适合大流量、高要求的企业。

阿里云 CDN：国内最大 CDN，节点密度最高（覆盖所有省份和主要城市）。国内加速速度最快。付费按流量计费，从几元到几千元不等，小网站成本低。但需要 ICP 备案。还提供 HTTPS 加速、动态加速（DCDN）、视频直播加速等专业功能。适合国内用户为主的网站。

腾讯云 CDN：与阿里云类似，国内节点覆盖广。定价和功能对标阿里云。需要 ICP 备案。集成了腾讯生态（云服务器、数据库、CDN），云上部署效率高。

七牛云：专注存储和 CDN，在国内音视频和图片处理领域有口碑。节点覆盖虽不如阿里、腾讯，但对图片优化、视频处理有专业积累。定价灵活，支持按需付费。需要 ICP 备案。适合内容型网站和视频平台。

选型建议：全球用户用 Cloudflare；国内用户为主用阿里云/腾讯云/七牛；大流量企业用 Akamai。多地区部署可以混用（比如国内上阿里云，海外上 Cloudflare）。