500 Tbpsの容量：16年間にわたるグローバルネットワークの拡張

2026年4月10日 Tanner Ryan 6分で読める

2026年のCloudflareのグローバルネットワークとバックボーン。

Cloudflareのネットワークは最近、重要なマイルストーンを通過しました：外部容量が500テラビット毎秒（Tbps）を超えました。500 Tbpsと言うとき、これは総プロビジョニング済み外部相互接続容量を意味します：330以上の都市にわたるすべてのトランジットプロバイダー、プライベートピアリングパートナー、インターネットエクスチェンジ、またはCloudflare Network Interconnect（CNI）ポートに面するすべてのポートの合計です。これはピークトラフィックではありません。任意の日において、私たちのピーク使用率はその数値の一部です。（残りは私たちのDDoS予算です。）

私たちが始めた場所からは長い道のりでした。2010年、私たちはPalo Altoのネイルサロンの上の小さなオフィスから、単一のトランジットプロバイダーと2つのネームサーバーを変更するだけで設定できるリバースプロキシでスタートしました。

トランジットとピアリングの初期

私たちの最初のトランジットプロバイダーはnLayer Communicationsで、現在多くの人がGTTとして知っているネットワークでした。nLayerは私たちに最初の容量と、ピアリング関係およびコストとパフォーマンスの慎重なバランスにおける最初の実践的な企業経験を与えてくれました。

そこから、私たちは都市ごとに成長しました：シカゴ、アッシュバーン、サンノゼ、アムステルダム、東京。新しいデータセンターごとに、コロケーション契約の交渉、ファイバーの敷設、サーバーのラッキング、インターネットエクスチェンジを通じたピアリングの確立が必要でした。

インターネットは実際にはクラウドではありません。それはケーブルでいっぱいの特定の部屋の集合体であり、私たちはそれぞれの微妙な違いを学ぶのに何年も費やしました。すべての都市が簡単な展開ではなく、不足しているハードウェア、税関ストライキ、さらにはデンタルフロスにも対処しなければなりませんでした。

2018年の1か月間で、私たちは24日間で31都市に開設しました：カトマンズとバグダッドからレイキャビクとキシナウまで。マカオに127番目のデータセンターを開設したとき、私たちは700万のインターネットプロパティを保護していました。今日、330以上の都市にデータセンターを持つ私たちは、ウェブの20%以上を保護しています。

ネットワークがセキュリティレイヤーになったとき

私たちのフットプリントが成長するにつれ、顧客はウェブサイトキャッシングだけでなく、より多くのものを求めました。従業員を保護し、老朽化したMultiprotocol Label Switching（MPLS）回線を置き換え、企業ネットワーク全体を保護する必要がありました。

従来のアプライアンスの代わりに、私たちはプライベートサブネットへの安全なトンネルを確立し、BGPを介してグローバルネットワークから直接企業IPスペースをアドバタイズするシステムを構築しました。

脅威の規模も並行して成長しました。2025年、私たちは35秒間続く31.4 TbpsのDDoS攻撃を軽減しました。その発生源は多くの感染したAndroid TVを含むAisuru-Kimwolfボットネットでした。それはその日にブロックした5,000以上の攻撃の1つでした。エンジニアは呼び出されませんでした。

10年前、その規模の攻撃に対抗するには国家レベルのリソースが必要だったでしょう。今日、私たちのネットワークは人間の介入なしに数秒でそれを処理します。これが500 Tbpsスケールでの運用に必要なことです：ネットワークが自分自身を守ることができるように、インテリジェンスをネットワーク内のすべてのサーバーに移すことです。

攻撃に対するネットワークの応答方法

攻撃が私たちのネットワークに当たったときに実際に何が起こるかを説明します。

パケットはネットワークインターフェースカード（NIC）に到着し、すぐにドライバーモードで実行されているxdpdによって管理されるeXpress Data Path（XDP）プログラムチェーンに入ります。そのチェーンの最初のプログラムの中にl4dropがあり、これは拡張Berkeley Packet Filter（eBPF）の軽減ルールに対して各パケットを評価します。

これらのルールは、私たちのフリート内のすべてのサーバーで実行されるサービス拒否デーモンであるdosdによって生成されます。各dosdインスタンスは着信トラフィックをサンプリングし、見つけた最も重いヒッターのテーブルを構築し、そのテーブルをコロ内の他のすべてのインスタンスにブロードキャストします。

結果として、トラフィックのコロ全体の共有ビューが得られ、すべてのサーバーが同じデータから作業するため、同じ軽減決定に到達します。dosdが攻撃パターンを検出すると、結果として得られるルールはl4dropを介してローカルに適用され、分散キーバリュー（KV）ストアであるQuicksilverを介してグローバルに伝播し、数秒以内にすべてのデータセンターのすべてのサーバーに到達します。

l4dropを生き残った後でのみ、パケットはレイヤー4（L4）ロードバランサーであるUnimogに到達し、データセンター内の健全なサーバー間でそれらを分散します。

私たちのエッジを通じて企業ネットワークトラフィックをルーティングするMagic Transitの顧客の場合、flowtrackdはステートフルTCP検査のさらなるレイヤーを追加し、接続状態を追跡し、正当なフローに属さないパケットをドロップします。

私たちが軽減した31.4 Tbps攻撃は、まさにこの経路をたどりました。トラフィックは集中化されたスクラビングセンターにバックホールされませんでした。人間は介入しませんでした。対象となったデータセンター内のすべてのサーバーが独立して攻撃を認識し、これらのパケットがアプリケーション処理の単一のCPUサイクルを消費する前に、ラインレートで悪意のあるパケットをドロップし始めました。

ソフトウェアは話の半分に過ぎません：そもそもトラフィックを吸収するポートがなければ、何も機能しません。

分散開発者プラットフォーム

私たちのネットワーク内のすべてのサーバーでコードを実行することは、フルスタックを制御することの自然な結果でした。攻撃トラフィックをドロップするためにすべてのマシンでeBPFプログラムをすでに実行していたなら、そこで顧客のアプリケーションコードも実行できました。

その洞察がWorkersになり、後にKVとDurable Objectsになりました。私たちの開発者プラットフォームは、少数のクラウドリージョンではなく、私たちが運営するすべての都市で実行されます。2025年、私たちはWorkersにContainersを追加し、より重いワークロードもエッジで実行できるようになりました。

V8アイソレートとカスタムファイルシステムレイヤーがコールドスタートを最小化します。あなたのコードは、l4dropを介してラインレートで攻撃トラフィックをドロップするのと同じサーバー上で、ユーザーがいる場所で実行されます。攻撃トラフィックはネットワークスタックに到達する前にドロップされます。あなたのアプリケーションはそれを見ることはありません。

将来を見据えたプロトコル：IPv6、RPKI、ASPA

私たちはIPv6とResource Public Key Infrastructure（RPKI）の早期採用者でした。BGPハイジャックは実際の停止とセキュリティ侵害を引き起こします。RPKIにより、ピアからの無効なルートをドロップし、トラフィックが本来行くべき場所に行くことを保証できます。

私たちは自分のプレフィックスに対してRoute Origin Authorizations（ROAs）に署名し、イングレスでRoute Origin Validationを実施します。私たちはRPKI無効ルートを拒否します。これが時々、設定ミスのROAを持つネットワークへの到達可能性を破ることがあってもです。

Autonomous System Provider Authorization（ASPA）が次です。RPKIはプレフィックスの所有者を検証します。ASPAはそれがここに到達するまでにたどった経路を検証します。RPKIは目的地でのパスポートチェックで、正しい所有者を確認しますが、ASPAはフライトマニフェストチェックです：トラフィックが通過したすべてのネットワークを検証します。

ルートリークは間違った都市で搭乗した乗客のようなものです；RPKIはそれをキャッチしませんが、ASPAはキャッチします。

ASPAの現在のエコシステム採用は、2015年のRPKIのように見えます。私たちは大規模にRPKIを展開した最初のネットワークの1つであり、今日、グローバルルーティングテーブルの867,000プレフィックスが有効なRPKI証明書を持っており、10年前のほぼゼロから増加しています。

私たちの規模では、選択するプロトコルがより広いインターネットに実際の影響を与えます。私たちは早期採用を推進します。なぜなら、待つことはその間により多くのハイジャックとリークを意味するからです。

AIエージェントと進化するインターネット

AIはウェブ上でのプレゼンスの意味を変えました。インターネットの歴史の大部分において、トラフィックは人間が生成したもので、人々がブラウザでリンクをクリックすることによるものでした。今日、AIクローラー、モデル訓練パイプライン、自律エージェントが私たちのネットワーク全体のすべてのHTMLリクエストの4%以上を占めており、Googlebot自体に匹敵します。

人間が質問をしたためにAIがページを訪問する「ユーザーアクション」クローリングは、2025年だけで15倍以上成長しました。

AIクローラーはインフラストラクチャレベルでブラウザとは異なる動作をします。ブラウザはページを読み込んで停止します。クローラーは代わりに、リクエスト間に一時停止なしで最大スループットですべてのリンクされたリソースを取得します。

私たちの規模では、正当なAIクローリングと実際の攻撃を区別することは実際のエンジニアリング問題です。私たちの検出システムは、検証済みボットIP範囲、TLSフィンガープリンティング、行動分析、robots.txt準拠シグナルの組み合わせを使用してその区別を行い、サイト所有者にどのクローラーを許可するかを決定するために必要なデータを提供します。

たとえば、TLSレイヤーでは、正当なブラウザは宣言されたUser-Agentと一致する予測可能な暗号スイート、拡張、順序のセットでClientHelloを提示します。そのUser-Agentを偽装しているが、簡素化されたTLSライブラリを使用しているクローラーは異なるフィンガープリントを提示し、その不一致は私たちのシステムがリクエストがオリジンに到達する前にリクエストを分類するために使用するシグナルの1つです。

次の500 Tbpsの構築を手伝ってください

Palo Altoのネイルサロンの上で始まったものは、今や125以上の国の330以上の都市にある500 Tbpsネットワークとなり、すべてのサーバーがキャッシュだけでなく私たちの開発者プラットフォームとセキュリティサービスを実行しています。これは16年間のアーキテクチャ決定の複合であり、私たちとピアリングしている13,000以上のネットワークとパートナーのおかげです。

私たちはまだ終わっていません。ネットワークオペレーターの方は、私たちとピアリングしてください。私たちのピアリングポリシーと相互接続の詳細はPeeringDBにあります。Cloudflareインフラストラクチャをネットワーク内に直接埋め込むことに興味がある場合は、Edge Partner Programに参加するために[email protected]の私たちのチームにお問い合わせください。

Cloudflareの接続クラウドは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを高速化し、DDoS攻撃を防ぎ、ハッカーを寄せ付けず、Zero Trustへの旅路でお手伝いできます。

インターネットをより高速で安全にする無料アプリを使い始めるには、任意のデバイスから1.1.1.1にアクセスしてください。より良いインターネットの構築を支援する私たちの使命について詳しく学ぶには、こちらから始めてください。新しいキャリアの方向性をお探しの場合は、私たちの求人をご確認ください。