概要
Cloudflare のグローバルネットワークとバックボーン(2026年)。最近、当社のネットワークは重要なマイルストーンを超えました:外部容量で500 Tbpsを突破しました。ここでいう「500 Tbps」は、全330+都市にまたがるトランジットプロバイダ、プライベートピア、インターネットエクスチェンジ、Cloudflare Network Interconnect (CNI) に向けてプロビジョニングされた外部インターコネクション容量の合計を指します。これはピークトラフィックの数値ではありません。日々のピーク利用率はその数値のごく一部です。(残りはDDoSのための余裕です。)
始まり:トランジットとピアリングの初期
2010年、私たちはPalo Alto のネイルサロンの上の小さなオフィスから始まり、トランジットプロバイダは1社、逆プロキシは2つのネームサーバーを変えるだけで設定できるものでした。
最初のトランジットプロバイダは nLayer Communications(現在多くの人が GTT として知るネットワーク)でした。nLayer は最初の容量と、ピアリング関係におけるコストと性能のバランスについての実務経験を与えてくれました。そこから都市ごとに拡大しました:Chicago、Ashburn、San Jose、Amsterdam、Tokyo。各データセンターの新設は、コロケーション契約の交渉、ファイバーの引き込み、サーバのラッキング、Internet exchange を通じたピアリングの確立を意味しました。
インターネットは実際には "クラウド" ではなく、ケーブルで満たされた特定の部屋の集合です。私たちはそれぞれの場所の細かい違いを学ぶのに何年も費やしました。ハードウェア不足、税関ストライキ、さらには歯間フロスに対処することもありました。2018年のある月には、Kathmandu や Baghdad から Reykjavík、Chișinău に至るまで、24日間で31都市を同時に展開しました。
127番目のデータセンターを Macau で開設した時点では、私たちは700万件の Internet プロパティを保護していました。今日、330+都市のデータセンターを通じて、私たちはウェブの20%以上を保護しています。
ネットワークがセキュリティレイヤーになったとき
フットプリントが拡大するにつれて、顧客は単なるウェブキャッシュ以上のものを求めました。従業員を保護し、老朽化した MPLS 回線を置き換え、企業ネットワーク全体を保護する必要がありました。従来型のアプライアンスの代わりに、プライベートサブネットへのセキュアトンネルを確立し、BGP を通じて当社のグローバルネットワークから企業の IP 空間を直接アドバタイズするシステムを構築しました。
脅威の規模も同時に拡大しました。2025年、私たちは 31.4 Tbps の DDoS 攻撃(35秒間)を緩和しました。発信元は Aisuru-Kimwolf ボットネットで、多数の感染した Android TV を含んでいました。その日は他にも5,000件以上の攻撃を遮断しました。エンジニアの呼び出しはありませんでした。10年前であればその規模の攻撃に対処するには国家レベルのリソースが必要だったでしょう。今日、私たちのネットワークは数秒でこれを処理します。これが 500 Tbps スケールでの運用に必要なことです:インテリジェンスをネットワーク上のすべてのサーバに移し、ネットワーク自身が防御できるようにすること。
攻撃に対するネットワークの実際の挙動
攻撃がネットワークに到達したときに実際に何が起きるか:
- パケットは NIC に到達し、ドライバーモードで動作する xdpd によって管理される eXpress Data Path (XDP) プログラムチェインに即座に入ります。
- そのチェインの最初のプログラムの一つが l4drop で、extended Berkeley Packet Filter (eBPF) による緩和ルールに対して各パケットを評価します。
- そのルールは各サーバで動作する dosd(denial of service daemon)によって生成されます。各 dosd は着信トラフィックをサンプリングし、最も重いホッター(heaviest hitters)のテーブルを作成して、同じコロケーション内の他のすべてのインスタンスにブロードキャストします。
- 結果として、コロ単位の共有トラフィックビューが形成され、各サーバが同じデータに基づいて同じ緩和判断に到達します。
- dosd が攻撃パターンを検出すると、そのルールはローカルで l4drop を通じて適用され、分散KVストアである Quicksilver を経由してグローバルに伝搬し、数秒以内にすべてのデータセンターのすべてのサーバに到達します。
- l4drop を生き残ったパケットは Unimog(Layer 4 ロードバランサ)に到達し、データセンター内の健全なサーバに分配されます。
- Magic Transit を通じてエッジ経由で企業ネットワークトラフィックをルーティングする顧客に対しては、flowtrackd がさらにステートフルな TCP 検査を行い、正当なフローに属さないパケットをドロップします。
私たちが 31.4 Tbps の攻撃を緩和したとき、まさにこの経路を辿りました。トラフィックを中央のスクラビングセンターにバックホールすることはありませんでした。人間の介入もありませんでした。標的となったデータセンター内のすべてのサーバが独立して攻撃を認識し、悪意のあるパケットをラインレートでドロップし始め、アプリケーション処理の1サイクルも消費させませんでした。ソフトウェアは物語の半分に過ぎません:ポートがなければトラフィックを吸収できないため、物理的な容量も不可欠です。
分散開発プラットフォーム
フルスタックを制御している結果として、ネットワーク上のすべてのサーバでコードを実行することは自然な帰結でした。すでに攻撃トラフィックをドロップするために各マシンで eBPF プログラムを実行しているなら、顧客のアプリケーションコードもそこに配置できます。その洞察が Workers(と後の KV、Durable Objects)になりました。
私たちの開発者プラットフォームは、数個のクラウドリージョンではなく、当社が運用するすべての都市で動作します。2025年には Workers に Containers を追加し、より重いワークロードもエッジで動かせるようにしました。V8 アイソレータとカスタムファイルシステムレイヤはコールドスタートを最小化します。あなたのコードはユーザーがいる場所で実行され、同じサーバ群が l4drop を通じてラインレートで攻撃トラフィックをドロップします。攻撃トラフィックはネットワークスタックに到達する前にドロップされ、アプリケーションはそれを決して見ません。
将来志向のプロトコル:IPv6、RPKI、ASPA
私たちは IPv6 と Resource Public Key Infrastructure (RPKI) の早期採用者でした。BGP ハイジャックは実際の障害とセキュリティ侵害を引き起こします。RPKI により、ピアからの不正なルートをドロップでき、トラフィックが正しい行き先に向かうことが保証されます。私たちはプレフィックスに対して Route Origin Authorizations (ROAs) に署名し、Ingress で Route Origin Validation (ROV) を強制しています。不正な RPKI ルートは、ROA が誤設定されたネットワークへの到達性が一時的に失われることがあっても拒否します。
次は Autonomous System Provider Authorization (ASPA) です。RPKI はそのプレフィックスの所有者を検証します。ASPA はそこに到達するまでの経路を検証します。RPKI は目的地でのパスポートチェック(正しい所有者の確認)で、ASPA はフライトの搭乗名簿のチェックです:トラフィックが経由したすべてのネットワークを検証します。ルートリークは間違った都市で搭乗した乗客のようなもので、RPKI では検出されませんが、ASPA は検出します。
ASPA の現在のエコシステム採用は、RPKI が2015年に見せたような初期段階に似ています。私たちは大規模に RPKI を展開した最初期のネットワークの一つであり、今日ではグローバルルーティングテーブルの 867,000 プレフィックスが有効な RPKI 証明書を持っています(10年前はほぼゼロに近かった)。私たちのスケールでは、採用するプロトコルはインターネット全体に実際の影響を与えます。採用を早めに推進するのは、待つことでその間にさらに多くのハイジャックやリークが発生するからです。
AIエージェントと進化するインターネット
AI はウェブ上の存在の意味を変えました。インターネットの長い歴史のほとんどで、トラフィックは人間がブラウザでリンクをクリックすることで生成されていました。今日では、AI クローラ、モデル学習パイプライン、自律エージェントがネットワーク全体の HTML リクエストの4%以上を占め、Googlebot と同等の規模になっています。特に「ユーザーアクション」クロール(人が質問して AI がページを訪れるケース)は、2025年だけで15倍に成長しました。
AI クローラはインフラのレベルでブラウザとは異なる振る舞いをします。ブラウザはページをロードして止まりますが、クローラはリンクされたすべてのリソースを最大スループットでフェッチし、リクエスト間の間隔がありません。当社の規模では、正当な AI クロールと実際の攻撃を区別することがエンジニアリング上の課題です。検出システムは次の組み合わせを使用して区別します:
- 検証済みボットの IP レンジ
- TLS フィンガープリント
- 振る舞い分析
- robots.txt コンプライアンス信号
これによりサイト所有者がどのクローラを許可するか判断するためのデータを提供します。例えば TLS レイヤでは、正当なブラウザは宣言された User-Agent に一致する予測可能な Cipher Suites、拡張、順序を持つ ClientHello を送ります。User-Agent を偽装しているクローラが簡素化された TLS ライブラリを使うと異なるフィンガープリントを示し、その不一致が当社のシステムの信号の一つとなってリクエストがオリジンに到達する前に分類されます。
次の500 Tbpsを一緒に作る
Palo Alto のネイルサロンの上から始まったものは、今や125+カ国・330+都市で稼働する500 Tbps ネットワークになり、すべてのサーバがキャッシュだけでなく開発者プラットフォームとセキュリティサービスを動かしています。これは16年にわたるアーキテクチャ上の決定の積み重ねであり、ピアしてくださる13,000+のネットワークとパートナーに感謝します。
私たちはまだ終わっていません。ネットワークオペレータの方は、ぜひピアしてください。ピアリングポリシーとインターコネクションの詳細は PeeringDB をご覧ください。Cloudflare のインフラを直接あなたのネットワーク内に組み込みたい場合は、Edge Partner Program に参加するために [email protected] までご連絡ください。
Cloudflare の接続クラウドは次のことを行います:
- 企業ネットワーク全体を保護する
- Internet スケールのアプリケーションを効率的に構築するのを支援する
- どんなウェブサイトや Internet アプリケーションも高速化する
- DDoS 攻撃を撃退する
- ハッカーから守る
- Zero Trust への移行を支援する
任意のデバイスから 1.1.1.1 にアクセスして、あなたのインターネットをより速く安全にする無料アプリを試してください。より良いインターネットを構築するという私たちのミッションについて詳しく知りたい方は start here をご覧ください。新たなキャリアをお探しなら open positions をチェックしてください。
タグ: Network Services、Cloudflare Network、Peering、DDoS、BGP、RPKI、Workers、AI、Cloudflare Workers、AI