Edge腰果和POP

1）POP是什麼，為什麼「邊緣」

• 潛伏期（低於客戶的RTT）。
• 起源的負載和成本（離載）。
• 區域/雲之間的流量（egress節省）。

Edge不僅僅是kesh。現代的POP支持L7路由，WAF/機器人濾波器，極限，A/B/金絲雀，轉換和邊緣匹配（腳本/功能）。

2） Edge Cashing體系結構

2.1平面vs分層（分層）

扁平：每個POP都起源。簡單，但起源昂貴。
Tiered/Shield：POP → Shield POP（中央緩存）→起源。Shield累積了kesh錯誤，為起源創建了「傘」。

2.2個區域部分

按區域/轄區劃分緩存域（GDPR/數據本地化）。
變體：「EU-only POPs」和「Global POPs」，分開密鑰/規則。

2.3 Anycast+latency/geo-aware路由

Anycast通過BGP將客戶帶到最近的POP。
Geo/latency-aware通過活動RTT/錯誤測量在 ROR/區域池之間切換。

3）緩存密鑰，「Vary」，TTL和新鮮

3.1鍵設計

規範化查詢：排序查詢參數,刪除噪音（utm, ref）。
包括語義軸：「tenant」，「locale」，「schema版本」（「v=3」），但避免PII。
對於私人內容-共享公共和私人凱什（請參閱§7）。

3.2緩存控制（HTTP）

• `Cache-Control: public, max-age=60, s-maxage=300, stale-while-revalidate=60, stale-if-error=120`
• 「ETag」/「Last-Modified」用於條件GET（304）。
• Vary：最大限度地減少基數（「接受編碼」，「接受語言」，有時是私有路徑的「授權」/「Cookie」）。
• Micro-cache for「接近揚聲器」：1-5秒+SWR。

3.3 Stale策略

SWR （stale-wile-revalidate）：我們給出過時的答案,我們更新背景。
SIE （stale-if-error）：如果出現錯誤,起源將使用「SIE」 -TTL之前的kesh。
Soft/Hard TTL：溫和的時機（你可以打架），堅硬（完全失誤）。

4）殘疾： 如何更新「邊緣」

4.1按鍵和標簽

通過URL/前綴的 PURGE/BAN-粗略但快速。
Surrogate-Key/Tags：為對象分配標簽（'article： 42'、'category： 7'）,按標簽鍵入-大規模殘障且沒有URL過度使用。

4.2事件性殘疾

如果將數據更改為起源，則發布事件（Kafka/NATS）→邊緣殘疾人調用BAN/PURGE/軟外展。

4.3文物轉化

對於靜態-文件名中的content-hash。
對於API,如果更改不兼容,請更改密鑰版本（'v=4'。

5）起源保護和性能

5.1 Origin shielding

將Shield POP作為唯一失誤點,→減少風暴起源的倍數。

5.2 Coalescing/single-flight

在邊緣，一個請求在錯過時「刺穿」kesh；其他人正在等待（沒有追趕stampede）。

5.3 Rate-limit/Queue/Shedding на edge

過載-將低優先級/匿名查詢重置為POP而不是起源。

5.4 Signed URL / Signed Cookie

起源隱藏在邊緣後面。通過帶有TTL和屬性（IP/Geo/Path）的簽名鏈接/cookie訪問私有內容，以免分發給「所有人」。

6）運輸和轉型

6.1 HTTP/2–3 и QUIC

HTTP/2：多路復用，頭壓。
HTTP/3/QUIC：在p95/p99 TTFB下方,HOL鎖定更少,丟失通道→更好。

6.2壓縮和映像

文本的Brotli，圖像的AVIF/WebP，邊緣的圖像恢復（響應註釋，DPR）。
按格式/大小劃分的Kesh變體：鍵包括「width/format」（或「Vary：Accept」/Client-Hints）。

6.3 TLS/0-RTT（整潔）

重新啟動會話可加快安裝速度,0-RTT安裝可能容易受到重播的攻擊→僅啟用等效的GET。

7）公共vs私人edge-kesh

7.1公共服務

「Cache-Control：public，s-maxage=……」和最小的「Vary」。
適用於目錄,新聞,圖像,靜態CDN。

7.2私人/個性化

• 不要在shared級別緩存：「Cache-Control： private」（瀏覽器kesh）。
• Key-segmentation：在密鑰中包含tenant/user-id（或令牌哈希）並標記為私有共享（小心存儲和PII）。
• 簽名Cookie和Edge-auth：kesh是公開的，但是簽名訪問（邊緣帶有加密會話狀態的選項）。

8) Edge-compute (Workers/Functions)

POP上的輕量級功能：路徑/標頭重寫、A/B分割、密鑰歸一化、SWR邏輯、鄰域資源預報。
POP上的本地KV/Cache API用於毫秒操作。
局限性：短時間/記憶，缺乏長壽連接，專心處理PII/區域性。

偽示例（像工人一樣）

js export default {
async fetch(req, env) {
const key = normalize(req);
let res = await caches. default. match(key);
if (res) return withHitHeader(res, "HIT");

res = await fetch(req, { cf: { cacheEverything: true }});
const ttl = computeTTL(res);
eventWaitUntil(caches. default. put(key, res. clone(), { expirationTtl: ttl }));
return withHitHeader(res, "MISS");
}
}

9）配置示例

9.1 Nginx: micro-cache + SWR

nginx proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=api:200m inactive=30m;
map $request_method $skip_cache { default 0; POST 1; PUT 1; DELETE 1; }

server {
location /api/list {
proxy_cache api;
proxy_cache_key "$scheme://$host$uri$is_args$args";
proxy_cache_valid 200 2s;          # micro-cache proxy_cache_use_stale error timeout updating;# SIE + SWR proxy_cache_background_update on;
add_header X-Edge-Cache $upstream_cache_status;
proxy_pass http://origin_pool;
}
}

9.2 Varnish: surrogate keys и BAN

vcl sub vcl_recv {
if (req. method == "BAN") {
if (req. http. Surrogate-Key) {
ban("obj. http. Surrogate-Key ~ " + req. http. Surrogate-Key);
return (synth(200, "Banned"));
}
}
}

sub vcl_deliver {
set resp. http. Surrogate-Key = "article:42 tag:author:7";
set resp. http. Cache-Control = "public, s-maxage=300, stale-while-revalidate=60";
}

9.3 Envoy（邊緣緩存過濾器）

yaml http_filters:
- name: envoy. filters. http. cache typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. http. cache. v3. CacheConfig typed_config:
"@type": type. googleapis. com/envoy. extensions. http. cache. simple_http_cache. v3. SimpleHttpCacheConfig

9.4 CloudFront-style行為（草圖）

Behavior A：「/images/」是長的TTL，按壓縮和格式排列。
Behavior B：'/api/'是短的TTL，SWR，簽名cookie，WAF/機器人保護。
啟用Origin Shield，狀態500/502/504 → 「stale-if-error」。

10）可觀察性，SLO和報告

10.1個指標

cache_hit_ratio （POP/區域/路線），byte_hit_ratio。

origin_offload = 1 − (origin_requests / edge_requests).

TTFB/TTL按配額，stale_responses_total，revalidations_total。

stampede_prevented_total, coalesced_waiters.

shield_hit_ratio （tiered）、origin_egress_bytes（成本）。

10.2 Logi/Traces

標有「HIT/MISS/STALE/UPDATING/BYPASS」標簽的徽標，鑰匙，TTL，POP，tenant。
在分布式預告片中，標記來源（「edge」，「origin」）和原因（revalidate/stale/error）。

10.3個SLO示例

«Для `/api/list`: p99 TTFB ≤ 250 мс, edge hit ≥ 70%, byte-hit ≥ 80%, origin error-offload ≥ 90%».

「」stale-if-error「響應的比例≤每天1％。」

11）安全、隱私、合規性

WAF/機器人管理-在邊緣過濾到起源。
數據區域性：僅將私有文物存儲在允許的POP中；使用區域特定的密鑰和ACL。
Edge上的簽名和令牌，不要從公共腰包中給出私人答案。
PII最小化：不要在密鑰中包含個人數據；加密cookie；用於個性化的短TTL。

12）典型食譜

12.1「接近揚聲器」（磁帶/列表）

帶有+SWR的Micro-cache 1-3在邊緣，shield啟用，單飛，negative-cache用於空白1-5秒的結果。

12.2圖像雲/媒體

邊緣重新設計/格式（WebP/AVIF），「width/format」緩存選項，長的TTL，內容標簽障礙。

12.3個個性化API

「Cache-Control： private」或signed cookie+鍵分段（tenant）, TTL短,SWR for「近乎公開」的響應部分。

12.4大銷售/高峰

加熱關鍵資源（prewarm），增加TTL的靜態，激進的SWR/SIE，Shield對起源的嚴格限制。

13）反模式

沒有「Vary」，響應不同→泄漏/數據錯誤。
巨大的「Vary」 →基調→低命中率。
prod/experiments的共享緩存→汙染。
沒有單飛→起源的風暴失誤。
SWR →升級競賽和驗證查詢雪崩沒有限制。
Edge-kesh私人響應作為公共→安全事件。
在全球載荷下不存在tiered/shield →原點過熱。

14）實施支票

• 繪制POP塗層，包括anycast+latency-routing。
• 選擇tiered/shield和single-flight/coalescing策略。
• 設計密鑰和Vary（最小基數,沒有PII）。
• 配置TTL/SWR/SIE（軟/硬TTL）和非主動緩存。
• 啟用signed URL/cookie,串聯起源,啟用WAF/bot過濾器。
• 組織殘疾：Surrogate-Key/BAN+事件驅動。
• 提高hit/byte-hit/offload/TTFB和per-POP dashboard的指標。
• 在高峰前加熱，在風暴/超載時運行。
• 隱私/區域性測試，密鑰審核和策略。
• Edge的SLO/錯誤預算和 TTL/SWR自動調整標準。

15) FAQ

Q： 如何在邊緣選擇TTL?

答：推開允許的過時性和命中率目標。對於「接近動力學」，帶有+SWR的1-5；參考資料/圖像-因事件/標記而殘疾的分鐘/小時。

Q： 什麼時候需要Shield POP?

答：通過全球交通或熱鍵：盾牌大大減少了起源的失誤,並穩定了「追趕」波。

Q： 如何緩存授權響應?

答：要麼是「私人」（瀏覽器），要麼是帶有簽名Cookie/URL和密鑰細分（沒有PII）的公共，要麼通常是用於關鍵個人數據的旁路。

問：HTTP/3該怎麼辦？
A：包括：移動/丟失頻道特別獲勝。控制HTTP/2上的代理和後退兼容性。

16）結果

Edge腰果和POP網絡是速度和經濟平臺的基礎。成功取決於正確的密鑰和「Vary」，合理的TTL/SWR/SIE，標記/事件殘疾，起源保護tiered/shield以及可觀察性（hit/offload/TTFB）和安全/隱私紀律。按照支票單-「邊緣」將成為您的加速器，而不是驚喜的來源。