Aynı IP, çok lokasyon
CDN sağlayıcısı aynı /24 bloğunu BGP üzerinden tüm POP'larından duyurur. Internet'in yönlendirme protokolü, paketi en kısa AS yolundaki POP'a iletir.
Anycast ağından edge cache'e, WAF'tan rate limit'e, DDoS scrubbing'den edge functions'a — birlikte CDN ve edge dünyasını sade bir dille gezeceğiz. Konuyu Cloudflare üzerinden somutlayacağız ama anlatım marka-bağımsız.
CDN'in sihri tek bir teknikten gelir: Anycast. Tek bir IP adresi, dünyanın farklı şehirlerindeki düzinelerce sunucu (POP — Point of Presence) tarafından aynı anda duyurulur. Kullanıcının paketi internet üzerinde en yakın POP'a otomatik yönelir.
CDN sağlayıcısı aynı /24 bloğunu BGP üzerinden tüm POP'larından duyurur. Internet'in yönlendirme protokolü, paketi en kısa AS yolundaki POP'a iletir.
İstanbul'dan Frankfurt'taki origin'e tek istek 50–70 ms sürebilir. Kullanıcıyla aynı şehirdeki bir POP, o yolu 5 ms'ye indirir. Sayfa hızı ışık hızıyla sınırlıdır; mesafe önemlidir.
"300+ POP" rakamından çok, kullanıcılarınızın olduğu coğrafyada POP olup olmadığı önemlidir. Türkiye trafiği için İstanbul, Bulgaristan veya Yunanistan POP'u kritiktir.
Aynı 1.1.1.1 dünyanın onlarca şehrindeki POP'tan BGP üzerinden eşzamanlı duyurulur. Kullanıcının paketi en kısa AS yolundaki POP'a otomatik yönelir; gecikme coğrafyayla orantılı kalır. Türkiye trafiği için İstanbul/Sofya/Atina POP'unun varlığı kararı belirler.
Edge cache, kullanıcıya yakın POP'ta saklanan bir kopyadır. Doğru başlık politikasıyla %90'ın üstünde cache hit oranı normaldir; bu da origin yükünün ve sayfa süresinin onda birine düşmesi demektir.
Edge POP içerikten emin; doğrudan kullanıcıya döndürür. Origin bu isteği hiç görmez.
Süresi geçmiş ama hâlâ saklı kopya. Önce stale yanıt verilir, arka planda origin'e bir taze kopya istenir. Kullanıcı beklemez.
İçerik POP'ta yok. Origin'e gidilir, yanıt geri dönerken POP'ta saklanır; sonraki istekler HIT olur.
Cookie, query string ya da Cache-Control: private nedeniyle cache devre dışı. Her istek origin'e gider; yanlış kurulduğunda CDN'in faydası ortadan kalkar.
Cache-Control hem tarayıcıyı hem CDN'i etkiler. CDN-Cache-Control ise sadece edge için ayrı bir TTL tanımlar; tarayıcı kısa, edge uzun saklayabilir.WAF (Web Application Firewall), zararlı isteği uygulamanıza ulaşmadan önce edge'de durdurur. Rate limiting ise meşru gibi görünen ama aşırı yoğun isteklere kota uygular. İkisi birlikte, origin'inizin nefes almasını sağlar.
UNION SELECT, -- gibi ifadeleri yakalar.<script>, javascript: gibi payload'lar imza ve davranış bazlı kuralla bloklanır.DDoS, "Distributed Denial of Service" — yani aynı anda çok sayıda kaynaktan gelen, hizmeti tüketmeye yönelik trafik. Anycast ağı saldırıyı tek noktaya değil, dünyaya dağıtır; her POP kendi payına düşeni soğurur. Scrubbing ise temiz trafiği geçirip kötü niyetliyi süzme işidir.
UDP flood, SYN flood, DNS amplification. Hat doldurmaya çalışır. Anycast bunu coğrafyaya yayar; modern sağlayıcılar Tbps mertebesinde kapasiteyle pasif olarak soğurur.
Meşru görünen HTTP istekleri ama anormal hacim ya da pahalı endpoint hedefli (örn. arama sayfası, login). Bot management, JS challenge ve adaptif rate limit ile filtrelenir.
Otoriter DNS sunucularını hedefleyen ya da onları amplifikasyon aracı olarak kullanan saldırılar. Anycast DNS + DNSSEC + sıkı response rate limiting ile yanıtlanır.
Edge functions, POP üzerinde V8 isolate ya da WebAssembly ortamında çalışan kısa kodlardır. Her ürünün adı farklı — Cloudflare Workers, AWS Lambda@Edge, Fastly Compute, Bunny Edge Scripting — ama fikir aynı: hesabı kullanıcının yanında yap.
// A/B test, ülke bazlı yönlendirme, header zenginleştirme
export default {
async fetch(request) {
const country = request.cf.country; // "TR"
const url = new URL(request.url);
if (country === "TR" && url.pathname === "/") {
url.pathname = "/tr/";
return Response.redirect(url, 302);
}
return fetch(request); // origin'e geç
},
};
A/B test & yönlendirme
Geo & dil yönlendirme
Header normalizasyonu / kişiselleştirme
API gateway, JWT doğrulama
Görsel/HTML transformasyon
CPU bütçesi: 10–50 ms / istek
Ağır iş için uygun değil
Standart Node API'leri yok (V8 isolate)
Veritabanı erişimi POP'tan uzak; gecikme döner
Vendor lock-in riski yüksek
CDN ücretsiz planı bile ciddi bir hızlanma getirir; ama gerçek soru "hızlanma değer mi" değil "altyapı karmaşası karşılığını veriyor mu" sorusudur. Tipik karar matrisi:
Pazardaki dört büyük yaklaşımın hızlı bir özeti. Hepsi anycast üzerinde çalışır ama fiyat, edge programlama modeli ve kurumsal entegrasyon felsefeleri belirgin biçimde farklı. Kararı genellikle "en hızlı" değil, "ekibinizle uyum içinde" olan belirler.
Bir reverse proxy (nginx, HAProxy) genellikle tek lokasyondadır. CDN ise dünyaya yayılmış reverse proxy filosudur. Cloudflare proxy modunda iken siteniz teknik olarak hem reverse proxy hem CDN arkasındadır.
CDN içeriği cache'leyerek kullanıcıya yaklaştırır. Multi-region origin ise uygulamanın kendisini birden fazla bölgede çalıştırır. Statik içerikte CDN; dinamik, kişisel veride multi-region uygundur. İkisi birbirini ikame etmez, tamamlar.
Bir kayıt için bulut simgesi gri (DNS only) ya da turuncu (proxied). Gri modda Cloudflare yalnızca otoriter DNS sunucusu olarak görev yapar; trafik origin IP'sine doğrudan gider. Turuncu mod aktifken CDN, WAF ve DDoS koruması devreye girer.
Browser cache yalnızca tek kullanıcıyı hızlandırır; ilk ziyareti yine origin'den yüklenir. Edge cache ise tüm kullanıcıların ortak yararlandığı bir paylaşımlı kopyadır. İkisini birlikte kullanın: Cache-Control: public, max-age=300, s-maxage=86400.
Çoğu sağlayıcıda iki terim aynı anlamda kullanılır: cache'teki kopyayı geçersiz say. Pratikte iki tarz görürsünüz — soft purge kopyayı işaretler, ilk istekte revalidate eder; hard purge hemen siler. Yüksek trafikli sayfalarda soft purge origin'i koruma açısından daha güvenlidir.
Konuyu tanımlayan resmi belgeler, RFC'ler ve sağlayıcıların kendi rehberleri.
Cloudflare planı seçimi, WAF kuralı yazımı, edge cache başlık politikası ya da DDoS olay sonrası inceleme — her aşamada eşlik edebiliriz.