CLOUDFLARE DEEP DIVE

Cloudflare 产品矩阵
深度调研报告

面向 AI 全栈开发者的基础设施选型指南

2026 · AI FULLSTACK INFRASTRUCTURE
02
AGENDA

报告五大板块

01  AI 平台
Workers / Workers AI / AI Gateway / Vectorize / AI Search / Agents
02  数据存储
R2 / D1 / KV / Queues / Workflows / Pipelines
03  安全控制
One / Access / Gateway / Turnstile / WAF / API Shield
04  交付网络
CDN / Argo / LB / Spectrum / Magic Transit
05  推荐组合
6 大场景 × 默认架构 × 调优策略
03
CORE THESIS

Cloudflare 的优势不是单一产品强
而是可组合的平台

把边缘计算、对象存储、向量检索、模型网关、状态协调、零信任、安全与全球流量调度做成可组合的基础设施层

开发与 AI 平台 数据与存储 安全与访问控制 交付与网络 推荐组合
04
BOUNDARY

不是训练 GPU 云

Cloudflare 很强于推理入口、边缘编排、RAG、Agent、访问控制、全球分发和对象/日志数据湖。但它不是模型训练 GPU 云。

不适合
× GPU 模型训练 / 微调
× 大规模分布式训练调度
× 长时间离线批量推理 (同步)
核心优势
Serverless 推理 & 边缘编排
训练数据仓 / 检查点仓
跨云低成本分发 / 数据湖目录
日志 / 事件落地层
05
RECOMMENDED COMBOS

6 大场景 × 推荐组合

通用 AI Web
Workers + AI Gateway + Workers AI + Vectorize + R2 + Turnstile + WAF
RAG / 知识库
AI Search 或 Vectorize + Workers AI + R2
实时 Agent
Durable Objects + Workers + AI Gateway
数据湖
R2 + R2 Data Catalog + Pipelines + 外部训练算力
企业内网
Cloudflare One + Access + Gateway + Tunnel
混合云
LB / Argo / Spectrum / Magic Transit + Access / Gateway
06
PRODUCT MATRIX

30+ 产品 × 4 大分组

AI 平台
Workers Workers AI AI Gateway Vectorize AI Search Agents Durable Objects Pages
数据存储
R2 R2 Data Catalog D1 KV Queues Workflows Hyperdrive Pipelines
安全控制
Cloudflare One Access Gateway Turnstile WAF API Shield DDoS
交付网络
CDN / Cache Argo Load Balancing Spectrum Magic Transit Images Stream
PART I

01  开发与 AI 平台

Workers  /  Workers AI  /  AI Gateway  /  Vectorize  /  AI Search  /  Agents

08
EDGE RUNTIME

Workers — AI 应用的总装层

把请求接入、鉴权、缓存、模型路由、向量检索、对象存储读写、日志与计费整合到一个边缘执行面。

角色
API 网关 / 推理编排 / RAG orchestration / 实时前后处理 / 鉴权缓存
优势
冷启动极低 / 原生绑定 R2 D1 KV Queues DO AI / 按 CPU 计费 / 全球就近执行
注意
不负责训练 / 复杂长任务拆到 Queues+Workflows / 高 CPU 需管控预算
BEST PRACTICE
同步链路短而确定,异步链路下沉到 Queues/Workflows  |  模型调用经 AI Gateway  |  知识库入库写入 R2  |  会话态写入 DO 或 D1  |  高复用短结果放 KV
09
ARCHITECTURE

Workers 编排架构

Workers 作为中心枢纽,统一调度 AI Gateway、Vectorize、R2、D1、Queues 等下游服务。

Client / Browser
Workers
AI Gateway
Vectorize
R2
D1
Queues
Durable Objects
JS / TS / Python / Rust
Free: 100K req/day
Paid: 10M req + 30M CPU ms/mo
10
SERVERLESS INFERENCE

Workers AI — 不租 GPU 的推理层

Serverless GPU 推理,可从 Workers / Pages / API 调用。按 Neurons 计费,50+ 开源模型,全球网络就近执行。

50+ 开源模型
文本生成 / 嵌入 / 图像生成 / 语音识别。Llama 3.1 / Mistral / BGE 等主流模型覆盖。Workers 体系内最低摩擦推理层。
$0.011 / 1K Neurons
Free + Paid 均含每日 10,000 Neurons 免额。长输出成本明显高于短输出。需结合缓存与路由控制大模型成本。
BEST PRACTICE
实时路径优先用小模型或 embedding 模型  |  同类 prompt 做 cache key 归一化经 AI Gateway 缓存  |  不把训练和长时间批量任务塞进同步请求
11
MODEL GATEWAY

AI Gateway — 生产环境价值最高的组件

多模型接入后如何看得见、控得住、降得下成本、顶得住异常。OpenAI 兼容接口,跨供应商统一观测。

多供应商
OpenAI / Anthropic / Google 统一接口
缓存
响应缓存降低重复调用成本
限流
按 user / API key / 路径控制
回退
Provider fallback 自动切换
日志
统一签名、日志与分析
BEST PRACTICE
把所有外部模型收口到 AI Gateway  |  成本敏感做响应缓存  |  稳定性敏感配 fallback  |  租户型按 user 或 API key 限流  |  核心能力免费可用
12
GATEWAY ARCHITECTURE

AI Gateway 请求架构

应用/Worker 统一收口到 AI Gateway,按策略路由到不同供应商,日志与分析旁路记录。

App / Workers
AI Gateway
Provider A (OpenAI)
Provider B (Anthropic)
Provider C (Google)
Workers AI
Logs & Analytics & Cost Tracking
OpenAI 兼容接口
核心能力免费
Paid: 10M logs/gateway
13
Vector Store

Vectorize — 向量数据库

Cloudflare 原生向量层,与 Workers AI、R2、D1 深度集成。核心定位:存检索索引,而非原始大对象。

R2 Documents
Workers AI Embeddings
Vectorize Index
AI / RAG
14
Managed RAG

AI Search — 托管检索服务

开箱即用的 RAG:自动索引、chunking、混合检索、聊天接口。2026-04-16 起新实例含内置存储与向量索引。

Website / R2 / Upload
Indexing + Chunking
AI Search Index
Search / Chat
AI / RAG
15
Decision Framework

AI Search vs Vectorize

AI Search = 快速上线 RAG;Vectorize = 自定义索引与检索策略。

场景AI SearchVectorize
快速上线文档问答首选需自建 pipeline
自定义 metadata 检索受限完全可控
自定义索引分片托管可设计
多模态 embedding文本为主支持自定义
公开端点内置需 Workers 包装

推荐:先 AI Search 验证产品,后视需要沉到 Vectorize 自定义栈。

AI / Selection
16
Agent Runtime

Agents & Durable Objects

每个 Agent 实例自带 SQLite 状态、WebSocket 同步、休眠唤醒。Durable Objects 是底层强一致原语。

Agent Instance
WebSocket
SQLite State
+
Durable Object
AI / Agent
Part III

数据与异步地基

Pages / R2 / D1 / KV / Queues / Workflows / Pipelines

18
Data Layer

数据产品矩阵

AI 应用前端、存储与异步链路的核心组件。

Pages
前端/UI 部署
R2
对象存储 / 零 egress
R2 Catalog
Iceberg / Data Lake
D1
SQLite 结构化
KV
全局读缓存
Queues
异步消息解耦
Workflows
长流程编排
Hyperdrive
外部 DB 加速
Pipelines
流式入湖 ETL
Storage / Async
19
Architecture

数据链路架构

Pages 前端 → Workers 编排 → 多层存储与异步链路。

Pages (UI)
Workers (API)
D1
KV
Queues
Workflows
R2
Catalog
Storage / Flow
20
Training Data Lake

R2 + Data Lake 组合

训练场景最佳实践:R2 存原始数据,Catalog 做 Iceberg 目录,Pipelines 入湖,外部 GPU 训练从 R2 取数据。

R2 Raw Data
Pipelines ETL
Iceberg Catalog
External GPU
Storage / Training
NEW
Private Networking

Cloudflare Mesh — 后量子加密私有网络

原 WARP Connector,现为 Cloudflare One 私有网络组件。设备与服务器通过 Cloudflare 边缘网络互联,无需 VPN 或跳板机,内置后量子加密。

Linux Server
VM / Container
Cloudflare Global Edge
MacBook
iPhone
Mesh Nodes (warp-cli headless)  ·  Client Devices (warp-cli UI)  ·  Mesh IP: 100.96.0.0/12
后量子加密
内置 PQ 加密,面向未来的安全基线
VPN 替代
无需 VPN 设备,设备直连 + 零信任策略
Workers VPC 集成
Workers 通过 VPC 绑定直连私有服务
NEW
Comparison

Mesh vs Tunnel vs Tailscale

维度 Cloudflare Mesh Cloudflare Tunnel Tailscale
定位 私有网络互联 (VPN 替代) 安全发布内部服务 P2P Mesh VPN
流量方向 双向,任意节点互通 单向入站(外部→内部) 双向 P2P 直连
协议 TCP / UDP / ICMP HTTP/S, TCP, SSH, RDP WireGuard (内核级)
加密 后量子加密 ✦ TLS (标准) WireGuard (P2P 端到端)
流量路径 经 Cloudflare 边缘中转 经 Cloudflare 边缘中转 P2P 直连 (DERP 备用)
Split Tunnel 细粒度控制 ✦ 按路由规则 Exit Node 全有或全无
零信任集成 Gateway + Posture + Access ✦ Access + 策略引擎 ✦ ACL 仅
用 Mesh
跨云互联 · VPN 替代 · AI Agent 组网 · Workers VPC
用 Tunnel
对外发布 Web 服务 · SSH/RDP 代理 · 无需开放端口
用 Tailscale
个人 Homelab · 极简组网 · 真正 P2P 隐私 · 自托管 Headscale
Part IV

安全与访问控制

Cloudflare One / Access / Gateway / Turnstile / WAF

22
Zero Trust

Cloudflare One — 零信任平台

Access = 入站访问控制;Gateway = 出站流量治理。企业 AI 工具的安全前提。

Access (ZTNA)
入站身份与设备访问控制
内部 AI 控制台 / MCP / 向量后台
↓ 入站 ↓
Gateway (SWG)
出站 SWG 策略与 DLP
员工访问外部 LLM / Shadow AI
↑ 出站 ↑
Access
Tunnel
Gateway
External LLM
Security / Zero Trust
23
Layered Defense

入口防护层级

AI API 暴露面的分层防御最佳实践:从人机验证到 DDoS 兜底。

1
Turnstile
人机验证 / 表单防刷 / 公开 API 防滥用
2
WAF
应用层规则 / 托管规则 / rate limit
3
API Shield
API 发现 / Schema 校验 / BOLA 防护
4
DDoS Protection
L3/4/7 自动缓解 / 公网入口兜底
Security / Defense
24
Security Flow

入口架构链路

请求从浏览器到 API 的完整安全过滤链路。

Browser
Turnstile
API Endpoint
WAF
API Shield
DDoS
Workers / AI API
Security / Architecture
Part IV

04 交付、媒体与网络

CDN / Load Balancing / Argo / Images / Stream / Spectrum / Magic Transit

26
Global Delivery

CDN/Cache + Load Balancing + Argo

三者组合决定 AI API 的全球交付质量:CDN 缓存静态与重复结果,LB 调度多区推理后端,Argo 优化跨区不可缓存请求。

Global Users
Cache / CDN
Argo Smart Routing
Load Balancing
Region A — Model / Origin
Region B — Model / Origin
CDN/Cache — 静态前端、公开文档块、重复检索结果缓存,降低源站压力
Load Balancing — 多区域推理后端健康调度与故障切换(付费附加)
Argo Smart Routing — 智能路径优化,跨区域请求平均加速约 30%
Delivery / Network
27
Media & Network

媒体处理与网络接入

Images/Stream 负责多模态与视频分发;Spectrum/Magic Transit 负责非 HTTP 协议与企业级网络防护。

Images
边缘图像变换:缩放、裁切、格式转换。多模态输入前预处理层,减少回源与重复转码。
免费 5,000 次变换/月
Stream
视频上传、编码、播放一体化。适合培训视频、AI 生成视频与直播回放分发。
$5/1,000 分钟存储
Spectrum
TCP/UDP 代理与四层防护。保护 MQTT 设备流量、SSH/Git 运维入口与私有推理协议。
协议范围随计划变化
Magic Transit
网络级 DDoS 防护与加速。保护自建 GPU 集群、IDC 与混合云公网前缀。
Enterprise-only
Media / Network
Part V

05 推荐组合与深度分析

推荐架构 / 选型决策 / 成本与合规考量

29
SCENARIO MATRIX

AI 场景 × 约束条件 选型矩阵

AI 类型 推荐组合 预算敏感 低延迟 高合规
模型训练 R2 + Catalog + Pipelines + 外部GPU 仅 R2,不上 Catalog 训练不看边缘时延 Data Localization + Access/Tunnel
批量推理 Workers + Queues + Workflows + R2 + D1 先 Queues,后补 Workflows Hyperdrive 连外部 DB Gateway/Access + R2 私桶
实时推理 Workers + AI Gateway + Workers AI/外部 + KV 小模型 + 强缓存 Workers AI 就近 + Argo Access + WAF + Turnstile
边缘推理 Workers + Workers AI + Durable Objects 减少 DO 状态管理 小模型 + embedding 优先 Turnstile/WAF + Spectrum
数据采集 Turnstile + Workers + Queues + Pipelines + R2 R2 + Queues 即可 高吞吐用 Pipelines Gateway/DLP + Data Localization
身份控制 Cloudflare One + Access + Gateway + Tunnel 从 Access/One Client 起步 不走传统 VPN 回传 DLP + 日志 + 设备姿态 + Tunnel
该约束下的差异化优势项
30
DEFAULT ARCHITECTURE

最均衡的 AI SaaS 默认架构

开发速度 / 可观测性 / 成本控制 / 扩展性 四维最优
Turnstile
+
WAF
Pages
(前端)
Workers
(API)
AI Gateway
Workers AI
/
External Model
Workers ↓ 数据层
Vectorize
+ AI Search
R2
D1
KV cache
AI 核心层
数据存储层
安全入口层
外部/缓存
31
ENTERPRISE AI

企业 AI 架构:双向管控模型

Cloudflare 独特优势:同时控制入站访问与出站治理
Access
One Client
Tunnel
— Zero Trust 边界 —
INTERNAL FLOW
员工
Access
Tunnel
内部 AI 应用
AI Gateway
Workers AI
EXTERNAL FLOW
员工
Gateway
DLP
External LLM
Cloudflare 独特定位:同一平台管控「谁能进」与「什么能出」
32
ORIGINAL ANALYSIS

独立优势:为什么 Cloudflare 不可替代

Zero Egress 护城河
R2 零出站 + 全球边缘 = AWS/GCP 无法复制的成本优势。当你的 AI 产出是数据而非网页时,这不仅是省钱,是商业模式级差异。
基础设施级模型治理
AI Gateway 在网络层解决多供应商路由、缓存、回退、限流与统一观测。LangChain 做不到,因为它不在流量路径上。
原生绑定消除复杂度
Workers → R2 / Vectorize / D1 / KV 无需 SDK 配置、网络打通或连接池管理。一个 env binding 搞定所有绑定,这是 Vercel / AWS Lambda 没有的开发体验。
5ms 冷启动
Lambda 100ms+ 冷启动无法胜任实时推理编排的「快闪」模式。Workers 的 V8 isolate 让每次请求都能以微秒级响应,这对 AI Agent 链式调用是数量级优势。
有状态 Agent 无需 Redis
Durable Objects + Agents = 原生单实例状态管理。每个 Agent 自带 SQLite,无需外部状态层,无需序列化/反序列化,WebSocket 休眠唤醒一步到位。
33
MY ANALYSIS

不足与风险:清醒认识边界

无原生 GPU 训练
始终依赖外部训练平台
模型选择滞后
Workers AI 模型落后 HuggingFace 数月
供应商锁定风险
原生绑定虽方便,迁移需重写数据层
成本预测困难
Free tier 限制导致生产成本难估算
向量数据库不够成熟
Vectorize / AI Search 功能不如 Pinecone / Weaviate
企业功能昂贵
API Shield / Magic Transit / DLP 需 Enterprise 计划
34
STRATEGIC RECOMMENDATION

战略建议:何时用、何时不用

推荐场景
MVP AI 产品
全球 SaaS 低成本分发
企业内部 AI 工具
多租户 Agent 应用
谨慎场景
重度 ML 训练
需要最新模型
高吞吐量推理
复杂 OLAP 分析
推荐策略
混合架构
CF 做边缘 / API / 存储层
专业平台做训练 / 推理
逐步扩大 CF 份额
Cloudflare Workers
Training / Inference Platform
35
Q & A
谢谢 / Questions
Cloudflare AI 产品矩阵深度调研 · 2026