Cloudflare Introduce FL2: De Nieuwe Generatie van Netwerk Orkestratie

Cloudflare heeft een van de meest diepgaande herontwerpen in zijn geschiedenis voltooid: FL2, een nieuwe implementatie van de “hersenen” die de beveiliging en prestaties in zijn wereldwijde netwerk coördineert. Gebouwd in Rust op het interne Oxy-framework, vervangt FL2 geleidelijk de historische FL1 (NGINX/OpenResty/LuaJIT). De resultaten zijn indrukwekkend: -10 ms in de gemiddelde responstijd en een +25% verbetering in onafhankelijke prestatietests. Bovendien vermindert het de CPU– en geheugengebruik tot minder dan de helft, versterkt het de beveiliging door ontwerp en verkort het de tijd voor het uitrollen van nieuwe functies.

Waarom de “hersenen” van het netwerk herschrijven?

Gedurende 15 jaar heeft FL1 logica voor beveiliging en versnelling opgebouwd (WAF, DDoS, regels, routing naar Workers en R2…). Deze flexibiliteit had echter toenemende kosten: complexe koppelingen, stijgende latentie bij het toevoegen van producten en delicate onderhoud door subtiele bugs in LuaJIT. Het diagnose was duidelijk: om nieuwe producten te ondersteunen zonder een latentieprijs te betalen voor elke noviteit, was het nodig om de basis te heroverwegen.

FL2: Rust + Oxy + Strikte Contractmodulen

Rust in het hart. Rust biedt geheugenbeveiliging en prestaties dicht bij C, met controles bij de compilatie die hele klassen van fouten elimineren (overloop, data races). Bovenop deze basis biedt Oxy – het interne high-performance proxy-framework – herbruikbare “leidingen”: telemetrie, vloeiende herladen, dynamische configuratie en extensibiliteit van L3 naar L7.

Modulaire architectuur. Alle productlogica woont in modulen met gedefinieerde fasen, getypte invoer/uitvoer en een gouden regel: modules voeren geen directe I/O uit. Als een module de uitvoer van een andere nodig heeft, declareert deze dit expliciet. De compiler valideert de contracten en voorkomt impliciete afhankelijkheden. Resultaat: minder onnodig werk, minder latentie en minder regressies bij het introduceren van een nieuw product.

Migratie zonder onderbreking: Rust binnen FL1, massale tests en terugvalmechanismen

• Rust-modules in FL1. Om niet twee versies per product te onderhouden, heeft Cloudflare het mogelijk gemaakt om Rust-modules binnen OpenResty uit te voeren. Zo konden teams logica migreren zonder leveringen te stoppen.
• End-to-end tests op grote schaal. Het systeem Flamingo voert duizenden gelijktijdige tests uit tegen preprod en prod, waarbij het gedrag, hulpbronnenverbruik en SLIs van FL1 en FL2 worden vergeleken.
• Veiligheidsklep. Als FL2 iets ontvangt dat het nog niet aankan, wordt de stroom teruggegeven aan FL1 (een netwerklevel fallback). Dit vermindert het risico terwijl het percentage verkeer in FL2 toeneemt en maakt vergelijkingen mogelijk om functionele gelijkwaardigheid te waarborgen.

Wat betekenen de cijfers (bovendien de metriek)

• -10 ms in de gemiddelde latentie en afgenomen pieken in p95/p99 vertalen zich naar betere conversie in ecommerce, minder afhaak in media en minder jank in realtime-apps.
• < ½ CPU en geheugen creëren ruimte voor nieuwe functies zonder latentie te straffen.
• Levercycli van 48 uur (voorheen weken) stellen Cloudflare in staat om te reageren op strategische klanten en producten zonder organisatorische frictie aan te passen.

Conclusie

FL2 is niet simpelweg “Rust omwille van Rust”. Het is een combinatie van architectuur, proces en operatie die drie doelen dient: minder latentie, meer veiligheid en snellere levering. Een modulair “brein” dat alleen het noodzakelijke uitvoert, proxies die herstarten zonder sessies te onderbreken en een netwerk dat zichzelf meet om te beslissen waar te investeren, verklaren de sprong: -10 ms in de gemiddelde latentie, +25% prestatieverbetering en leiderschap in bijna de helft van de meest relevante netwerken wereldwijd.

Het is nu aan Cloudflare om de gebieden waar ze niet de nummer één zijn te identificeren, te verbeteren en te rapporteren.