CDN 协议缓存语义工程实战：Cache-Control、ETag、Vary 与边缘一致性

很多团队把 Cache-Control、ETag、Vary 当作“HTTP 基础知识”，上线时只要配置一个缓存时间就算完成；真正进入多地域、多业务、频繁发布后，才发现这些字段决定了 CDN 的一致性成本、回源峰值、发布风险和安全边界。这篇文档不讲入门概念，而是把协议语义映射成可执行工程模型。

1. 从 RFC 语义到边缘平台行为

RFC 9110、RFC 9111 定义了 HTTP 语义与缓存规则，但在 CDN 实战里，你看到的永远不是“纯协议”，而是“协议 + 平台能力 + 业务约束”的叠加结果。例如同样是 s-maxage=600，如果平台启用了 tiered cache 与 shield，回源曲线会与单层边缘缓存完全不同；如果平台支持 stale-while-revalidate，高峰期的延迟抖动也会大幅收敛。

可以把缓存体系拆成三层行为模型：

协议层：请求与响应头字段定义了可缓存性、可重验证性、变体维度。
平台层：CDN 的缓存键规则、分层拓扑、Purge API、日志字段决定运行形态。
业务层：发布节奏、动态化程度、个性化比例、SLO 与成本目标决定策略边界。

工程上最常见失误是只配置协议字段，不定义平台行为与业务门禁。结果是“看起来遵守 RFC，线上仍然反复抖动”。

2. Cache-Control 参数矩阵与缓存键收敛

2.1 参数不是越多越好，而是最小充分

对于可共享静态资源，推荐基线是：

Cache-Control: public, max-age=31536000, immutable
文件名强版本化（哈希或构建号），避免“长期缓存 + 频繁覆盖”冲突。

对于半动态内容（列表页、聚合页）推荐：

Cache-Control: public, max-age=60, s-maxage=300, stale-while-revalidate=30, stale-if-error=600
优先让 CDN 承担抖动吸收，浏览器端可更保守。

对于强一致接口：

Cache-Control: no-store 或 private, no-cache
结合边缘鉴权，不让共享缓存接触敏感响应。

2.2 缓存键治理先做减法

缓存命中率塌陷的第一元凶往往不是 TTL，而是缓存键基数失控。推荐把缓存键分成三层：

主键：scheme + host + path
变体键：只保留影响响应内容的少量维度，例如 accept-encoding、device-class
禁入维度：utm_*、fbclid、traceId 等追踪参数全部归一或忽略

建议在 CDN 侧建立“参数白名单策略”而不是黑名单。黑名单维护会持续漏项，白名单虽然前期成本高，但长期稳定性显著更好。

2.3 Vary 要服务正确性，不要放大基数

Vary 的本质是声明变体边界。问题在于很多实现直接 Vary: User-Agent 或 Vary: Cookie，导致对象空间爆炸。实践里应改成“先标准化再 Vary”：

先在边缘把 UA 归一为设备族（mobile/desktop/tablet）
再 Vary: X-Device-Class
Cookie 只抽取业务必要位，转为小集合 header

这一步可以显著提升 Byte Hit Ratio，同时避免把个性化数据误入共享缓存。

3. ETag 与条件请求：把重验证变成受控回源

ETag 和 If-None-Match 不是“节省几个字节”的技巧，而是回源保护核心。当 TTL 过期后，如果所有边缘节点同时无条件回源，源站会被瞬时放大。有了重验证，边缘可以在对象未变化时仅拿到 304 Not Modified，显著降低回源字节与源站 CPU。

推荐的 ETag 设计准则：

强 ETag 仅用于字节级严格一致对象，弱 ETag 用于允许语义一致的聚合资源。
ETag 生成必须与发布流水线绑定，不允许应用层“临时拼接随机值”。
跨区域多源站时，确保同一版本 ETag 一致，避免节点间反复 200 回源。

条件请求路径建议显式建模：

flowchart TD
    A[Client Request] --> B[Edge Cache Lookup]
    B -->|HIT fresh| C[Serve 200 from Edge]
    B -->|STALE| D[Shield Revalidation]
    D --> E{If-None-Match / If-Modified-Since}
    E -->|304| F[Refresh TTL + Serve Cached Body]
    E -->|200 New Body| G[Replace Object + Propagate]
    E -->|5xx/Timeout| H[Serve stale-if-error + Circuit Breaker]

这个流程里的关键不是图，而是约束：

STALE 不直接打源，先走 shield 合并重验证。
对同一键启用 request collapsing，避免 N 个并发请求同时回源。
失败时优先 stale-if-error 保服务可用，再进入熔断与降级。

4. 失效治理：从“手工清缓存”升级为发布系统能力

失效治理最怕两个极端：一个是“几乎不失效”，导致陈旧内容事故；另一个是“频繁全量清空”，导致命中率瞬时归零和源站雪崩。成熟做法是建立分级失效策略：

精准失效：按 URL、前缀、标签（Cache-Tag/Surrogate-Key）执行。
灰度失效：先区域或业务线灰度，再全局扩散。
兜底失效：仅在重大事故时使用全量清理，并绑定回源保护开关。

实施要点：

发布系统强制要求“失效意图”字段：为何失效、影响对象、回滚方案。
Purge API 调用做幂等与限速，避免发布脚本重试触发次生风暴。
失效动作入审计日志，支持按变更单追踪。

推荐把失效分解成“控制平面任务”，而不是应用代码临时调用 API。这样才能把失效治理纳入发布门禁、审计和容量评估。

5. 回源保护：协议字段之外的生命线

当缓存命中降低、上游故障或大促发布叠加时，回源保护决定系统是否存活。核心机制至少包含：

Shield：边缘先汇聚到上级缓存，再统一回源。
Collapsed Forwarding：同键并发请求只允许一个回源，其余等待复用。
连接与超时治理：分级超时、重试上限、快速失败。
异常兜底：stale-if-error、静态降级页、核心 API 降级响应。

建议把“回源预算”写成硬指标，例如：

每分钟最大回源请求数
每分钟最大回源字节
单键并发回源上限

当预算触发，平台自动执行限流、降级或延后失效任务，而不是等源站告警后人工救火。

6. 成本模型：把缓存语义翻译成账单语言

很多团队只在月底看 CDN 账单，难以定位成本驱动项。应改为日级成本归因：

总成本可近似拆成：

CDN 费用 = 边缘请求费 + 边缘出流量费 + 回源流量/请求费 + 边缘计算费 + 日志与安全附加费

缓存语义直接影响其中多项：

s-maxage 提升通常降低回源成本，但可能增加陈旧风险。
高基数 Vary 会拉低命中率，放大边缘请求与回源开销。
失效频率过高会在发布时制造“短时高成本脉冲”。

建议建立三个成本控制环：

设计环：上线前评估 TTL、键基数、失效频次对成本的理论影响。
运行环：按业务线监控命中率、回源比与单位请求成本。
复盘环：大促或事故后复盘成本异常点，形成参数调整模板。

7. 观测体系：用统一字段打通命中率与一致性

要诊断 CDN 缓存问题，必须同时观测请求路径、缓存状态、源站响应和变更事件。推荐统一日志字段：

基础：timestamp, request_id, trace_id, host, path, query_norm, method
缓存：cache_status, cache_key, age, revalidate, tier, shield_pop
回源：origin_status, origin_rtt, origin_bytes, retry_count
治理：purge_id, deploy_id, rule_version, rollback_flag

关键 SLI 建议：

Request Hit Ratio / Byte Hit Ratio（按业务线、区域、资源类型分桶）
Revalidation Success Rate（304 比例）
Purge Convergence Time（失效收敛时长）
Origin Protection Index（回源请求与回源字节是否在预算内）
Cost per 10k Requests（按日追踪）

可视化上要避免只看平均值。至少同时看 P50/P95/P99 延迟，并叠加 cache status 分布，才能识别“命中率看似正常但尾延迟恶化”的情况。

8. 安全边界：缓存语义也是安全策略的一部分

CDN 缓存错误常常演化为安全事故，典型如缓存投毒、缓存欺骗与跨租户泄露。防护重点：

动态敏感接口默认 no-store，不允许“先缓存后补救”。
对可缓存 HTML 强制规范化 query，避免参数污染键空间。
开启缓存欺骗防护规则，确保路径后缀与内容类型一致。
对边缘重写/计算逻辑做最小权限原则，避免任意 header 注入。

协议层的每个“方便优化”的改动，都要做安全回归测试。性能收益若以安全边界削弱为代价，长期一定得不偿失。

9. 上线与回滚清单

建议把以下检查写进发布流水线门禁：

缓存策略变更必须附带影响对象规模与回源预算评估。
新增 Vary 或缓存键维度，必须通过高基数风险评估。
Purge 任务必须分批并可中止。
上线后 30 分钟内自动比对命中率、回源比、错误率与成本偏差。
超过阈值自动触发回滚到上一个规则版本。

这套门禁是把“专家经验”沉淀为“系统能力”的关键一步。

深度附录：协议缓存语义运维议题库

议题1：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先开启Shield请求合并，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点确认key_version灰度范围；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后追加容量预案并设定触发阈值。

议题2：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先下调非核心路径缓存自由度，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点验证请求合并命中比例；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后把临时规则固化为标准模板。

议题3：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先提升stale-if-error兜底时长，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点比对区域路由切换次数；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后生成发布复盘单并锁定改进行动。

议题4：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先对可疑参数做归一化拒绝，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点核查日志字段完整性；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后追加容量预案并设定触发阈值。

议题5：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先提升关键路径日志采样，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点比对cache_status分布变化；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后把临时规则固化为标准模板。

议题6：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先限制边缘函数外部依赖，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点确认key_version灰度范围；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后生成发布复盘单并锁定改进行动。

议题7：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先重建发布审批与审计链路，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点验证请求合并命中比例；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后追加容量预案并设定触发阈值。

议题8：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先冻结高风险失效任务，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点比对区域路由切换次数；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后把临时规则固化为标准模板。

议题9：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先提高条件请求重验证比例，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点核查日志字段完整性；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后生成发布复盘单并锁定改进行动。

议题10：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先按区域分批发布策略，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点比对cache_status分布变化；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后追加容量预案并设定触发阈值。

议题11：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先启用失效预算强门禁，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点确认key_version灰度范围；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后把临时规则固化为标准模板。

议题12：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先切换到预置降级模板，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点验证请求合并命中比例；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后生成发布复盘单并锁定改进行动。

议题13：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先核对规则版本并回退，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点比对区域路由切换次数；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后追加容量预案并设定触发阈值。

议题14：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先按业务域拆分缓存命名空间，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点核查日志字段完整性；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后把临时规则固化为标准模板。

议题15：协议缓存语义在

答案：围绕Cache-Control 与 ETag 重验证，先先收敛缓存键白名单，再按『缓存键、失效治理、回源保护、成本模型、观测体系』五段式逐项核对，重点比对cache_status分布变化；若15分钟内指标未回稳，则立即触发灰度回退与预算限流，并要求业务、平台、运维在同一工单记录假设、执行证据和收敛时限，最后生成发布复盘单并锁定改进行动。

1. 从 RFC 语义到边缘平台行为

2. Cache-Control 参数矩阵与缓存键收敛

2.1 参数不是越多越好，而是最小充分

2.2 缓存键治理先做减法

2.3 Vary 要服务正确性，不要放大基数

3. ETag 与条件请求：把重验证变成受控回源

4. 失效治理：从“手工清缓存”升级为发布系统能力

5. 回源保护：协议字段之外的生命线

6. 成本模型：把缓存语义翻译成账单语言

7. 观测体系：用统一字段打通命中率与一致性

8. 安全边界：缓存语义也是安全策略的一部分

9. 上线与回滚清单

深度附录：协议缓存语义运维议题库

议题1：协议缓存语义在

议题2：协议缓存语义在

议题3：协议缓存语义在

议题4：协议缓存语义在

议题5：协议缓存语义在

议题6：协议缓存语义在

议题7：协议缓存语义在

议题8：协议缓存语义在

议题9：协议缓存语义在

议题10：协议缓存语义在

议题11：协议缓存语义在

议题12：协议缓存语义在

议题13：协议缓存语义在

议题14：协议缓存语义在

议题15：协议缓存语义在

议题16：协议缓存语义在

议题17：协议缓存语义在

议题18：协议缓存语义在

议题19：协议缓存语义在

议题20：协议缓存语义在

议题21：协议缓存语义在

议题22：协议缓存语义在

议题23：协议缓存语义在

议题24：协议缓存语义在

议题25：协议缓存语义在

议题26：协议缓存语义在

议题27：协议缓存语义在

议题28：协议缓存语义在

议题29：协议缓存语义在

议题30：协议缓存语义在

议题31：协议缓存语义在

议题32：协议缓存语义在

议题33：协议缓存语义在

议题34：协议缓存语义在

议题35：协议缓存语义在

议题36：协议缓存语义在

议题37：协议缓存语义在

议题38：协议缓存语义在

议题39：协议缓存语义在

议题40：协议缓存语义在

议题41：协议缓存语义在

议题42：协议缓存语义在

议题43：协议缓存语义在

议题44：协议缓存语义在

议题45：协议缓存语义在