尝试cf配优选不理想
🌐 Cloudflare for SaaS 域名优选全套实战笔记
一、 核心概念与工作原理
1. DNS 与 Cloudflare for SaaS 的区别
- DNS(域名系统): 互联网的“指路牌”。只负责把域名翻译成 IP 地址,网站的实际流量不经过 DNS 服务器。
- Cloudflare for SaaS(自定义主机名): 官方提供的“流量接盘侠”功能。它允许未托管在 Cloudflare 账户下的外部域名(如在腾讯云解析的域名),直接借用 Cloudflare 的 CDN 加速、SSL 安全证书和防护网络。
2. 架构协同工作原理
通过这套架构,你可以实现用国内 DNS 的速度来“指路”,用 CF SaaS 的能力来“护航和加速”:
- 用户发起请求: 访问
www.baid.site。 - 腾讯云 EdgeOne(DNS 侧)指路: 根据用户的运营商(电信/联通/移动),丢给用户一个当前最快的 Cloudflare 优选 IP。
- Cloudflare 节点接管流量: 流量到达优选 IP,CF 识别到该域名已在 SaaS 后台绑定,于是为流量套上 SSL 加密。
- 内部回源到 GCP: Cloudflare 内部网络将流量转发给回源域名
origin.7757.xyz,最终安全地送达 Google 云服务器(GCP)。
二、 核心资产暴露与安全状态
在全套配置完成后,各大资产在互联网上的隐私状态如下:
| 资产名称 | 角色 | 暴露状态 | 安全解析 |
|---|---|---|---|
baid.site | 最终业务域名 | 📢 完全公开 | 必须公开。但外界只能查到 Cloudflare 优选节点的 IP,源站很安全。 |
7757.xyz | 托管在 CF 的回源域名 | 🙈 基本隐藏 | 常规手段查不到。仅在极少数高级安全工具的“证书透明度日志(CT Logs)”中可能被关联。 |
| GCP 真实 IP | 真实服务器 IP | 🔒 完美隐藏 | 绝对看不到。 流量全部由 CF 挡在前面。 |
⚠️ 核心安全防线: > 1. 托管在 CF 的
7757.xyz账户下,所有指向 GCP 真实 IP 的 A 记录,必须时刻保持橙色小黄云(Proxy)开启状态。如果关闭(变成灰色),GCP 的真实 IP 将一秒暴露。
- 最稳妥的安全加固: 在 GCP 防火墙中设置规则,只允许来自 Cloudflare 官方 IP 段的流量访问 80/443 端口,拒绝所有其他公网 IP 直连。
三、 全套配置实战步骤与避坑指南
步骤 1:CF 侧配置回源域名
- 在 Cloudflare 账户下添加域名
7757.xyz。 - 在 DNS 记录里添加一个子域名(例如
origin.7757.xyz),A 记录指向你的 GCP 真实 IP,并开启小黄云。 - 进入 SSL/TLS -> 自定义主机名 (Custom Hostnames),点击 回源路由 (Fallback Origin),填入
origin.7757.xyz并保存(等待状态变为 Active)。
步骤 2:CF 侧绑定业务域名(TXT 验证)
- 在自定义主机名列表里,点击 添加自定义主机名。
- 核心区别与建议: CF 验证精确到子域名。为了让带
www和不带www的域名都能加速,需要添加两次: - 第一次填:
www.baid.site - 第二次填:
baid.site - 提交后,列表会显示“待验证(Pending)”。展开详情,找到 CF 提供的两条 TXT 验证记录(主机名预验证、SSL 证书验证)的名称和值。
步骤 3:腾讯云 EdgeOne 侧添加 TXT 验证(关键卡点)
- 登录腾讯云 EdgeOne,进入该域名的 DNS 记录 管理(注意:只需使用 DNS 解析功能,切勿在 EdgeOne 的“域名管理”里添加该域名开启腾讯云自家的 CDN 加速!)。
- 添加两条 TXT 记录。
- ⚠️ 铁律一(格式避坑): 主机记录(Host)不要直接整段复制。
- 如果 CF 给的名称是
_cf-custom-hostname.www.baid.site,腾讯云主机记录只能填_cf-custom-hostname.www(去掉后面的域名后缀)。 - 如果配置的是不带 www 的根域名
baid.site,则只填_cf-custom-hostname。 - ⚠️ 铁律二(线路避坑): 线路类型必须选择“默认”,绝对不能选“全球境外”。必须保证全球任何地方的 CF 验证机器人都能无死角查到这条记录。
- 卡死排查: 如果提前配置了
www的 CNAME 记录,可能会劫持证书验证请求。若卡在 Pending,请先暂停优选的 CNAME 记录,等 CF 后台手动点击刷新变绿(Active)后,再重新开启 CNAME。
步骤 4:配置国内分线路优选(大功告成)
当 CF 侧的主机名和证书状态全部变绿(Active)后,在腾讯云 EdgeOne 侧配置最终的流量引导记录。
方案选择一:填固定 IP(A 记录) vs 填优选域名(CNAME)
- 不推荐填固定 IP: Cloudflare 官方 IP 经常因被滥用或断流而变化。填死 IP 极易导致网站在没有任何通知的情况下突然瘫痪,人工维护成本极高。
- 强烈推荐填优选域名(CNAME): 虽多了一次 DNS 解析(性能损耗仅 2-5ms,可忽略不计),但优选域名后端有大数据和脚本 24 小时动态过滤死 IP、更换健康节点,能保证网站永远在线。
最终 EdgeOne DNS 路由配置表(示例):
在 EdgeOne 侧,为 www(或根域名 @)配置分线路流向:
| 主机记录 | 记录类型 | 线路类型(分流) | 记录值(示例) | 作用 |
|---|---|---|---|---|
www | CNAME | 中国电信 | 大厂或公共电信优选 CNAME | 电信用户走最优节点 |
www | CNAME | 中国联通 | 大厂或公共联通优选 CNAME | 联通用户走最优节点 |
www | CNAME | 中国移动 | 大厂或公共移动优选 CNAME | 移动用户走最优节点 |
www | CNAME | 全球境外 | origin.7757.xyz | 境外用户不走国内优选,直连海外 CF |
www | CNAME | 默认 | 公共公共兜底 CNAME | 兜底线路 |
ℹ️ 网络测试小常识: Cloudflare 官方节点为了防 DDoS 攻击,默认禁用了 Ping(ICMP协议)。配置完优选后 Ping 不通是正常现象。请使用 **Windows PowerShell 运行Test-NetConnection 域名 -Port 443**或使用 Mac/Linux 运行nc -zv 域名 443来测试 443 端口的真实连通性和 TCP 延迟。
四、 高阶玩转:香橙派(Orange Pi)本地自动化优选
由于公开的公共优选域名容易失效,最完美的“终极毕业方案”是利用你本地 24 小时在线的香橙派(ARM 架构)作为网络哨兵,实现“全自动动态优选”。
1. 为什么不能在 GCP(服务器端)上跑测速?
CloudflareSpeedTest 测的是“从运行脚本的机器出发到 CF 节点的速度”。
- 在 GCP 上运行,测出的是 GCP 机房到 CF 机房的内网速度(通常为 0ms),对国内用户毫无参考价值。
- 在本地香橙派上运行,代表的是国内真实客户端的宽带环境,测出来的 IP 才是真正对你国内网络最优的。
2. 香橙派 Podman 部署命令
在香橙派上,必须使用支持 ARM64 架构的多架构镜像,否则会触发 exec format error 架构不兼容报错。
单次交互测速命令(运行完自动销毁容器,不占空间):
podman run -it --rm --net=host docker.io/shadowscatcher/cloudflare-speedtest:latest
注:--net=host 必须加,确保测出的是香橙派主机的真实网络延迟,而非容器虚拟网卡延迟。
将测速结果保存到香橙派本地目录:
podman run -it --rm --net=host \
-v /home/pi/cfst_result:/app/result \
docker.io/shadowscatcher/cloudflare-speedtest:latest -o /app/result/result.csv
3. 全自动化落地思路
- 在香橙派上编写一个简单的 Shell 或 Python 脚本。
- 脚本第一步通过上述 Podman 命令生成
result.csv。 - 脚本第二步提取出文件中排在第一位(最快、最健康)的 IP 地址。
- 脚本第三步利用
curl调用腾讯云/EdgeOne 的 API 接口,将www.baid.site对应的 A 记录值刷新为该最优 IP。 - 将脚本挂载到系统的定时任务(
crontab -e),设定每天凌晨 4 点全自动执行。 - 最终效果: 彻底告别第三方公共优选域名,拥有专属于你个人宽带网络的、永不失效的极速动态优选通道。
五、 账户合规与防风控红线
Cloudflare for SaaS 是官方正式下放的合规功能(每个免费账户有 100 个自定义域名额度),只要满足以下条件,绝对不会被封号或扣费:
- 支付卡必须干净: 激活 SaaS 功能时绑定的双币信用卡或 PayPal 必须是正规个人的,切勿使用高风险、透支的虚拟卡。
- 严禁滥用 API: 如果使用全自动脚本,测速频率切勿过高(建议一小时或一天一次)。过于激进的高并发接口调用会被 CF 的防 DDOS 系统误判为恶意攻击而导致拉黑。
- 内容必须合规: 小黄云开启状态下,流量会流经 CF 和 GCP。网站内容绝不能涉及色情、诈骗、侵权投诉等违规违法内容。