全球主机交流论坛

标题: 网站使用CloudFlare SAAS 优选教程 [打印本页]
作者: btpanel    时间: 2024-3-2 19:28
标题: 网站使用CloudFlare SAAS 优选教程
本帖最后由 btpanel 于 2024-3-15 20:30 编辑

简单介绍
CloudFlare SAAS,简单来说是为了给自助建站类似的网站,而提供的用户自定义域名接入的功能。
比如您做一个系统,可以给用户开通分站等功能,您希望通过api的方式将您的用户自己的域名解析到CloudFlare当中,而不是直接解析到源站。
考虑到本文章是为了让大家使用自选IP,因此在思路上将不会以上述分站的逻辑来解释说明。

风险说明
在loc有用户反馈,公共cname可能会将搜索引擎蜘蛛线路解析到其他服务器来劫持蜘蛛。
1.如果您的DNS支持,建议将搜索引擎线路,修改为您的网站源站或者其他IP地址。
2.使用宝塔cf2dns插件更新CloudFlare优选IP https://www.baota.me/post-437.html,只会更新移动联通电信三网线路。

其他说明
由于CloudFlare官方IP是泛播路由,意味着同一个IP在不同地区不同运营商所链接的机房是不同的。
因此公共优选并不适合非网站用途,如果需要建议使用CloudflareSpeedTest项目自行测试本地最优的IP地址。
完整文章一共写了多篇,本帖子删减了一些,如果需要更加完整的教程请访问以下链接获取。
https://www.baota.me/tag/cloudflare.html
创作不易,转载请留链接,感谢支持。

准备事项
CloudFlare账户:
注册不难就不说了。不过需要贝宝以及海外银行卡认证来开通CloudFlare SAAS(自定义主机名)功能。


网站域名:
用于建站并使用自选IP的域名,并且该域名的DNS解析服务器不能使用CloudFlare,因为严格来讲CloudFlare是支持DNS解析的CDN服务,您使用该DNS解析会造成CDN配置冲突。
请注意如果你使用www或者@主机名做站,您应该理解为这是两个网站域名,如www.youname.com、youname.com。
文章示例中会使用web.baota.me,域名在华为云解析。

回源域名:
该域名NS将被CloudFlare接管,因此无法用于自选IP等用途。
如果您要接入的网站域名较多,请尽可能的选择长久使用的域名,而不是年抛域名。
不然年抛域名到期后需要耗费很多时间用来迁移域名。
可以使用一些免费域名如eu.org,或其他比较低价的域名如.free.hr、6位数字.xyz,需要注意不是所有二级域名都支持ns接入到CloudFlare的。可以在下面文章中查看并获取其他后缀的域名。
https://www.baota.me/post-410.html
本文章将使用在dash.gacjie.cn注册的baota.free.hr域名。

回源域名NS接入到CloudFlare
如果您的回源域名已经NS添加到CloudFlare,此步可以跳过。
1.将回源域名(baota.free.hr)添加到CloudFlare,应该不难就不一步一步的写了。
2.复制ns服务器信息

3.1.将CF提供的ns服务器信息更新到域名那边

3.2.如果你没有域名也可以直接注册


网站域名的顶级域名解析到非CF的DNS域名解析系统
这里就不详细说明了,更换ns服务器跟回源域名NS接入到CloudFlare差不多。

回源域名创建回退源地址

1.source可以是@也可以是任意的子域名前缀,但我比较建议使用子域名创建。
2.111.111.111.111是你的网站源服务器,您可以改为您的源站IP地址。
3.代理状态(小云朵),请务必开启,如果关闭您后续添加在自定义主机名里面的网站域名将全部回源。

自定义主机名添加回退源地址

source.baota.free.hr是上一步创建的回退源地址,请改为您创建的域名。

自定义主机名添加网站域名
1.确保回退源已经生效,然后点击右上角的添加自定义主机名。

2.填写您的网站域名,这里的web.baota.me是示例域名,您可能要添加www.youname.com、youname.com或者其他的二级域名。

3.复制自定义主机名的 DCV 委派提供的信息用来下一步的域名验证。

4.到您的网站域名NS解析服务商,添加DCV 委派验证记录。


演示截图配置的网站为web.baota.me。
主机名为_acme-challenge.web值为web.baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
如果配置的网站为baota.me。
主机名为_acme-challenge值为baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
如果配置的网站为www.baota.me。
主机名为_acme-challenge.www值为www.baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
以上只是范例,实际操作时请改为您自己的DCV 委派验证记录。

5.添加网站域名的解析记录指向回退源

6.使用ITDOG访问一次网站域名

主机名一共有两种验证方式
预验证:即txt或者http验证方式,但需要等待一段时间的Cloudflare官方扫描。
实时验证:即将主机名正确的cname到回退源地址。
本教程使用实时验证方式。考虑到dns解析缓存,为了加快验证,因此用测速工具来完成正常解析请求。
7.正常情况下,刷新一下CloudFlare自定义主机名页面,应该已经完成验证了,如果没有可能要等待一段时间,或者需要检查上述配置是否出错。

8.补一张图用于解析配置检查


挑选优选域名
由于CNAME地址会有被污染、域名所有者不维护等情况,为了方便更新,该列表会单独一个页面展示。
本文章将使用cloudflare.182682.xyz域名来做示例优选域名。
1.CloudFlare公共优选Cname域名列表
https://www.baota.me/post-411.html
经过一段时间的观察,目前比较推荐使用以下优选域名。
yx.887141.xyz
2.炸了吗HTTP网站测速工具
https://zhale.me/http/
3.测试挑选适合您网站的优选域名


4.建议说明
1.挑选时不要只看小地图,应该根据平均访问速度,最大访问速度,失败节点数等综合判断。
2.因为有些非官方的优选IP不支持80或者443端口。
因此测试时建议对http、https链接单独测试。
3.如果您的网站并发过低建议使用慢速监测。
快速测试:模拟用户同时访问指定网站
慢速监测:模拟用户依次访问指定网站

解析优选域名
通过SAAS验证后,可直接替换回退源为优选域名,但出于风险考虑我比较建议分线路解析。
1.国外线路解析到回退源域名是为了避免CF增加监测系统,自动删除已添加的网站域名。
2.优选域名一般都会只优选国内线路,因此国外线路大概率没有进行优选。
3.默认回退源域名一般情况下,国外访问最近策略,会比自定义IP效果要好。
【可选】将优选域名解析到国内线路上

补充截图用于校验设置

【可选】将搜索引擎线路设置为源站或者其他IP
在loc有用户反馈,公共cname可能会将搜索引擎蜘蛛线路解析到其他服务器来劫持蜘蛛。
因此我们可以自定义搜索引擎线路来避免这种情况的发生,需要说明不是所有DNS支持这样设置。

其他教程
使用宝塔cf2dns插件更新CloudFlare优选IP https://www.baota.me/post-437.html
CloudFlare CDN核心功能 资源缓存 https://www.baota.me/post-429.html
更多CloudFlare 系列教程 https://www.baota.me/tag/cloudflare.html
作者: 叶晗云    时间: 2024-3-2 19:30
之前都没很完善的教程。。看着教程摸索了好久才部署成功
作者: 缘尽心风    时间: 2024-3-2 19:32
真不错
作者: 美女约吗    时间: 2024-3-2 19:33
有点没看明白。。。
作者: Microcharon    时间: 2024-3-2 19:33
这个网上有很多教程的,难道这个很难操作?
作者: meowth    时间: 2024-3-2 19:37
不错
作者: CNAME    时间: 2024-3-2 19:39
很不错,
作者: C51    时间: 2024-3-2 19:43
感谢大佬分享
作者: btpanel    时间: 2024-3-2 19:43
美女约吗 发表于 2024-3-2 19:33
有点没看明白。。。

哪里不明白 我在补充一下
作者: 太上皇    时间: 2024-3-2 20:03
感谢分享
作者: hcyme    时间: 2024-3-2 20:04
学习
作者: janson1982    时间: 2024-3-2 20:14
马克一下
作者: Kalpeny    时间: 2024-3-2 20:16
感谢大佬,cf有点慢,cft很稳定
作者: 美女约吗    时间: 2024-3-2 21:01
btpanel 发表于 2024-3-2 19:43
哪里不明白 我在补充一下

DCV这个没明白,我用的domain.com的dns,怎么搞?
后面的是要dns可以分线路解析吗?
另外怎么解析优选ip?
作者: jianke    时间: 2024-3-2 21:44
已转载,感谢分享
作者: btpanel    时间: 2024-3-2 22:46
美女约吗 发表于 2024-3-2 21:01
DCV这个没明白,我用的domain.com的dns,怎么搞?
后面的是要dns可以分线路解析吗?
另外怎么解析优选ip ...

DCV在后面解析截图那边做了补充了,仔细看应该没啥问题。
dns最好要支持国外或者国内分线路解析
这是为了防止被CF扫描检测到而删除域名配置
如果不支持 那么在过了验证后
修改为优选cname地址也是可以的
作者: poe    时间: 2024-3-2 22:58
粗略扫了下,这个教程不完整,而且实际操作中可能会遇到一些特殊情况,里面没有提到。
作者: ouou8    时间: 2024-3-2 22:59
美女约吗 发表于 2024-3-2 21:01
DCV这个没明白,我用的domain.com的dns,怎么搞?
后面的是要dns可以分线路解析吗?
另外怎么解析优选ip ...

大佬,domain.com好用吗?
有没有分线路解析功能?
作者: btpanel    时间: 2024-3-2 23:10
poe 发表于 2024-3-2 22:58
粗略扫了下,这个教程不完整,而且实际操作中可能会遇到一些特殊情况,里面没有提到。 ...

有哪些没有提及的
作者: amily    时间: 2024-3-3 10:38
自定义主机名+CNAME:visa
有那么复杂?
作者: 额头有王的喵    时间: 2024-3-3 11:00
不错,很详细
作者: 学到了么    时间: 2024-3-5 21:24
马克了  买了你一个域名。
作者: dole    时间: 2024-3-5 21:31
666666666666
作者: btpanel    时间: 2024-3-6 12:23
amily 发表于 2024-3-3 10:38
自定义主机名+CNAME:visa
有那么复杂?


根据Q群联系我的用户来看
是因为有些教程会教他们
网站域名托管在cf上面
所以很多用户会失败

另外我是想完整的写一套CF的使用教程
后续还在编辑CF2DNS、R2、Tunnel 、works等教程。
目前还在折腾中,我把坑踩完,在去写教程。
这个只是开始,现在希望能收集一些反馈,尽可能的完善到让更多用户也能看得懂。
作者: monface    时间: 2024-3-6 13:59
教程很详细,特别是DCV 委派这里,网上其他教程这里根本没说,要么没说清楚,楼主这个教程很详细。
作者: btpanel    时间: 2024-3-6 19:01
monface 发表于 2024-3-6 13:59
教程很详细,特别是DCV 委派这里,网上其他教程这里根本没说,要么没说清楚,楼主这个教程很详细。 ...

感谢回复,有啥需要再完善说明的可以回复一下,尽可能的完善一些。
作者: nk123    时间: 2024-3-6 20:04
缓存首页以及html页面
直接 “页面规则” 创建规则,缓存级别: 缓存所有内容 不就行了?
作者: 真浪    时间: 2024-3-6 20:52
没有理解,这个的用途在哪
作者: Gavin8987    时间: 2024-3-8 16:23
提示: 作者被禁止或删除 内容自动屏蔽
作者: acm    时间: 2024-3-8 16:27
能添加*.baota.me这样的泛解析吗,一个个加回退源太麻烦了
作者: ioqa    时间: 2024-3-8 17:29
感谢狠人分享
作者: btpanel    时间: 2024-3-8 19:50
本帖最后由 btpanel 于 2024-3-8 19:53 编辑
nk123 发表于 2024-3-6 20:04
缓存首页以及html页面
直接 “页面规则” 创建规则,缓存级别: 缓存所有内容 不就行了? ...


你说的这个是老版本的全站缓存。
理论上来讲只适合图片站或者下载站。
只缓存首页跟html这个适合绝大多数的博客之类的。
如果博客啥的网站配置了那个,就无法登陆后台等情况。
缓存配置我专门有一篇文章讲。
https://www.baota.me/post-429.html
作者: beastie    时间: 2024-3-8 19:54
以前还是自己研究的 没那么复杂
作者: beastie    时间: 2024-3-8 19:55
不敢乱用别人的cname,会有被偷蜘蛛的风险,以前中过招。
作者: btpanel    时间: 2024-3-8 19:57
acm 发表于 2024-3-8 16:27
能添加*.baota.me这样的泛解析吗,一个个加回退源太麻烦了

你说的是自定义主机名那边添加网站域名的吧!
这个我试过了,没法使用泛域名解析。
要用泛解析目前只有2个法子。
要么付费搞个高级版的cname方式接入
要么放弃自选IP NS接入
作者: btpanel    时间: 2024-3-8 19:59
beastie 发表于 2024-3-8 19:55
不敢乱用别人的cname,会有被偷蜘蛛的风险,以前中过招。

偷蜘蛛?怎么做到的?
作者: beastie    时间: 2024-3-8 20:33
本帖最后由 beastie 于 2024-3-8 20:34 编辑
btpanel 发表于 2024-3-8 19:59
偷蜘蛛?怎么做到的?


根据来源IP设置不同的解析ip,最后你会发现百度蜘蛛解析的ip是别人的真实IP,百度蜘蛛爬的也就是别人的网站。
白**有风险。
作者: btpanel    时间: 2024-3-8 22:16
beastie 发表于 2024-3-8 20:33
根据来源IP设置不同的解析ip,最后你会发现百度蜘蛛解析的ip是别人的真实IP,百度蜘蛛爬的也就是别人的网 ...

那个是你网站被人反代了,公共cname只是提供了一组IP给你解析,访问的网站本来就是你的域名。如果你在网站报表或者网站日志里面看到来源IP都是非CF的那种,大概率你是用的反代节点,因为CF线路再怎么优选也没有几个亚洲节点,他们就用自己的服务器又反代了一下CF的节点,所以导致CF传到源站的IP是反代服务器的IP。不过这种反代服务器通常都是为了上网使用的。
作者: beastie    时间: 2024-3-9 20:09
btpanel 发表于 2024-3-8 22:16
那个是你网站被人反代了,公共cname只是提供了一组IP给你解析,访问的网站本来就是你的域名。如果你在网 ...

你没看懂我的意思。
作者: btpanel    时间: 2024-3-9 21:08
beastie 发表于 2024-3-9 20:09
你没看懂我的意思。

你的意思是cname到别人IP上去,然后别人在服务器上301到他的网站吗?
作者: beastie    时间: 2024-3-9 21:56
btpanel 发表于 2024-3-9 21:08
你的意思是cname到别人IP上去,然后别人在服务器上301到他的网站吗?


cname域名是公共开放域名,这个公共域名是不是可以根据来源IP解析返回不同的cf优选IP。正常你用任何IP解析出来的都是优选IP,但是baidu蜘蛛IP或sogou蜘蛛ip解析出来的IP是别人的IP(这个IP不是优选cf IP),这种很好实现,我看见过好几个这样的cname域名。
作者: btpanel    时间: 2024-3-10 11:21
beastie 发表于 2024-3-9 21:56
cname域名是公共开放域名,这个公共域名是不是可以根据来源IP解析返回不同的cf优选IP。正常你用任何IP解 ...

好的 我在文章里面做了相关提醒说明
反正教程已经写了
用啥还是要他们自己决定吧
作者: btpanel    时间: 2024-3-15 17:37
6.使用ITDOG访问一次网站域名

主机名一共有两种验证方式
预验证:即txt或者http验证方式,但需要等待一段时间的Cloudflare官方扫描。
实时验证:即将主机名正确的cname到回退源地址。
本教程使用实时验证方式。考虑到dns解析缓存,为了加快验证,因此用测速工具来完成正常解析请求。
作者: bysun    时间: 2024-3-15 21:12
是不是海外必须解析到回退源的ip啊?
作者: btpanel    时间: 2024-3-20 10:25
bysun 发表于 2024-3-15 21:12
是不是海外必须解析到回退源的ip啊?

回退源是域名 不是IP 只是建议那样做 你可以在完成验证后 直接解析到优选地址 但是解析到国外这样做的目的是为了防止cf增加检测 而被删除停止服务
作者: acm    时间: 2024-3-20 10:28
就想问下证书会自动续期吗
作者: 米尼科技    时间: 2024-3-20 10:30
技术文章收藏一下
作者: btpanel    时间: 2024-3-20 10:33
acm 发表于 2024-3-20 10:28
就想问下证书会自动续期吗

教程中的DCV 委派验证
还有那个证书的txt认证
只要有一个正确解析且没有取消删除
都是自动化续签的
作者: monface    时间: 2024-3-28 12:36
楼主,遇到过DCV 委派验证,三个月后到期后,失效的问题没?
必须刷新一下添加的域名,或者到域名dns里面 去暂停,再启用,然后他才有效。
作者: btpanel    时间: 2024-3-29 10:21
本帖最后由 btpanel 于 2024-3-29 15:46 编辑
monface 发表于 2024-3-28 12:36
楼主,遇到过DCV 委派验证,三个月后到期后,失效的问题没?
必须刷新一下添加的域名,或者到域名dns里面  ...


没有遇到过
理论上DCV委派的记录
解析不删
完全没问题
或许你试试再添加一个txt的验证记录

下面txt记录是亚马逊aws的记录
我是国内走cft海外走cf




作者: poe    时间: 2024-3-29 10:28
monface 发表于 2024-3-28 12:36
楼主,遇到过DCV 委派验证,三个月后到期后,失效的问题没?
必须刷新一下添加的域名,或者到域名dns里面  ...

他这个教程不全面,甚至有些地方也是错误的。。
作者: btpanel    时间: 2024-3-29 15:16
poe 发表于 2024-3-29 10:28
他这个教程不全面,甚至有些地方也是错误的。。

哪里不对说一下 ,晚点我补充修改一下,估计还有啥没考虑到的。
作者: monface    时间: 2024-3-29 21:01
btpanel 发表于 2024-3-29 10:21
没有遇到过
理论上DCV委派的记录
解析不删

我是用的腾讯云,也就是dnspod的,到期了就不行,非要去暂停,再启用一下域名他才又激活
作者: h1xy    时间: 2024-3-29 23:54
我去 好复杂,算了
作者: zhongziso    时间: 2024-3-30 07:08
mark
作者: btpanel    时间: 2024-3-30 12:52
monface 发表于 2024-3-29 21:01
我是用的腾讯云,也就是dnspod的,到期了就不行,非要去暂停,再启用一下域名他才又激活 ...


奥 那你试一下txt那个验证吧 我这边一共有3个域名 证书都签发正常
不然我也不会这么写教程的
作者: btpanel    时间: 2024-3-30 12:54
h1xy 发表于 2024-3-29 23:54
我去 好复杂,算了

好难啊! 上面还有人说我写少了,你又嫌我写复杂了。
作者: Kalpeny    时间: 2024-4-2 15:56
为何我的*.cloudfront.182682.xyz 这个泛域名解析结果还是*.cloudfront.182682.xyz.
作者: btpanel    时间: 2024-4-2 17:05
Kalpeny 发表于 2024-4-2 15:56
为何我的*.cloudfront.182682.xyz 这个泛域名解析结果还是*.cloudfront.182682.xyz.

泛域名的意思是
你可以解析到任何前缀域名
比如666666.cloudfront.182682.xyz
作者: zhaocaimao999    时间: 2024-4-3 01:21
大佬下个版本能支持dnspod国际和阿里国际?
作者: btpanel    时间: 2024-4-3 11:26
zhaocaimao999 发表于 2024-4-3 01:21
大佬下个版本能支持dnspod国际和阿里国际?

我没有国际版账号
目前已知阿里云华为云国际版是支持的
可以看我网站的教程
https://www.baota.me/post-437.html
作者: UNLIL    时间: 2024-4-3 11:40
提示: 作者被禁止或删除 内容自动屏蔽
作者: fuu    时间: 2024-4-3 11:42
大佬分享 多谢小杰大佬
作者: btpanel    时间: 2024-4-3 12:28
UNLIL 发表于 2024-4-3 11:40
回源认证不到咋办,解析不到

我不太理解 建议给我个截图之类的详细说明
作者: UNLIL    时间: 2024-4-3 12:58
提示: 作者被禁止或删除 内容自动屏蔽
作者: btpanel    时间: 2024-4-3 14:06
UNLIL 发表于 2024-4-3 12:58

解析那边
cf.xo.ac.cn  cname 上面的回退源地址
需要注意的是在解析那边 cf是主机名 所以并不要添加xo.ac.cn
然后使用itdog.cn 访问一次cf.xo.ac.cn就行了
作者: myoula    时间: 2024-4-3 14:10
bd
作者: zhaocaimao999    时间: 2024-4-4 04:09
作者: zhaocaimao999    时间: 2024-4-4 22:46
大神,cf的waf禁止http1版本,但是除了百度蜘蛛,还有其他引擎蜘蛛比如360 神马等走http1版本,就会被质询了,有啥方法能放行这些引擎蜘蛛?
作者: btpanel    时间: 2024-4-5 08:45
zhaocaimao999 发表于 2024-4-4 22:46
大神,cf的waf禁止http1版本,但是除了百度蜘蛛,还有其他引擎蜘蛛比如360 神马等走http1版本,就会被质询 ...

不知道 我把cf的waf都关了 因为我发现手机端正常访问很容易被cf拦截
作者: zhaocaimao999    时间: 2024-4-5 18:37
谢大神,可能我设置太严格了,没攻击禁http1有点过了
作者: 气味    时间: 2024-4-5 19:00
厉害了
保姆级教程
作者: Keensword    时间: 2024-4-5 19:05
论坛急需的干货需要有人分享,感谢中
作者: kkkkxl    时间: 2024-4-5 19:39
访问优选域名 报错 SSL handshake failed  大佬知道为什么吗
作者: btpanel    时间: 2024-4-7 11:01
kkkkxl 发表于 2024-4-5 19:39
访问优选域名 报错 SSL handshake failed  大佬知道为什么吗

可能是源站没有配置证书 或者ssl开启严格 源站证书过期等
作者: abuits    时间: 2024-4-7 12:54
好贴,赞一个
作者: monface    时间: 2024-4-15 09:26
大佬,再问问,泛域名的 DCV 委派,如何指向?
也是用 * 指向?
还有根域名呢?  @  ?
作者: beastie    时间: 2024-4-15 13:59
monface 发表于 2024-4-15 09:26
大佬,再问问,泛域名的 DCV 委派,如何指向?
也是用 * 指向?
还有根域名呢?  @  ?


在权威 DNS 中在 _acme-challenge.example.com 上创建 CNAME 记录,并将其指向 example.com.345353243.dcv.cloudflare.com。

* 泛解析我没试过
作者: 长泰    时间: 2024-4-15 19:48
配合华为云dns或dnspod,国外走CloudFlare,国内自己建cdn
作者: btpanel    时间: 2024-4-16 18:14
monface 发表于 2024-4-15 09:26
大佬,再问问,泛域名的 DCV 委派,如何指向?
也是用 * 指向?
还有根域名呢?  @  ?

泛域名不支持

@根域名已经在文章里面注明了

如果配置的网站为baota.me。
主机名为_acme-challenge值为baota.me.9cf4d41f99889e0c.dcv.cloudflare.com
作者: 蝎子    时间: 2024-4-26 16:08
要备两个域名吗 然后俩个域名都dns到cf 成功后主域名dns改回国内,



欢迎光临 全球主机交流论坛 (https://hostloc.gdisk.cf/) Powered by Discuz! X3.4