「通过 Cloudflare 代理流量」是互联网上最通用的基础设施技巧。你将 DNS 交给 Cloudflare,由 Cloudflare 响应请求、终止 TLS、缓存静态资源、过滤恶意流量,再将其余请求转发到你的真实服务器——全程免费。
互联网上一个网站的默认运作方式是:DNS 解析到你的服务器,用户浏览器直接连接你的服务器,服务器返回响应。这种方式可以正常工作,但也意味着你的服务器要承受每一个请求——所有的机器人扫描、漏洞探测、每次用户刷新页面对缓存资源的重新请求。带宽、CPU 和精力全都直接压向你。
在前面加一层反向代理,改变了这种拓扑结构。用户连接到代理,代理决定是从自身缓存中响应、转发到源站服务器,还是直接拒绝请求。你的源站只会看到代理决定转发过来的请求。这在企业基础设施中是成熟的模式(价格昂贵、厂商众多),而对独立开发者来说,真正有意义的方案是 Cloudflare 的免费套餐——为你名下的任意域名提供同等能力,零成本。
这些收益会相互叠加。免费的 TLS 终止意味着你不需要自行维护 Let's Encrypt。全球边缘缓存意味着静态资源从距离用户最近的节点加载。基础 DDoS 防护意味着小规模攻击不会把你打垮。隐藏源站 IP 意味着扫描器无法轻易定位你的服务器。这些都不是什么魔法——不过是反向代理的标准收益,只是价格被设成了零而已。
引入 Cloudflare 后的数据流向:
用户 → Cloudflare 边缘节点 → 你的源站服务器
(终止 TLS、
缓存静态资源、
过滤流量)你将域名添加到 Cloudflare,Cloudflare 为你分配新的名称服务器(NSx.cloudflare.com)。你在域名注册商处将名称服务器替换为 Cloudflare 提供的两个。Cloudflare 由此成为你 DNS 的权威服务器,并获得对你标记为代理的记录进行代理的能力。
这与你在哪里购买域名无关。Namecheap、Porkbun、GoDaddy——它们都支持自定义名称服务器。唯一的例外是Cloudflare 自家的域名注册商,那里一切都已经自动配置好了。
在 cloudflare.com 注册账号(免费套餐已经足够;「Pro」及以上适用于有特定需求的企业)。点击 Add a Site,输入你的域名,选择 Free 套餐。
Cloudflare 会扫描你当前的 DNS——也就是现在权威 DNS 中的内容——并导入已有的记录。仔细核对导入的列表,如有遗漏,手动补充。不需要代理的记录(DKIM、SPF、自定义 MX)仍会正常解析 DNS;需要代理的记录(网站主要的 A 或 CNAME 记录)则会获得橙色云朵的待遇。
Cloudflare 会给你两个名称服务器主机名(例如 katie.ns.cloudflare.com 和 logan.ns.cloudflare.com)。在域名注册商处找到名称服务器设置(每家注册商都有),将当前的名称服务器替换为 Cloudflare 的两个。
传播需要几分钟到几小时不等——Cloudflare 会轮询并在检测到你的域名指向它们后发送邮件通知你。在此期间,两个 DNS 提供商都在提供解析(尚未更新的解析器走旧的,已更新的走 Cloudflare)。请确保 Cloudflare 上的记录与之前一致,否则部分用户会被解析到错误的地方。
dig @logan.ns.cloudflare.com yourdomain.com),确认 Cloudflare 返回了你预期的记录。在传播开始前发现拼写错误,能省去一个小时的焦虑排查。
在 Cloudflare 的 DNS 面板中,每条记录旁边都有一个图标:橙色云朵(代理中)或灰色云朵(仅 DNS)。
Cloudflare 的代理仅支持 HTTP/HTTPS。指向 SSH 或数据库的记录请勿开启代理,改用灰色云朵。
在 SSL/TLS → Overview 下,Cloudflare 为 Cloudflare 到源站之间的连接提供四种模式:
要使用 Full (Strict),你的源站也需要一张真实的 TLS 证书——可以来自 Let's Encrypt,或使用免费的 Cloudflare 源站证书(Cloudflare → SSL/TLS → Origin Server → Create Certificate)。源站证书有效期最长 15 年,仅受 Cloudflare 信任而非公众——非常适合 Cloudflare 到源站这一段。
这些功能无需任何配置即可激活——记录开启橙色云朵的那一刻起,它们就默认生效。