前言

此文内容目前处于BETA版本

之前有小伙伴问我能不能出一期Cloudflare配置教程，我给忘了 Σ( ° △ °|||)︴ 今天刚刚想起来，遂补一期。

Cloudflare是一个用户量很大、使用范围很广、技术能力很强的互联网服务商。它想做的大概是“帮助构建更好的互联网”这种愿景，业务体系比较庞杂。如果你有较长时间的Cloudflare使用经验，你就会发现Cloudflare的后台经常发生变化——这其实是因为Cloudflare经常会搞出很多新东西，所以有些功能发生了合并/变化。由于这种特性，认识Cloudflare最好的方式就是多点点，仔细看备注/说明书，从而推测某个业务的功能。

对于个人用户而言，主要是域名解析服务（DNS）、CDN云服务、网络安全等，少数人还会用到Cloudflare Workers这种自定义服务。其实我只是个免费的Cloudflare用户，很多付费功能都没有用过。另外，我偶然发现Cloudflare的电子邮件功能挺好的，大家可以试试！

看到哪讲到哪，以后再慢慢完善和补充。

帐号

我们可以在这里注册/登陆Cloudflare帐户：https://dash.cloudflare.com/login。关于帐户/密码的管理，个人建议使用bitwarden这类密码管理工具来管理，这种方式比浏览器管理更加专业、拓展性更强。

主界面

主页

主页会展示你的域名。很多操作，包括DNS、CDN等，都是点进去特定的域名里进行额外设置的：

域注册

如果你使用Cloudflare托管域名，并且是在比较正式的场合里使用该域名，你最好直接在Cloudflare上购买域名。虽然从其它地方转过来也不是不行，但这样续费就比较麻烦，对长期维护并不利。对于中国大陆的用户而言，购买Cloudflare服务需要办理一张VISA信用卡（或者Paypal，详见视频教程）。据说现在办理借记卡/信用卡的难度很大，各种审核十分麻烦；不过一般情况下应该是可以成功申请的！我是很久以前办理的，因此并不太了解现在的行情。

另外，如果你的域名特别重要，建议打开该域名的自动续订：

Workers

我以前写过文章《Docker系列 WordPress系列 通过Cloudflare Workers加速WordPress博客》，那里描述了利用Cloudflare Workers进行CDN IP自动优选以加速WordPress网站。Cloudflare的Workers功能是挺好用的，但我也不太常用；一般都是看别人的教程自己设置的。你甚至可以直接用Worker搭建一个博客。

特定域名

我们点击某个网站即可进入它的管理后台：

概述

这个概述页面就已经有了很多常用的功能，比如清除缓存、DNS设置、Under Attack模式和开发模式。

如果我博客网站有一些静态资源更新了，我就会清一下缓存看看是否生效。Cloudflare可以选只清除某些路径或某些文件，还是很人性化的。使用开发模式应该可以达到类似效果。开发模式对于测试网站新设置时是很实用的，比如更改某些CSS/JS。不过我也不太常用这个功能。

当有人攻击你的网站（比如DDoS）时，打开Under Attack模式这个选项后，Cloudflare会利用一些方法确认你的访客是不是robots，从而进一步减少源站压力。很多网站为了增加安全性，都会使用Cloudflare的JS质询。根据我的经验，我的博客一般都是暴力破解后台的攻击，这种大部分都是依赖Wordfence搞定，很少遭遇DDoS，大家也算给面子 (ฅ´ω`ฅ)

数据分析

有很多网站相关的数据分析。看看就行，不用自己设置。我平时都很少看。

DNS

详见我的文章《Linux基础 个人VPS安全》中的“隐藏公网ip”小节。

这里应该是大家最熟悉的页面了，即域名解析服务（DNS）：

对于约大多数域名——IP的相关操作，都是添加一条A记录：

对于使用CDN的小伙伴来说，CNAME也是一种比较常用的记录类型；一般CDN服务商会教你怎么用的，这里我不多做解释。

值得一提的是，虽然Cloudflare的CDN可以增强对源站IP的隐藏和保护，但对于中国大陆的用户来说，其分配的Cloudflare泛播IP往往是比较鸡肋的，延时较高，速度一般。在远古时侯，Cloudflare Partner服务还可以使用，那时候免费用户都可以白嫖到不错的Cloudflare泛播IP。现在这类功能似乎已经是付费功能了：

我之前在《Docker系列 WordPress系列 通过Cloudflare Workers加速WordPress博客》里面也有介绍过。所以我的博客有时访问是挺慢的，甚至国内有些地方的网络不能访问我的网站，必须通过代理。因为我对于博客安全性的要求要优先于访客易用性，所以目前还是用着Cloudflare Workers优先IP（就俩）这种半死不活的方案。大伙有什么好的方案不妨在评论留言！

电子邮件

电子邮件对国内小伙伴（特别是不从事科研工作）来说是一种比较冷门的沟通方式。但许多国外正式场合里，邮件沟通是比较常用的。Cloudflare的电子邮件路由功能看上去不错：

假设我在N个场景需要用到邮件，其中之一就是科研相关的邮件都希望用A邮箱处理。我的常用私人邮箱是B，但我并不想别人知道B；或者说，我希望在邮箱B里设置规则，使得来自A邮箱的邮件得到额外重视（比如进行加星标、自动已读/归档、自动分类等操作）。在这里，我们可以轻松实现A→B无缝路由。下面我举个例子示范如何添加一个A→B的连接。

比如，我专门科研工作创建一个A邮箱：[email protected]。这里的hwb0307.com就是我的根域名。我将A邮箱关联到我的私人邮箱B：

点击保存。第一次添加时它会发一个标题为[Cloudflare]：验证电子邮件路由地址的验证邮件到B邮箱中，点击验证即可：

以后再次添加新的A邮箱地址，该验证不需要重要进行。

回到Cloudflare电子邮箱路由的界面，点击那个一键启动的按钮，即可自动添加对应DNS记录并启动，不需要额外操作：

成功后如下图所示：

以后，当我在科研相关的场景时（比如投稿和发表论文），我就可以使用[email protected]邮箱而不是B邮箱。这种方式很容易推广到N个场景，比如招聘、教学、博客等。一来对目标邮箱进行了保护；二来邮件规则设置更加差异化；三来使用个人专用邮箱的逼格也更高一些 (ฅ´ω`ฅ)

SSL/TLS

如果你在VPS上使用自签名证书（比如Nginx Proxy Manager），一般要选择完全：

否则容易出现ERR_TOO_MANY_REDIRECTS（重定向）的报错。详见我的文章《Linux基础 个人VPS安全》中的“隐藏公网ip”小节。

打开SSL/TLS建议程序，以实现对访客数据的最大保护：

边缘证书的相关设置如下。它的说明挺易懂的，自己看着选即可。其中的HSTS似乎与Nextcloud的警告有关，不过一般我都是直接更改Nextcloud的config.php而不是在这里更改：

安全

很多和安全防护有关的设置，比如质询、DDoS。我也没怎么特别设置，以后遇到相关的问题时再见招拆招。这是多提一句，小网站一般是较少被DDoS攻击的，毕竟调用流量来持续攻击也是一种比较昂贵的成本。不得不承认，在互联网中过于透明也是一种保护方式 (ฅ´ω`ฅ)

速度

最近这里多了一个Beta功能——速度测试。不过，我觉得Cloudflare只是想借机向用户推荐他们的付费功能而已 ヾ(≧∇≦*)ゝ 至于网站速度的影响因素甚多，其中与访客的网络环境不无关系，这些测速结果并不十分可靠。强行用Cloudflare的服务也不一定会带来更高的速度性能提升。

依我之见，在中国大陆，提升网站速度的最好方法就是老老实实备案、买国内VPS、用国内CDN。在海外，针对中国大陆的提速方案一般都贵得离谱。

如果你用过国内的方案，就知道性价比和性能与Cloudflare的差别有多大了。这里我有一个推测，即随着中国不断开放，中国的互联网网络环境也会越来越开放，并日益增强与国际服务商的竞争。到那时候，国内方案才会更具吸引力！目前还是用Cloudflare吧，也凑合！

如果你像我一样使用WordPress建站，Cloudflare有针对WordPress平台的速度优化。目前暂时是付费功能，日后有机会可以试试看：

建博客选WordPress这种大平台是有好处的，用户群体庞大，开发者的支持自然就会更好。

缓存

在缓存——配置里，建议大家打开Always Online™。源服务器不可用时，Always Online™仍能让访问者网站。之前我的hwb0307.com测试网站也是挂了好几个月，还可以打开网页，挺神奇的。

另外，Tiered Cache也建议打开（虽然不知道用处有多大）：

小结

Cloudflare的功能还有很多，不过我也没怎么设置过，故不作推荐。它还挺复杂的，一下子也说不完道不清。以后有什么新发现再来更新吧！

扩展阅读

• gdtool/cloudflare-workers-blog: A Blog Powered By Cloudflare Workers and KV： 这是一个运行在cloudflare workers 上的博客程序,使用 cloudflare KV作为数据库,无其他依赖. 兼容静态博客的速度,以及动态博客的灵活性,方便搭建不折腾。