Cloudflare for SaaS 实现 CNAME 接入 CDN 支持国内外智能分流建站
也许你已经看过很多关于 SaaS 接入 Cloudflare 的文章,但大部分一上来就直接讲操作步骤,对新手来说很难理解其中的原理和用途。再加上 Cloudflare for SaaS 最近开放了更多免费功能,早期教程里的一些做法已经不完全适用了。
下面先用通俗的方式说明一下,通过 Cloudflare for SaaS 把网站接入 Cloudflare CDN 的核心优势是什么:
- 可以把托管在其他 DNS 服务商的域名,通过 CNAME 方式接入到 Cloudflare CDN,而不必把域名的 NS 改到 Cloudflare
进阶玩法:如果你的 DNS 服务商支持分线路解析,就可以实现「国内走优化线路,自建或第三方 VPS;国外走 Cloudflare CDN」的智能分流架构
- 可以结合优选 Cloudflare IP 或优选中转线路,让 Cloudflare 的访问节点更快、更稳定
进阶问题:部分域名直接托管到 Cloudflare 后,打开小黄云会被分配到 .1 结尾的 IP(属于被限制或被屏蔽的节点),国内基本无法访问。通过优选或回源中转,可以规避这种节点,实现国内可用。
下面这类情况很典型:某些免费域名、超低价域名托管到 Cloudflare 后,小黄云分配的 IP 几乎全部是 .1 结尾,国内访问直接超时。这时就需要通过 Cloudflare for SaaS + 优选/中转的方式修改实际访问路径,来恢复国内访问。
优选前
准备工作
域名
你需要准备两个域名:一个作为主域名,另一个作为牛马域名(回源域名)。
- 主域名:对外提供访问的业务站点域名,比如你的官网、博客或项目站。这个域名必须托管在非 Cloudflare 的 DNS 服务商,否则在 Cloudflare for SaaS 中会报错。
- 牛马域名:专门用于回源到真正的源站,可以是免费域名、纯数字域名或各种便宜域名,只要能托管到 Cloudflare 并开启小黄云即可。
提示
- 牛马域名只承担「CDN → 源站」的回源作用,不暴露给最终用户,因此对品牌、后缀、好记程度都没有要求,能托管到 Cloudflare 就能用。
- 以前 Cloudflare for SaaS 的设计是一个牛马域名基本只能回源到一个 IP,现在支持自定义回源配置之后,可以回源到多台 VPS,也就意味着你可以用同一个牛马域名给多个站点或多个地区节点做回源,而不再需要堆很多免费域名。
Cloudflare 账号
Cloudflare for SaaS 虽然本身提供了免费的使用额度,但启用该功能前,Cloudflare 账号必须先绑定支付方式。
国内用户可以先注册一个 Cloudflare 账号,然后通过绑定国区 PayPal 来满足这一要求,即使你实际不会产生费用。
DNS 服务商
主域名建议托管在支持分线路解析的 DNS 服务商,这样才能实现「国内线路走自建优化线路,其他地区走 Cloudflare CDN」。
例如:
- DNSPod
- 火山引擎 DNS
- 华为云 DNS
这些服务商的免费套餐一般就支持按地区/运营商分线路解析,有些其他 DNS 厂商可能需要付费套餐才能使用此功能。
如果你只想用 Cloudflare 作为普通 CDN,不做国内/国外分流,那么分线路解析不是硬性要求。
实现思路
以「国内外智能分流」为目标,我们对主域名做这样的解析策略:
- 默认线路(全世界):CNAME 到牛马域名,由 Cloudflare 节点回源到你的 VPS
- 国内线路(中国/中国大陆):A 记录直连你的优化线路 VPS(绕开 Cloudflare)
这样一来,访问路径就会分成两种情况:
- 国内访问
国内用户解析到你在国内或对国内优化良好的 VPS,直连你的服务器,避免走 Cloudflare 被墙或被限速的节点,保障访问速度和稳定性。
- 国外访问
国外用户走默认线路,通过 CNAME 指向牛马域名,相当于访问到了 Cloudflare 的 CDN 节点。
CDN 节点再根据你在 Cloudflare for SaaS 中设置好的自定义主机名 (Custom Hostnames) 和回退源 (Fallback Origin) 规则,回源到实际的源站 VPS。
信息
- 自定义主机名 (Custom Hostnames):用来告诉 Cloudflare「哪些主域名是由这个 SaaS 配置托管的」,比如
www.main.com。 - 回退源 (Fallback Origin):用于 Cloudflare 回源访问你的真实源站,一般设置为牛马域名下某个带前缀的子域名,如
fallback.xxxx.eu.org。
具体操作
在正式操作之前,我们先统一下示例域名,方便理解:
- 主域名(业务访问域名):
www.main.com - 牛马域名(回源域名,托管在 Cloudflare):
xxxx.eu.org
牛马域名
解析
首先,在 Cloudflare 中把牛马域名按照正常建站的方式解析到你的源站 IP:
- 添加一条 A 记录或 AAAA 记录,指向源站 IP
- 开启小黄云(Orange Cloud),即走 Cloudflare 代理
- 子域名可以设为
fallback.xxxx.eu.org,用作回源入口
提示
- 源站的 Nginx(或其他 Web Server)不需要额外为
fallback.xxxx.eu.org单独配置站点,只要原有站点能通过主域名访问正常即可。即便直接访问fallback.xxxx.eu.org报错,也不会影响最终的 CNAME 接入和 SaaS 使用。 - 如果你为了 SEO 考虑,通常不希望出现两个内容完全相同的站点(比如主域名和牛马域名都能正常打开同一内容),因此这里一般只把牛马域名当成纯粹的回源域名即可。
解析源站
回退源
进入 Cloudflare 仪表盘,在牛马域名站点内打开侧边栏:
SSL/TLS -> Custom Hostnames
第一次使用需要先订阅 Cloudflare for SaaS 功能:
订阅 Cloudflare for SaaS
Cloudflare for SaaS 自身提供了一定的免费额度:在 100 个自定义主机名以内,费用为 0 元,不过订阅时依然要账号已绑定有效支付方式。
确认订阅
订阅成功之后,在 Fallback Origin 区块中填写刚才 Cloudflare 解析好的回源域名,例如:
fallback.xxxx.eu.org
点击 “Add Fallback Origin”,此时就完成了默认回退源的设置。
回退源
自定义主机头
接下来点击上方的 “Add Custom Hostname”,新增自定义主机名配置。
- 在 “Custom Hostname” 中填入你的主域名,例如:
www.main.com
传统做法里,Cloudflare 要求自定义主机名只能选刚才设定的默认回退源,比如 fallback.xxxx.eu.org,这样导致一个牛马域名只能回源到一台 VPS。
现在 Cloudflare for SaaS 已经支持自定义回源,你可以在配置自定义主机名时选择:
- “Custom origin server”,然后填写不同的回源域名,比如:
fallback-hk.xxxx.eu.orgfallback-jp.xxxx.eu.orgfallback-us.xxxx.eu.org
这种方式可以实现用同一个牛马域名管理多台不同地区的 VPS,做多地区部署或智能调度时非常灵活。
自定义主机头
添加完自定义主机头之后,页面会提示你需要在主域名的 DNS 里添加两条 TXT 记录用于验证域名所有权。这两条记录可以先记下,稍后在主域名的 DNS 面板里一起添加。
验证主域名
主域名
解析
主域名推荐托管在支持分线路解析的 DNS 服务商。我们需要添加如下几条记录:
- 两条 TXT 记录
用于 Cloudflare for SaaS 验证自定义主机名所有权。
按照刚才在 Cloudflare “Custom Hostnames” 页面提示的记录名和值,原样在主域名 DNS 中添加即可。 - 一条 CNAME 记录(默认线路)
- 记录类型:CNAME
- 主机记录:
www(或你的实际前缀) - 线路:默认或全线路
- 目标:指向回源域名,例如
fallback.xxxx.eu.org
这里一定要先 CNAME 到自己的回源域名,否则直接 CNAME 到优选域名或 Cloudflare 节点可能会触发错误。
- 一条 A 记录(国内分线路,可选)
- 记录类型:A
- 主机记录:
www - 线路:国内/中国大陆
- IP:你的优化线路 VPS IP(如香港优化线路、国内高质量机房等)
如果你只想接入 Cloudflare CDN,不做国内直连分流,这条 A 记录可以省略。
主域名解析
解析保存生效后,回到 Cloudflare for SaaS 的自定义主机名页面,等待一段时间(通常几分钟到几十分钟)。当:
- Certificate status 显示绿色 “Active”
- Hostname status 也显示绿色 “Active”
就说明验证完成,SaaS 接入成功。
验证成功
优选
危险
从原理上说,只要你能访问某个 Cloudflare CDN 节点,并且请求头中带的 Host 是你的站点域名,那么这个节点理论上就可以帮你正常回源到源站。
因此有些人会直接把默认线路解析到优选 IP 或优选域名,以获得更快或更稳定的 Cloudflare 节点。但这么做有几个明显风险:
- 使用优选 IP / 绕路访问 Cloudflare 节点,属于违反 Cloudflare ToS 的行为,严重时 Cloudflare 账号可能被限制。
- 把域名解析到某些被限制或专用的 Cloudflare 节点,会触发 Error 1034 等错误,导致网站无法访问。
如果你仍然想尝试优选的方案,有两种常见方式:
- 方式一:将默认线路的 CNAME 修改为优选域名,比如某些被广泛测试可用的域名(如
visa.com、csgo.com等),利用其背后的 Cloudflare 节点达到加速目的。 - 方式二:直接 A 记录解析到反代 Cloudflare 的优化线路 IP(比如一些中转 VPS),让中转节点去访问 Cloudflare;但这样稳定性和合规性都比较差,且需要你自己掌握获取这些 IP 的方法。
整体来看,如果你没有非常刚性的需求,还是不建议强行优选:
- 一方面违反 ToS,有封号或限制的风险;
- 另一方面远不如 CNAME 到自己控制的回源域名来得稳定、可控。
对大部分站长而言,更推荐使用支持分线路解析的 DNS 来实现:
- 国内线路:直连你的优化 VPS
- 国外线路:走 Cloudflare for SaaS 的回源域名
既合法合规,又相对可控。
最终效果
完成所有配置后,主域名在 DNS 中的解析结果大致如下:
- 国内访问:解析到你打码隐藏的优化线路 IP(自建或租用的 VPS)
- 国外访问:解析到 Cloudflare 分配的任意两个或多个 CDN IP
最终效果
与最初「国内完全打不开」的情况相比,现在国内访问会直接走你的优化线路,而国外走 Cloudflare 节点,整体体验得到明显改善。
如果你还没有合适的海外 VPS 来做源站或优化线路,可以考虑一些性价比较高的商家,例如:
常见问题
Error 525 / Error 526
SSL handshake failed / Invalid SSL certificate
SSL handshake failed
Invalid SSL certificate
常见原因:
这两种错误都与 SSL 配置有关。当前端 Cloudflare 的 SSL 模式设置为 Full 或 Full (Strict) 时,源站服务器没有为主域名正确配置 SSL 证书(可能是没有开启 HTTPS,或者证书与域名不匹配、已过期),就会导致 525 或 526 错误。
解决方法:
- 临时方案:将 Cloudflare 的 SSL 模式设置为 Flexible,让 Cloudflare 与源站之间走 HTTP(不加密),但此方式并不推荐用于正式生产环境。
- 推荐方案:在源站正确配置主域名的 SSL 证书(可以使用 Let’s Encrypt 或其他证书),确保:
- 源站可以通过
https://www.main.com正常访问; - 证书未过期,证书中的域名包含你的主域名。
- 源站可以通过
Error 1000 / Error 1014
DNS points to prohibited IP / CNAME Cross-User Banned
常见原因:
这属于 Cloudflare 的安全限制:
- 禁止将自己的 DNS 记录直接指向 Cloudflare 专用的 CDN IP;
- 禁止 CNAME 到其他 Cloudflare 账号下的域名(跨账号 CNAME)。
通常在这样的场景下会触发:
- 你把主域名托管在 Cloudflare;
- 然后又尝试把主域名 CNAME 到另一个 Cloudflare 账号的回源域名或优选域名。
解决方法:
- 不要把主域名托管在 Cloudflare,改用其他 DNS 服务商;
- 主域名只 CNAME 到你自己在 Cloudflare for SaaS 中配置的回源域名,不要指向别人账号下的 Cloudflare 域名。
Error 1001
DNS resolution error
DNS resolution error
常见原因:
自定义主机名还没有完成 Cloudflare 的验证,Hostname status 仍然不是 Active,就已经把主域名 CNAME 到优选域名或回源域名,导致解析链路不完整而报错。
解决方法:
- 先让主域名 CNAME 到你在 Cloudflare 中设置的回源域名(例如
fallback.xxxx.eu.org),并正确添加 TXT 验证记录。 - 等待 Cloudflare 自定义主机名状态变为 Active 后,再根据需要调整为优选域名或做分线路解析。
- 如果使用分线路解析,更推荐这种组合:
- 国内线路:解析到优选 IP/自建优化线路
- 国外线路:CNAME 到自己的回源域名(而不是直接优选域名)
Error 1034
Edge IP Restricted
Edge IP Restricted
常见原因:
主域名或某个子域名被直接解析到了 Cloudflare 的公共 DNS 或受限制的 IP,例如:
1.1.1.11.0.0.11.0.0.5- 或某些仅限付费用户使用的专用 IP
这些地址不能被作为网站的 CDN 入口使用,当你强行解析过去时,就会出现 1034 错误。
解决方法:
- 不要把域名直接 A 记录指向上述 IP;
- 对接 Cloudflare for SaaS 时,直接将主域名 CNAME 到你自己的回源域名;
- 如果需要优选线路,可以通过分线路解析让国内访问走自己控制的优化 VPS,国外访问走 Cloudflare for SaaS 配置好的回源域名。
热门话题
原创文章,作者:kp51,如若转载,请注明出处:https://www.kepu51.com/instant-messaging/492.html
