本文详细讲解大陆网址如何通过Saas链接CloudFlare (简称CF),实现境外流量走CF CDN,境内可以不走CDN也可以走国内CDN (例如EdgeOne)。教程已经尽量简短,可是必要内容无法缩减,请耐心看完,仔细操作。
以前可以通过CNAME方式接入CF,很方便。可是太多人滥用,于是CloudFlare官网禁止新网站通过CNAME方式接入。小迪这个网站www.diiamo.cn原本通过CNAME方式接入了CF。
因为出了点错误,所以小迪临时断开链接,CF官方刚好那段时间改规则禁用CNAME方式接入...,超级无语。长达几年时间本网站无法使用CF CDN,后来开始流传使用SaaS方式接入CF。
小迪之前也试过一下SaaS接入,可是链接失败。网上教程都是说一半不说一半,不全面甚至有错误。整个华夏神国居然找不出一篇完整、详细的SaaS接入CF教程,并且讲清楚如何实现自动清理缓存和获取真实访客IP等。
刚好最近看到一篇稍微详细一点的SaaS接入CF教程,加上AI辅助终于链接成功,还完美解决掉几个负面影响。小迪花2天时间写这篇文章帮大家获取CF福利。
通过Saas链接CloudFlare CDN有啥好处?
大陆网站使用CloudFlare CDN (简称CF)好处多多。
好处一:大陆外地区可以免费使用CDN加速,提升访问速度以及SEO效果等;
虽然大陆网站主要面向国内用户,可是有不少目标用户使用谷歌等搜索引擎,并且港澳台地区甚至国外可能会有一点客户。大陆外地区通过CloudFlare访问网站的话速度会快些。谷歌、AI等爬取内容更加顺畅,有助于提升网站SEO、GEO效果。
有些目标客户使用国外AI搜索,也有些站长可能会使用国外工具 (例如Ahrefs) 分析网站之类,链接CF能提高海外AI以及一些海外工具读取网站成功率。
好处二: CloudFlare CDN提供免费强大防火墙,极大增加网站安全性。
我们迪亚莫官网www.diiamo.cn主要面向大陆用户,可是自然引来很多海外访问,其中有大量机器人恶意访问/ 攻击。尤其是垃圾留言和扫描器,小迪已经手动拉黑几万个IP。
CloudFlare提供免费强大防火墙,支持高度自定义防火墙规则,效果非常好,可以拦截大量海外恶意访问。减少服务器负担和烦人的垃圾留言,增加安全性。
如何通过Saas链接CloudFlare?
网站通过Saas方式链接CloudFlare,请先准备好:
1)注册一个CloudFlare账号,并且绑定信用卡之类付款方式,这样才可以使用免费的Saas (自定义主机) 功能。注册教程请移步谷歌搜索;
2) 大陆网站A(要使用CloudFlare加速的那个网站)必须使用internal (a country)带智能解析(可以给不同地区添加不同解析)的域名解析服务;.
阿里云,华为云,腾讯云 (DNSPod) 之类大厂的域名解析都可以用。宝塔的域名解析不行,没有智能解析功能。
这个网站A域名强烈建议使用www形式,如果现在是不带www形式,我建议你马上先改成www形式,否则后面坑很多。
如果域名A在海外平台注册,建议把域名免费迁移到DNSPod之类平台,不想迁移的话可以改成使用DNSPod等域名解析服务。
3) 需要额外使用另外一个域名B通过修改NS方式链接CloudFlare (具体操作请移步谷歌搜索);域名B的后缀之类没任何要求,访客也看不到。可以在CloudFlare上面注册便宜新域名 (具体操作请移步谷歌搜索),简单又快。
小莫没办法每一步都写得很详细,有些很简单或者随便谷歌搜索、问AI有答案的东西需你自己去了解。
链接教程:
1- 需要有一个搭建好的网站A,能通过正式域名正常访问,安装好SSL证书。有没有链接其它国内CDN都行。假设网站A域名为 www.diiamo.cn;.
强烈建议国内网站使用www形式域名作为主域名,如果使用非www形式根域名兼容性差很多后续可能很多麻烦,例如根域名无法同时使用企业邮箱和CDN加速。
2- 辅助域名先通过修改NS的方式绑定CloudFlare,这个网上超多教程,也很简单,不多解释。假设辅助B域名为 diiamo.org;.
3- 在CF里给辅助域名添加一个二级域名,并且通过A解析记录绑定网站A服务器IP (按下图)。假设二级域名为 todiiamocn.diiamo.org;.
4- 进入CF的“自定义主机”板块↓,在回退源那里输入上面创建的二级域名 todiiamocn.diiamo.org。然后点击“添加自定义主机名”,输入网站A的域名www.diiamo.cn.
这个网站A域名强烈建议使用www形式,如果现在是不带www形式,我建议你马上先改成www形式,否则后面坑很多。
判断是否链接成功CF:
通过Saas链接CloudFlare内容到此结束,顺利的话网站已经成功通过SaaS绑定CloudFlare,境外访问走CF CDN。按下面方法判断是否生效。
1- 打开并且启用你的梯子软件 (科学上网工具) ,代理模式选“全局模式”↓,如果有“智能模式/路由”的话关闭;
2- 梯子软件线路选其它国家,最好选美国;
3- 打开你网站,刷新几次,按F12进入开发者工具,以此点击 “网络” > “文档” > “网址” > 查看 “响应标头”折叠板块内容。
如果有显示“cf-cache-status”、“cf-ray” 这2个内容表示成功链接CloudFlare。此时CF默认不会缓存HTML,所以正常会显示"cf-cache-status Bypass/ Miss"。
按下面 “网站链接CloudFlare实现修改后自动清理CDN缓存” 板块内容操作就能让CF缓存网站HTML。
提示:下面操作教程都是基于宝塔面板,如果你使用其它面板,方法和原理是一样的,只是操作路径不一样,请教AI就行。
把CloudFlare回源IP添加到防火墙白名单
需要把CDN 回源IP添加到你主机防火墙白名单,这样CDN才能顺利回源获取页面信息,否则网站可能出现异常。
取访客真实IP方式
默认情况下网站读取CloudFlare回源IP作为访客IP,这样的话防火墙无法发挥作用,因为CloudFlare回源IP上面已经添加到防火墙白名单,所以访客恶意操作几乎不会被拦截,很危险。
网站防火墙、防 CC 攻击、IP 黑/白名单等功能依赖准确的访客 IP 才能工作。如果底层拿不到真实 IP,防火墙可能会误判 CDN 的 IP 是攻击者,或者把真正的攻击者当成 CDN 节点放行。
同时也会导致网站很多功能异常,所以需要让网站知道哪个是真实访客IP。
宝塔设置CDN来源IP解析
宝塔面板首先要设置“CDN来源IP解析”,日志才能正确显示访客真实IP。这里分2种情况,1种是只使用CloudFlare,另外一种使用双CDN,例如跟小迪网站 (www.diiamo.cn) 一样大陆外访问走CloudFlare,大陆内访问走EdgeOne。
根据自己情况,选下面其中一个设置“CDN来源IP解析”。
只使用CloudFlare (单CDN) 如何设置CDN来源IP解析
默认情况下网站读取的是CloudFlare回源IP作为访客IP,这样的话防火墙无法发挥作用,因为CloudFlare回源IP上面已经添加到防火墙白名单,所以任何访客操作几乎不会被拦截。
使用双CDN如何设置CDN来源IP解析
如果跟小迪网站 (www.diiamo.cn) 一样大陆外访问走CloudFlare,大陆内访问走EdgeOne,需要特别设置。
宝塔Nginx防火墙设置
宝塔Nginx防火墙也要设置获取用户真实IP,拦截才能生效。
判断:把自己IP添加到防火墙白名单,然后使用浏览器隐私模式访问几个页面,等一会后去看下WAF > “防护事件” 里面记录的是否是你的真实IP,是的话就OK
监控报表设置获取客户真实IP
付费版本宝塔面板,可以免费使用 监控报表 功能↓。
判断:自己访问/操作几个页面,等一会后去看下监控报表里面记录的是否是你的真实IP,是的话就OK。
使用双CDN如何配置Nginx获取访客真实IP
弄完之后,一点要查看下接下来网站的访问情况,是否有很多访问异常,是否记录的都是客户真实IP,具体查看方法自己问AI之类。
可以查看宝塔网站访问日志,宝塔监控报表 (专业版及以上才有),WordFence“实时流量”记录等等。这些都有记录访客IP和访问状态码 (2和3开头为正常,4和5开头代表访问失败)。
WordFence设置获取用户真实 IP
WordFence插件也要设置合适的获取访客真实IP方式,这样WordFence防火墙才能发挥作用。
网站链接CloudFlare实现修改后自动清理CDN缓存
网站需要链接CloudFlare才能实现修改网站内容后,自动刷新CloudFlare CDN缓存。因为网站通过Saas方式链接,所以很多插件链接不了,目前只发现这个插件可以。
常见问题和错误
单CDN比较简单,按上面操作后就行,目前没遇到过问题。双CDN情况复杂很多,按上面教程几乎排完雷,正常运行。
如果购买了我们教程,或者是本周包年及以上客户遇到问题,欢迎联系微信客服反馈处理。
保存文章/产品提示554错误,保存不成功,耗时太长
编辑文章、产品保存时,有时候会提示下图错误↓。“该网页无法正常运作,HTTP ERROR 554”。刷新恢复正常,提示保存成功。
