在优化网站访问速度与保护服务器真实 IP 时,**如何使用Cloudflare进行域名解析?**是每一位现代站长与科学上网用户的必修课。
Cloudflare 是一家全球领先的 DNS 服务商,提供业内响应速度最快且完全免费的域名托管、免费 SSL 证书、DDoS 攻击防护和内容分发网络(CDN)服务。用户只需在 Cloudflare 后台添加域名并选择免费(Free)方案,接着在域名注册商处将域名服务器(Nameservers)修改为 Cloudflare 的专属 DNS 地址并激活即可。在开启代理(橙色云朵)以实现 CDN 和安全保护时,务必根据源站配置选择正确的 SSL/TLS 加密模式(建议“完全”或“严格”),以避免发生死循环重定向。
什么是 Cloudflare?
Cloudflare(通常简称为 CF)是全球最著名的内容分发网络(CDN)与云安全防护公司之一。其核心业务包括智能 DNS 解析、CDN 缓存加速、免费 SSL/TLS 证书、Web 应用防火墙(WAF)以及强大的抗 DDoS 流量清洗服务。目前,互联网上超过 20% 的网站都依托 Cloudflare 的全球边缘节点网络运行。
对个人站长和技术爱好者而言,Cloudflare 的 免费(Free)套餐 极其厚道且强大。即使不花一分钱,你也能享受到全球解析速度极快的 DNS 服务,并为网站戴上隐藏真实源站 IP 的“安全面具”,从而免受网络恶意扫描和攻击。
核心概念厘清:橙色云朵(Proxy)与灰色云朵(DNS Only)
在 Cloudflare 的 DNS 管理页面中,每一条解析记录(如 A 记录)右侧都有一个云朵图标。理解这两个图标的区别是使用 Cloudflare 的核心基本功:
graph LR
User[用户浏览器] -->|1. 查询域名| CF_DNS[Cloudflare DNS 解析]
CF_DNS -->|灰色云朵: 纯解析| Host_IP[直接暴露源站真实 IP]
CF_DNS -->|橙色云朵: Proxy 代理| CF_Node[流量经过 CF 边缘清洗节点]
CF_Node -->|2. 加速与防护| Host_IP
1. 橙色云朵:Proxy(已代理模式)
- 原理:用户的流量不会直接到达你的服务器,而是先流向 Cloudflare 遍布全球的边缘节点,清洗过滤后再由 CF 节点回源访问你的真实服务器。
- 优点:
- 隐藏源站 IP:外部只能查询到 Cloudflare 的节点 IP,从而彻底防范针对源站服务器的直接网络攻击。
- 启用 CDN 加速:自动缓存静态网页文件(如图片、JS、CSS),节省服务器带宽并加速全球加载速度。
- 免费 SSL 证书:Cloudflare 自动在前端边缘生成 HTTPS 证书。
- 适用场景:个人博客、企业网站、商城,或者支持 WebSocket/gRPC 传输协议的节点(必须经过 HTTP 协议代理)。
2. 灰色云朵:DNS Only(仅限 DNS 模式)
- 原理:Cloudflare 仅作为一个单纯的 DNS 解析服务器,把域名的真实 IP 直接返回给用户浏览器,不参与后续的任何数据传输中转。
- 优点:直接连接,解析无多余的代理跳转延迟;完全支持所有非 HTTP 的原生网络协议。
- 缺点:真实源站 IP 彻底暴露,容易成为攻击目标。
- 适用场景:邮件服务器的 MX 记录、SSH 直连、SFTP 数据传输,以及 Hysteria 2、Trojan TCP Direct 等无法经过标准 HTTP 代理中转的非标准科学上网节点。
第一步:手把手域名解析托管配置指南
下面是 2026 年最新版 Cloudflare 域名添加与 DNS 解析设置的完整步骤:
1. 创建 Cloudflare 账号
- 访问 Cloudflare 官方网站 ,点击右上角的 「注册 (Sign Up)」。
- 输入您的电子邮箱并设置高强度密码。
- 密码安全要求:
- 必须包含至少 8 个字符。
- 必须包含至少 1 个数字。
- 必须包含至少 1 个特殊字符(例如:
$,!,@,%,&)。 - 密码前后不能有空格。
2. 添加你的域名站点
- 注册成功并登录后台后,点击 「添加站点 (Add a Site)」(新注册用户登录后会自动引导至此页面)。
- 在输入框中填写你在域名商处购买的域名(例如
myawesomeblog.com),点击 「继续 (Continue)」。
3. 选择免费解析套餐
- 套餐对比页会列出 Pro、Business、Enterprise 等付费套餐。
- 向下滚动页面,在最下方找到 「Free(免费)」 选项卡(免费版提供的 DDoS 防护与 CDN 加速对个人及小微企业完全够用)。
- 勾选 Free 后,点击下方 「继续 (Continue)」。
4. 扫描并补充 DNS 解析记录
- 选择 Free 套餐后,Cloudflare 会启动智能扫描,自动尝试从你原有的 DNS 服务商处拉取已存在的解析记录(A、CNAME、MX 等)。
- 仔细核对扫描出的记录:如果发现缺失,你可以点击 「添加记录 (Add Record)」 按钮手动进行补充:
- 类型 (Type):一般选
A记录。 - 名称 (Name):输入
@(代表根域名myawesomeblog.com)或www(代表子域名www.myawesomeblog.com)。 - IPv4 地址:输入你的 VPS 或网站服务器的公网 IP 地址。
- 代理状态:根据需求开启橙色云朵(已代理)或灰色云朵(仅 DNS)。
- 类型 (Type):一般选
- 确认所有解析记录无误后,点击 「继续 (Continue)」。
第二步:更改域名解析服务器(Nameservers)
配置完 DNS 记录后,Cloudflare 会指派给你两个专属的域名解析服务器地址(Nameservers),格式通常为:
xxxx.ns.cloudflare.comyyyy.ns.cloudflare.com
你需要前往你的域名注册商后台,将原有的域名服务器替换为 Cloudflare 提供的这两个地址。这里我们以广受欢迎的国外免实名域名商 NameSilo 购买域名 为例进行演示:
- 登录你的 NameSilo 账户 。
- 导航至 「Domain Manager」(域名管理器)。
- 勾选你需要修改的域名,在顶部菜单栏点击 「Change Nameservers」 按钮(图标为一个带两个蓝色箭头指向的地球)。
- 在文本域中,删除原本默认的 3 个
dnsowl.com服务器记录。 - 将 Cloudflare 分配给你的两个 Nameservers 地址填入第一和第二栏。
- 点击 「Submit」。保存修改后,回到 Cloudflare 界面,点击 「立即检查名称服务器 (Check nameservers now)」。
⚠️ 避坑指南一:重定向死循环 (ERR_TOO_MANY_REDIRECTS) 的三种解法
在 Cloudflare 成功开启橙色云朵(Proxy 代理)后,许多站长访问自己的网站时会报错 ERR_TOO_MANY_REDIRECTS(重定向次数过多)。这是由于 Cloudflare 边缘的 SSL 加密设置与源站 HTTPS 配置发生了冲突。
1. 产生原因
当源站服务器(如 Nginx/Apache)配置了“强制将 HTTP 流量 301 重定向至 HTTPS”,而你的 Cloudflare 「SSL/TLS 模式」 处于默认的 「灵活 (Flexible)」 状态时:
用户 ──(HTTPS)──> Cloudflare ──(HTTP)──> 源站
▲ │
│ (重定向301) 依法引导至 HTTPS
└────────────┘- 由于 Flexible 模式下,Cloudflare 与源站的交互强制使用 HTTP。
- 源站收到 HTTP 请求后,因配置了强制 HTTPS,又发出 301 重定向让客户端去访问 HTTPS。
- Cloudflare 收到 301 信号后再次通过 HTTP 去访问源站。
- 如此周而复始,形成死循环。
2. 加密模式正确匹配表
你可以通过登录 Cloudflare 后台,在左侧菜单点击 「SSL/TLS」 -> 「概述」,将模式调整为适合你站点的加密级别:
| Cloudflare SSL/TLS 模式 | 源站服务器证书要求 | 传输过程安全性 | 适用与推荐场景 |
|---|---|---|---|
| Off(关闭) | 无需安装任何证书 | 无加密(纯 HTTP) | 仅用于极少数老旧、不带加密的实验性项目。 |
| Flexible(灵活) | 源站无需安装 SSL 证书 | 仅浏览器到 CF 之间加密。CF 到源站之间为明文传输 | 极易发生死循环重定向。仅建议在源站完全无法申请/安装证书的过渡时期使用。 |
| Full(完全) | 允许安装自签名、过期或非信任机构的 SSL 证书 | 全程加密。CF 节点不会验证源站证书的有效性 | 适合源站使用临时证书的常规加密加速项目。 |
| Full (Strict)(完全-严格) | 源站必须安装由权威机构签发的、在有效期内的有效 SSL 证书(如 Let’s Encrypt) | 全程高强度加密。CF 节点会严格验证源站证书,最安全 | ⭐⭐⭐ 最佳安全实践推荐。彻底杜绝 CF 节点与源站之间的“中间人(MitM)”窃听风险。 |
⚠️ 避坑指南二:安全切换 Nameservers 避开旧 DNSSEC 签名冲突
修改 DNS 地址后,如果全球各地的 DNS 检测提示 SERVFAIL,意味着域名解析被拦截。这通常是由于在原注册商端开启了 DNSSEC(域名系统安全扩展)锁。
DNSSEC 会在顶级域名注册局中写入该域名原 DNS 解析商的 DS(数字签名)记录。如果你直接把 Nameservers 换成 Cloudflare,全球公共 DNS 尝试校验域名时,发现 Cloudflare 返回的 DNS 记录与注册局中的旧 DS 记录数字签名无法匹配,为了防止劫持,会直接拦截该解析并报错。
彻底避免 SERVFAIL 瘫痪的正确步骤:
- 换 NS 之前:先进入 NameSilo 域名管理器,点击域名的 「DNSSEC」 图标,彻底删除里面的旧 DS 记录。
- 换 NS 后:修改域名 Nameservers 为 Cloudflare,等待 CF 提示解析生效激活。
- 重新签名:进入 Cloudflare 后台的 「DNS」 -> 「DNSSEC」,点击 「启用 DNSSEC」。
- 回填安全锁:将 Cloudflare 页面上生成的全新 DS 记录参数(包括密钥标记、算法、摘要类型、摘要内容),原封不动地填回 NameSilo 后台的 DNSSEC 管理器中。
第三步:全球 DNS 解析生效与 CDN 节点覆盖检测实战
在域名服务器完成切换后,Nameservers 全球缓存刷新需要一定的时间。你可以使用以下两个实用的工具来检测解析状态:
- 全球解析节点检测:访问 WhatsMyDNS
,在输入框中输入你的域名,下拉框选择 「NS」。若全球绝大多数节点的 NS 记录已经正确显示为
alan.ns.cloudflare.com等地址,说明解析已全球生效。 - 国内 CDN 生效检测:访问 ITDOG
,输入你的域名进行 Ping 测试。
- 如何判断 CDN 开启成功:如果在检测结果中,中国联通、中国电信、中国移动等不同省份测速点所解析出的 IP 地址并不是你真实的 VPS 服务器 IP,而是分布在美洲、欧洲或亚太的 Cloudflare 节点公网 IP(常见如
104.x.x.x或172.x.x.x系列),说明橙色云朵代理已经完美生效,你的源站 IP 得到了成功的保护。
- 如何判断 CDN 开启成功:如果在检测结果中,中国联通、中国电信、中国移动等不同省份测速点所解析出的 IP 地址并不是你真实的 VPS 服务器 IP,而是分布在美洲、欧洲或亚太的 Cloudflare 节点公网 IP(常见如
相关推荐
- 如何使用NameSilo注册域名?2026最新便宜域名注册购买与DNS解析避坑指南
- 如何购买与使用Just My Socks?2026最新搬瓦工官方机场配置与避坑指南
- 如何使用IP和ASN查询工具?2026最新网络归属地与自治系统解析指南
- 如何下载与使用v2rayN?2026最新Windows科学上网客户端配置与避坑指南
- 如何下载与使用Clash Verge?2026最新Mihomo内核客户端配置与避坑指南
本文图片来源于Unsplash,遵循Unsplash License免费使用。