Cloudflare CDN 如何接入详细操作教程
最近在後台收到一堆私信問Cloudflare接入問題,乾脆擼起袖子寫篇保姆級教程。這年頭做網站不套個CDN就像裸奔上街,Cloudflare算是業界良心了,免費版都能扛住日常攻擊,但很多人卡在第一步就放棄。
先潑盆冷水:別指望五分鐘搞定的童話。Cloudflare最磨人的是前期域名轉移,特別是老域名。去年幫某電商遷移時,他們舊DNS有十幾條MX記錄,光核對就花了兩小時。記住:接入前先導出當前DNS記錄截圖備份,血淚教訓。
註冊帳號這步跳過不表,重點說坑位。添加站點時很多人手抖輸錯頂級域名,回頭發現子域名全飄紅。見過最絕的案例是有人把cloudflare.com當自己域名輸進去,系統居然真給解析了(笑)。
關鍵在NS切換這步。當你看到Cloudflare分配的那兩個醜萌的ns域名(比如kay.ns.cloudflare.com),別猶豫立刻去域名註冊商後台替換。有個隱形雷區:某些國外註冊商要等48小時生效,期間網站可能抽風。曾遇過客戶panic call說公司官網崩了,結果只是在過渡期。
SSL/TLS設置才是重頭戲。免費版給的通用證書其實夠用,但強迫症患者建議開「完全」模式。這裡藏著個魔鬼細節:如果源服務器沒裝Cloudflare源證書,開啟嚴格模式會直接熔斷。去年某金融平台升級時沒注意,整個API接口癱了半小時。
防火牆規則別無腦開。默認的「我受到攻擊」模式會攔截所有可疑JS請求,電商網站開這個等於自殺。實測把安全級別調到「中」+啟用挑戰過期(Challenge Passage)能平衡體驗與安全。遇到CC攻擊時再手動開盾,比某些CDN全程驗證碼友善多了。
緩存配置是性能命門。見過有人抱怨套了CDN反而變慢,一查發現html頁面設了緩存30天。正確姿勢是:靜態資源cache everything+邊緣緩存TTL半年,動態內容繞過緩存。高級玩家可以用Page Rules自定義/wp-admin/*這類路徑規則。
最後說個業內黑話:Railgun。這貨是Cloudflare的源站加速黑科技,但免費版別想。替代方案是在服務器裝Cloudflare插件做TCP優化,實測能降源站負載40%。不過大陸機房慎用,某些線路會觸發QoS限速。
真正的大殺器在Spectrum。當你發現網站被百G級DDoS轟炸時,普通CDN早躺平了。這服務能讓非HTTP流量(比如遊戲服務器)也享受Anycast防護,當然價格夠買台跑車。中小站建議用免費版WAF規則攔截惡意爬蟲,足夠擋住90%野蠻攻擊。
接入只是開始。去年監控某客戶站點發現,攻擊者專挑北京時間凌晨切換攻擊模式。後來在防火牆裡設了地理圍欄,亞洲IP白天開嚴格模式,歐美流量夜間放寬,這才消停。玩轉Cloudflare得學會和攻擊者鬥時差。
評論: