Cloudflare是什么——从CDN到全能网络服务Cloudflare 本质上是一个全球网络加速和安全防护平台。你不需要自建服务器集群只需把你的网站域名 DNS 托管给 Cloudflare它就会自动接管你的流量缓存你的静态资源图片、CSS、JS到全球 330 个节点同时过滤掉恶意攻击如 DDoS让用户访问速度提升 50%-80%。核心功能就三个CDN加速用户从最近的节点加载你的网站而不是你的源服务器。比如一个上海用户访问你放在美国的网站Cloudflare 会把内容缓存到上海附近的节点加载时间从 2 秒降到 0.3 秒。安全防护自动拦截 SQL注入、XSS攻击、CC攻击。你不需要装任何防火墙软件Cloudflare 在边缘节点就把恶意流量挡掉了。SSL/TLS加密免费给你网站颁发 SSL 证书让用户通过 HTTPS 访问。你什么都不用配置开启“灵活”模式即可。一个例子说明一切假设你有一个博客网站源服务器在德国。没有 Cloudflare 时中国用户访问需要跨洋传输延迟 300ms。接入 Cloudflare 后中国用户从香港节点加载缓存页面延迟降到 30ms。同时如果有人用 100 万个僵尸 IP 攻击你的服务器Cloudflare 会在全球节点上直接丢弃这些请求你的源服务器毫发无损。怎么开始用注册 Cloudflare 账号 → 添加你的网站域名 → Cloudflare 给你两个 NS 地址 → 去你的域名注册商如阿里云、GoDaddy把 DNS 改成这两个地址 → 等 5 分钟生效。之后在 Cloudflare 仪表盘里开启“SSL/TLS”为“灵活”模式再打开“速度”选项卡里的“自动压缩”和“Brotli”即可。如果想深入下一步学习“Cloudflare Workers”边缘计算和“WAF 规则”自定义防火墙能让你在边缘节点直接运行代码实现更精细的流量控制。DNS托管把你的域名交给Cloudflare核心操作在Cloudflare添加你的域名然后去域名注册商比如阿里云、GoDaddy把DNS服务器改成Cloudflare提供的两个地址。改完后Cloudflare就接管了你域名的“电话簿”——所有访问请求先经过它再转发到你的服务器。为什么这么做改DNS服务器是唯一必须手动完成的一步。完成后Cloudflare会自动扫描你原来的DNS记录比如A记录、CNAME你只需核对一遍不需要重新创建。整个过程约5分钟之后域名解析就由Cloudflare处理。一个例子假设你的域名是example.com服务器IP是1.2.3.4。在Cloudflare添加域名后它会给你两个DNS服务器地址比如jade.ns.cloudflare.com和nash.ns.cloudflare.com。登录你的域名注册商找到“DNS管理”或“Name Server”设置把原来的地址替换成这两个。等几分钟最长48小时通常几分钟全世界访问example.com时就会先问Cloudflare然后它告诉你“去1.2.3.4找”。关键检查点改完DNS后在Cloudflare的DNS设置页确保你的A记录域名指向IP或CNAME记录域名指向另一个域名旁边有一个橙色云朵图标。橙色表示“代理已启用”——Cloudflare会隐藏你的真实IP并提供CDN加速。灰色表示“仅DNS”——直连你的服务器不经过Cloudflare。新手建议保持橙色。常见坑改DNS后如果你在Cloudflare添加的记录和注册商原有的记录冲突比如两个A记录指向不同IPCloudflare会保留它扫描到的那个。如果网站打不开先检查记录是否完整再确认橙色云朵状态。下一步想深入接下来可以看“Cloudflare SSL/TLS设置一键开启HTTPS”。Cloudflare 的代理模式开关就是 DNS 记录旁边那个橙色云朵图标。核心就一句话橙色云朵亮着流量走 Cloudflare灰色云朵流量直接到你的服务器。橙色云朵代理模式开启后访客请求先到 Cloudflare 的边缘节点再由 Cloudflare 转发到你的源服务器。好处是隐藏真实 IP、加速全球访问CDN、防 DDoS 攻击、还能开启 SSL 加密。唯一代价Cloudflare 会解密你的 HTTPS 流量再重新加密需要信任 Cloudflare。灰色云朵DNS Only访客直接通过 DNS 解析到你的服务器 IPCloudflare 只做域名解析。适合API 服务、需要保留真实 IP 的场景比如某些游戏服务器。注意灰色模式下Cloudflare 的 CDN 和安全功能全部失效。一个例子说明区别你的网站example.com解析到 IP1.2.3.4。橙色云朵访客 ping 到的是 Cloudflare 的 IP比如104.16.x.x你永远不知道源服务器 IP。灰色云朵访客直接 ping 到1.2.3.4你的服务器暴露在互联网上。什么时候用橙色几乎所有面向用户的网站、博客、电商——默认开橙色。只有当你需要绕过 Cloudflare 的代理比如调试、SSH 连接源服务器时才临时关掉。学习路径接下来可以看 Cloudflare 的“页面规则”和“SSL/TLS 加密模式”这两个功能配合橙色云朵能发挥最大作用。Cloudflare 的 SSL/TLS 加密本质是让你在不花一分钱、不写一行代码的情况下把网站从http://变成https://用户访问时数据自动加密浏览器地址栏多一把绿锁。核心操作只有两步在 Cloudflare 控制台打开 “SSL/TLS” 页面将加密模式设为“完全严格”。确保你的源服务器比如你的 VPS 或虚拟主机已经安装了免费证书比如 Lets Encrypt或者让 Cloudflare 帮你生成一个 “源服务器证书”。为什么选“完全严格”因为这是最安全的零成本方案用户 → Cloudflare 之间加密Cloudflare → 你的服务器之间也加密。如果选“灵活”模式用户到 Cloudflare 加密了但 Cloudflare 到你的服务器可能是明文等于白干。一个例子说明效果假设你有个博客example.com之前是http://访问时数据像明信片一样公开。开启 Cloudflare 的 SSL/TLS 后用户访问自动跳转到https://所有数据变成加密信封。你只需要在 Cloudflare 后台点两下开关不用修改服务器代码。注意如果你的服务器没装证书Cloudflare 会提示 “无法验证源服务器”。这时要么去服务器装个免费证书用 Certbot 一行命令搞定要么在 Cloudflare 的 “源服务器证书” 页面生成一个并粘贴到服务器配置里。如果想深入接下来可以看Cloudflare 的 “边缘证书” 自动续期机制以及如何强制所有 HTTP 请求跳转到 HTTPS在 “页面规则” 里加一条规则。Cloudflare 加速你的网站核心三板斧缓存静态文件、自动压缩传输数据、用全球 CDN 就近响应。这三件事同时做你的网站加载速度能快 3-10 倍。缓存让重复访问秒开Cloudflare 默认缓存图片、CSS、JS 等静态资源。用户第一次访问时文件从你的服务器取之后所有访问都从 Cloudflare 的全球节点直接返回不再麻烦你的服务器。你只需在仪表盘打开“缓存”开关再设置“缓存级别”为“标准”。一个例子你的网站 logo 图 500KB缓存后全球用户访问它只需 10ms而不是从你的香港服务器花 500ms 下载。自动压缩省流量、提速度Cloudflare 会自动用 Brotli 或 Gzip 压缩 HTML、CSS、JS 等文本文件压缩率通常达 70%。开启方法在“速度”页打开“自动压缩”和“Brotli”。效果一个 100KB 的 JS 文件压缩后只剩 30KB用户下载时间从 1 秒降到 0.3 秒。全球 CDN物理距离变近Cloudflare 有 330 个数据中心。用户访问时DNS 自动解析到离他最近的节点数据从那个节点返回。你无需配置任何东西免费套餐自动生效。直观感受纽约用户访问你的北京网站原本要绕半个地球200ms现在从纽约本地节点返回5ms。实操三步走在 Cloudflare 仪表盘进入“速度”页打开“自动压缩”和“Brotli”。进入“缓存”页确认“缓存级别”为“标准”并开启“开发模式”关闭否则缓存失效。等 5 分钟用浏览器开发者工具F12看“网络”标签静态文件应显示“cf-cache-status: HIT”或“x-served-by: xxx”。想深入接下来可以看“页面规则”——它能让你对特定 URL 单独设置缓存时间比如把 API 响应缓存 1 小时。防火墙规则的核心就一句话只放行你信任的流量其他全挡掉。Cloudflare 的防火墙规则WAF让你用“如果...则...”的逻辑来定义如果请求符合某个条件比如 IP 来自中国、访问路径是 /wp-admin则执行动作允许、阻止、质询。DDoS 缓解更简单Cloudflare 默认开启。你不需要配置任何东西它就能吸收大流量攻击。但你需要打开“Under Attack”模式在仪表盘“安全”-“设置”里这个模式会强制所有访客通过 JS 质询直接过滤掉非人类流量。一个例子就够了你的网站被刷登录页面/login导致服务器崩溃。你在防火墙规则里写如果“请求路径”包含“/login”且“请求速率”超过每分钟 100 次则执行“质询Challenge”。这样正常用户看到验证码攻击机器被挡掉。关键动作只有三个开启“Under Attack”模式应对突发攻击创建速率限制规则保护登录、API 等敏感路径封锁已知恶意 IP 段在防火墙规则里直接阻止记住防火墙规则写在“安全”-“WAF”里速率限制在“安全”-“速率限制”里。规则从上到下匹配先匹配到的先执行。学习路径想深入接下来看 Cloudflare 官方文档的“Rate Limiting”和“IP Access Rules”部分以及如何用“托管质询”替代传统验证码。页面规则一条规则搞定复杂场景页面规则是Cloudflare最强大的武器它让你对特定URL做定制化操作——比如强制HTTPS、重定向、缓存控制、安全设置。核心逻辑匹配URL → 执行动作。一条规则可以叠加多个动作一次搞定。规则结构只有两部分URL匹配支持通配符*和模式匹配。例如example.com/blog/*匹配所有博客文章。动作从下拉菜单选择比如“重定向301”、“缓存级别”、“安全等级”。优先级规则从上到下执行第一条匹配后停止。把最具体的规则放前面。一个例子博客文章强制HTTPS 缓存优化假设你的博客在example.com/blog/想让所有文章强制HTTPS并缓存3小时。新建规则URL填example.com/blog/*添加动作1“始终使用HTTPS”勾选添加动作2“缓存级别”→ 选择“标准”添加动作3“边缘缓存TTL”→ 设为3小时结果用户访问http://example.com/blog/post1自动跳转HTTPS且页面被Cloudflare缓存3小时减少服务器负载。三个常用场景重定向旧域名到新域名用“转发URL”动作选301永久重定向。安全加固对后台路径如/admin设置“安全等级”为“高”触发验证码。性能调优对静态资源如/assets/*设置“缓存级别”为“缓存所有内容”并关闭“自动优化”。避坑指南规则数量有限免费版3条Pro版20条。优先覆盖高流量路径。通配符不要滥用*匹配任意字符但example.com/*会匹配所有子路径谨慎使用。测试规则在Cloudflare仪表盘“规则”页点击“测试”输入URL看是否命中。如果想深入接下来学习“缓存规则”和“转换规则”它们比页面规则更灵活支持更多条件组合。Workers 是 Cloudflare 的边缘计算服务让你在全球 300 节点直接运行 JavaScript 代码无需管理服务器。用户请求到达最近的 Cloudflare 节点时Workers 代码立即执行并返回响应——延迟极低成本几乎为零。核心能力拦截并修改任何经过 Cloudflare 的 HTTP 请求或响应。你可以用它做 API 网关、A/B 测试、自定义缓存规则、URL 重写甚至搭建完整后端服务。每次请求独立运行自动扩缩容无需关心并发。一个例子假设你想给网站所有图片加上水印。传统做法是上传时处理或部署图片处理服务。用 Workers只需写几十行代码当请求图片时Workers 从源站获取原图用 Canvas API 在边缘节点动态绘制水印再返回给用户。用户看到带水印的图片源站文件完全不变且处理过程在离用户最近的节点完成速度极快。上手三步登录 Cloudflare 控制台进入 Workers Pages 页面。点击“创建 Worker”选择“Hello World”模板。修改代码部署后即可通过你的worker名.用户名.workers.dev访问。关键限制免费计划每天 10 万次请求每个 Worker 内存 128MBCPU 时间 10ms付费可提升。不支持 Node.js 原生模块但兼容 Web API如 fetch、Crypto、Cache。如果想深入接下来可以学 Workers 的 KV 存储持久化数据、D1 数据库SQL 查询、Cron Triggers定时任务以及用 Wrangler 命令行工具本地开发和部署。Cloudflare 分析仪表盘3分钟读懂你的流量与威胁核心指标你只需要盯住这3个数字总请求数你的网站被访问了多少次。突然暴涨可能是好事流量来了也可能是坏事被攻击。唯一访问者真实的独立用户数剔除爬虫和重复请求。缓存命中率Cloudflare 替你挡掉了多少流量。高于 60% 说明配置健康低于 30% 说明你的缓存策略有问题。安全事件别被“威胁”吓到威胁指 Cloudflare 自动拦截的恶意请求比如 SQL 注入、XSS 攻击。速率限制是你手动设置的规则——比如“同一个 IP 每秒超过 100 次请求就封掉”。一个例子你看到“威胁”数字突然从 10 跳到 1000别慌。点进去看来源 IP如果全是同一个直接加一条 WAF 规则永久封禁。如果分散在多个 IP可能是扫描器在试探开“Bot Fight Mode”自动处理。性能面板速度是隐形的钱首字节时间 (TTFB)用户发出请求到你服务器返回第一个字节的时间。理想值 200ms。最大内容绘制 (LCP)页面主要内容加载完成的时间。目标 2.5s。操作如果 TTFB 高检查你的源站服务器响应速度可能是数据库慢或代码烂。如果 LCP 高优化图片大小或启用 Cloudflare 的自动压缩。日志与实时数据别等出问题才看实时统计右上角切换“过去 30 分钟”适合监控突发流量。日志在“分析” “日志”里可以按国家、状态码、路径筛选。比如发现 404 错误突然增多可能是被删掉的页面还在被引用直接重定向即可。如果想深入接下来可以看Cloudflare 的“防火墙规则”和“缓存配置”文档——这两个是让你从“会用”到“能优化”的关键。DNS 传播、证书错误、502——这三个是Cloudflare最常见的坑解决它们不需要懂网络原理只需要知道三步排查法。1. DNS传播改了记录但没生效核心原因DNS修改需要时间在全球服务器同步通常几分钟到一小时。快速验证用dig命令Mac/Linux或nslookupWindows查域名指向的IP。如果返回的是旧IP说明还在传播中。唯一有效操作等。别反复改改一次就等。例外如果超过24小时未更新检查Cloudflare控制台是否开启了“橙色云”代理模式代理模式会隐藏真实IP导致外部查不到你的服务器IP。2. 证书错误浏览器提示不安全核心原因Cloudflare的SSL证书未正确覆盖你的域名。快速排查在Cloudflare控制台进入“SSL/TLS”页面确认“Full严格”模式已开启。唯一有效操作如果证书状态显示“未激活”点击“重新颁发证书”按钮等待5分钟。例外如果你用了第三方CDN或负载均衡必须上传自定义证书否则Cloudflare无法自动签发。3. 502错误网站显示“Bad Gateway”核心原因Cloudflare无法连接你的源服务器你的真实服务器。快速排查先关闭Cloudflare的“代理模式”把橙色云点成灰色直接访问你的服务器IP。如果IP能打开问题在Cloudflare如果也报错问题在服务器。唯一有效操作检查服务器防火墙是否放行了Cloudflare的IP段官方文档有完整列表以及服务器是否正常运行。例外如果服务器返回了HTTP 502但Cloudflare显示“502”通常是服务器超时或崩溃重启服务器即可。想深入接下来看Cloudflare官方文档的“Troubleshooting”板块重点读“DNS Propagation”和“SSL/TLS Error”章节。