Cloudflare Docker部署教程｜适合跨境电商

一、为什么跨境电商需要 Cloudflare + Docker？

对于跨境电商网站来说，访问用户往往分布在全球不同地区，例如北美、欧洲、东南亚、中东等市场。网站不仅要能“打开”，还要做到访问速度快、稳定性高、安全性强。尤其是独立站、品牌站、ERP后台、支付回调服务、图片资源服务等，都可能面临以下问题：

• 海外用户访问速度慢；
• 服务器源站暴露，容易被攻击；
• 网站遭遇 DDoS、恶意爬虫、刷接口；
• SSL证书配置复杂；
• 多地区访问体验不稳定；
• 运维部署环境不统一；
• 业务系统迁移困难。

Cloudflare 是全球知名的 CDN、安全防护和网络加速平台，提供 DNS 托管、CDN缓存、SSL证书、WAF防火墙、Bot防护、DDoS防护、Zero Trust、Tunnel 内网穿透等能力。

Docker 则可以帮助我们将应用、反向代理、Cloudflare Tunnel 等服务容器化部署，使环境更加统一，迁移更加方便，也便于后续扩展和维护。

本文将以跨境电商常见场景为基础，介绍如何使用 Docker 部署 Cloudflare Tunnel，并结合 Nginx 或电商应用服务，实现安全、稳定、适合海外访问的网站架构。

二、适用场景说明

本文适合以下用户阅读：

1. 正在搭建 Shopify 之外的独立站系统；
2. 使用 WordPress、WooCommerce、Magento、Shopware、Laravel、Next.js 等自建电商系统；
3. 需要将本地或云服务器上的服务通过 Cloudflare 安全发布到公网；
4. 想隐藏源站 IP，降低被攻击风险；
5. 希望通过 Docker Compose 管理 Web 服务和 Cloudflare Tunnel；
6. 需要为海外客户、海外仓、供应链后台提供稳定访问入口；
7. 有一定 Linux、Docker 基础的运维人员或站长。

本文主要讲解的是 Cloudflare Tunnel + Docker 的部署方式。它的好处是：服务器不需要直接开放 80、443 端口，外部访问请求先进入 Cloudflare，再通过加密隧道转发到你的 Docker 服务。

三、整体架构说明

传统部署方式通常是：

用户浏览器 → 域名DNS → 服务器公网IP → Nginx → Web应用

这种方式的问题是源站 IP 容易暴露，一旦被扫描或攻击，Cloudflare 的防护能力就可能被绕过。

使用 Cloudflare Tunnel 后，架构变为：

海外用户
   ↓
Cloudflare CDN / WAF / SSL / DNS
   ↓
Cloudflare Tunnel 加密隧道
   ↓
Docker服务器
   ↓
Nginx / 电商应用 / API服务

在这种架构下：

• 用户访问域名时，请求先进入 Cloudflare；
• Cloudflare 根据配置将请求通过 Tunnel 转发到你的服务器；
• 服务器上的 cloudflared 容器主动连接 Cloudflare；
• 源站无需暴露公网端口；
• 你可以隐藏真实服务器 IP；
• 可以配合 Cloudflare WAF、缓存、防火墙规则增强安全性。

四、准备工作

在开始部署之前，你需要准备以下资源。

1. 一台服务器

建议选择海外云服务器，例如：

• 美国洛杉矶；
• 美国硅谷；
• 新加坡；
• 日本东京；
• 德国法兰克福；
• 英国伦敦；
• 香港地区。

如果你的主要市场是美国，建议服务器放在美国西海岸或中部；如果主要市场是欧洲，建议选择德国、法国、荷兰或英国；如果面向东南亚，可以考虑新加坡。

最低配置建议：

CPU：1核以上
内存：1GB以上
系统：Ubuntu 22.04 LTS / Debian 12
硬盘：20GB以上
带宽：建议按实际业务选择

如果是正式跨境电商站点，建议至少：

CPU：2核
内存：2GB 或 4GB
硬盘：40GB SSD

2. 一个域名

你需要准备一个域名，例如：

example.com
www.example.com
admin.example.com
api.example.com

建议将域名托管到 Cloudflare DNS。跨境电商独立站通常建议使用 .com 域名，利于品牌形象和海外用户信任。

3. Cloudflare 账号

前往 Cloudflare 官网注册账号：

https://dash.cloudflare.com/

添加你的域名，并按照提示将域名的 NS 服务器修改为 Cloudflare 提供的地址。

4. 安装 Docker 和 Docker Compose

以 Ubuntu 为例，先更新系统：

sudo apt update
sudo apt upgrade -y

安装必要依赖：

sudo apt install -y ca-certificates curl gnupg lsb-release

安装 Docker：

curl -fsSL https://get.docker.com | sudo bash

启动 Docker：

sudo systemctl enable docker
sudo systemctl start docker

查看版本：

docker version

安装 Docker Compose 插件：

sudo apt install -y docker-compose-plugin

查看 Docker Compose 版本：

docker compose version

五、创建 Cloudflare Tunnel

Cloudflare Tunnel 有两种常见部署方式：

1. 在服务器上登录 Cloudflare 并创建 Tunnel；
2. 在 Cloudflare Zero Trust 控制台创建 Tunnel，然后复制 Token 到 Docker 中运行。

对于大多数跨境电商站长来说，第二种方式更简单，推荐使用。

1. 进入 Zero Trust 控制台

登录 Cloudflare 后，进入：

Zero Trust → Networks → Tunnels

如果是首次使用，Cloudflare 可能会要求你创建团队名称。按照页面提示完成即可。

2. 创建 Tunnel

点击：

Create a tunnel

选择：

Cloudflared

输入 Tunnel 名称，例如：

crossborder-shop-tunnel

然后选择 Docker 环境。Cloudflare 会生成一段运行命令，类似：

docker run cloudflare/cloudflared:latest tunnel --no-autoupdate run --token <你的TOKEN>

其中 <你的TOKEN> 是非常重要的密钥，不能公开泄露。

六、使用 Docker Compose 部署 cloudflared

虽然 Cloudflare 页面提供的是 docker run 命令，但生产环境更推荐使用 docker compose 管理。

创建项目目录：

mkdir -p /opt/crossborder-cloudflare
cd /opt/crossborder-cloudflare

创建 docker-compose.yml 文件：

nano docker-compose.yml

写入以下内容：

services:
  cloudflared:
    image: cloudflare/cloudflared:latest
    container_name: cloudflared
    restart: unless-stopped
    command: tunnel --no-autoupdate run --token YOUR_CLOUDFLARE_TUNNEL_TOKEN

将 YOUR_CLOUDFLARE_TUNNEL_TOKEN 替换为你在 Cloudflare 后台复制的 Token。

启动服务：

docker compose up -d

查看容器状态：

docker ps

查看日志：

docker logs -f cloudflared

如果看到类似以下内容，说明 Tunnel 已经连接成功：

Registered tunnel connection
Connection established

七、部署一个示例电商站点服务

为了演示，我们先使用 Nginx 容器模拟一个电商站点首页。实际业务中，你可以替换为 WooCommerce、Magento、Laravel、Node.js、Next.js 或其他应用。

修改 docker-compose.yml：

services:
  web:
    image: nginx:alpine
    container_name: crossborder-web
    restart: unless-stopped
    volumes:
      - ./html:/usr/share/nginx/html:ro
    networks:
      - shop-net

  cloudflared:
    image: cloudflare/cloudflared:latest
    container_name: cloudflared
    restart: unless-stopped
    command: tunnel --no-autoupdate run --token YOUR_CLOUDFLARE_TUNNEL_TOKEN
    networks:
      - shop-net

networks:
  shop-net:
    driver: bridge

创建首页目录：

mkdir -p html

创建测试首页：

nano html/index.html

写入：

  
  


  
跨境电商独立站已通过 Cloudflare Tunnel 部署成功
  
Hello Global Customers!

重新启动：

docker compose up -d

八、在 Cloudflare 中配置 Public Hostname

接下来需要告诉 Cloudflare：当用户访问哪个域名时，将流量转发到 Docker 内部的哪个服务。

进入：

Zero Trust → Networks → Tunnels → 选择你的 Tunnel → Public Hostname

点击：

Add a public hostname

假设你的域名是：

example.com

你可以配置：

Subdomain：shop
Domain：example.com
Path：留空
Service Type：HTTP
URL：crossborder-web:80

最终访问地址就是：

https://shop.example.com

注意：这里的 crossborder-web:80 是 Docker Compose 网络中的容器名和端口。因为 cloudflared 和 web 在同一个 Docker 网络 shop-net 中，所以 cloudflared 可以通过容器名访问 Nginx。

保存后，等待几十秒，然后在浏览器访问：

https://shop.example.com

如果能看到测试页面，说明部署成功。

九、部署真实跨境电商应用的示例

1. WordPress + WooCommerce 示例

如果你使用 WooCommerce，可以采用如下结构：

services:
  wordpress:
    image: wordpress:php8.2-apache
    container_name: wordpress-shop
    restart: unless-stopped
    environment:
      WORDPRESS_DB_HOST: mysql
      WORDPRESS_DB_USER: shopuser
      WORDPRESS_DB_PASSWORD: strong_password_here
      WORDPRESS_DB_NAME: shopdb
    volumes:
      - ./wordpress:/var/www/html
    networks:
      - shop-net

  mysql:
    image: mysql:8.0
    container_name: wordpress-mysql
    restart: unless-stopped
    environment:
      MYSQL_DATABASE: shopdb
      MYSQL_USER: shopuser
      MYSQL_PASSWORD: strong_password_here
      MYSQL_ROOT_PASSWORD: root_strong_password_here
    volumes:
      - ./mysql:/var/lib/mysql
    networks:
      - shop-net

  cloudflared:
    image: cloudflare/cloudflared:latest
    container_name: cloudflared
    restart: unless-stopped
    command: tunnel --no-autoupdate run --token YOUR_CLOUDFLARE_TUNNEL_TOKEN
    networks:
      - shop-net

networks:
  shop-net:
    driver: bridge

Cloudflare Public Hostname 配置为：

Service Type：HTTP
URL：wordpress-shop:80

访问：

https://shop.example.com

然后按照 WordPress 页面提示完成安装，再安装 WooCommerce 插件即可。

2. Node.js / Next.js 电商前端示例

如果你的跨境电商前端是 Next.js，可以参考：

services:
  frontend:
    image: node:20-alpine
    container_name: next-shop
    restart: unless-stopped
    working_dir: /app
    volumes:
      - ./app:/app
    command: sh -c "npm install && npm run build && npm run start"
    networks:
      - shop-net

  cloudflared:
    image: cloudflare/cloudflared:latest
    container_name: cloudflared
    restart: unless-stopped
    command: tunnel --no-autoupdate run --token YOUR_CLOUDFLARE_TUNNEL_TOKEN
    networks:
      - shop-net

networks:
  shop-net:
    driver: bridge

如果 Next.js 默认运行在 3000 端口，则 Cloudflare Public Hostname 配置为：

Service Type：HTTP
URL：next-shop:3000

十、Cloudflare SSL/TLS 配置建议

跨境电商网站必须使用 HTTPS，否则会影响用户信任、支付安全和 SEO 表现。

进入 Cloudflare：

SSL/TLS → Overview

建议选择：

Full

如果你的源站本身也配置了有效证书，可以选择：

Full strict

使用 Cloudflare Tunnel 时，用户到 Cloudflare 是 HTTPS，Cloudflare 到 Tunnel 也是加密连接。对于大多数 Docker 内部 HTTP 服务来说，通过 Tunnel 暴露时可以先使用 HTTP 转发，外部依然是 HTTPS。

同时建议开启：

SSL/TLS → Edge Certificates

开启以下选项：

• Always Use HTTPS；
• Automatic HTTPS Rewrites；
• Minimum TLS Version 设置为 TLS 1.2 或更高；
• HTTP Strict Transport Security 可根据业务谨慎开启。

如果你的网站已经稳定运行，并且确认所有资源都支持 HTTPS，可以开启 HSTS。否则可能导致部分资源访问异常。

十一、Cloudflare 缓存策略优化

跨境电商网站需要同时兼顾速度和动态内容准确性。商品详情页、图片、CSS、JS可以缓存，但购物车、结账页、用户中心不应被错误缓存。

建议缓存规则如下：

1. 静态资源缓存

针对以下路径设置缓存：

*.jpg
*.jpeg
*.png
*.webp
*.gif
*.svg
*.css
*.js
*.woff
*.woff2

建议：

Browser Cache TTL：1个月
Edge Cache TTL：7天或30天

2. 不缓存购物车和结账页面

对于 WooCommerce，建议绕过缓存：

/cart*
/checkout*
/my-account*
/wp-admin*
/wp-login.php*
/?add-to-cart=*

对于自研电商系统，也应绕过：

/cart*
/checkout*
/payment*
/account*
/login*
/register*
/api/order*
/api/payment*

3. 商品详情页适度缓存

商品详情页可以短时间缓存，例如：

Edge Cache TTL：5分钟至30分钟

如果商品价格、库存变化频繁，应缩短缓存时间，或者由后端发布更新时主动清理缓存。

十二、安全防护配置建议

跨境电商站点经常会遭遇恶意爬虫、撞库、刷接口、CC攻击和支付接口探测。Cloudflare 的安全能力非常适合此类场景。

1. 隐藏源站 IP

使用 Cloudflare Tunnel 后，源站无需开放 80、443 端口。你可以在服务器防火墙中关闭不必要端口，只保留 SSH 端口，甚至进一步限制 SSH 登录来源。

例如使用 UFW：

sudo ufw allow 22/tcp
sudo ufw enable
sudo ufw status

如果你使用固定办公 IP，可以只允许指定 IP 登录 SSH：

sudo ufw allow from 你的办公IP to any port 22

2. 开启 WAF 托管规则

进入：

Security → WAF

建议开启 Cloudflare Managed Rules，能够拦截常见攻击，例如：

• SQL注入；
• XSS攻击；
• 文件包含攻击；
• WordPress漏洞探测；
• PHP漏洞扫描；
• 恶意请求。

3. 配置后台访问保护

如果你的后台地址是：

https://admin.example.com

建议配置 Cloudflare Access，实现登录验证后才能访问后台。可以限制只有公司邮箱、Google Workspace、GitHub账号或指定邮箱用户才能访问。

进入：

Zero Trust → Access → Applications

添加应用后，可以让后台页面先经过 Cloudflare 身份认证，大幅提升安全性。

4. 限制高风险国家或地区访问

如果你的目标市场只在欧美，可以考虑对非目标地区进行挑战验证或限制。

例如：

如果国家不在 US、CA、GB、DE、FR、AU，则 Managed Challenge

注意不要盲目封锁，否则可能影响物流公司、支付服务商、广告平台回调。

5. 保护登录和注册接口

对以下路径设置 Rate Limiting：

/login
/register
/wp-login.php
/api/login
/api/register

例如规则：

同一IP 1分钟内访问超过10次，则进行验证或阻断

这样可以有效降低撞库攻击风险。

十三、适合跨境电商的域名规划

建议将不同业务拆分到不同子域名：

www.example.com        主站
shop.example.com       商城
api.example.com        API接口
admin.example.com      后台
img.example.com        图片资源
track.example.com      物流查询
partner.example.com    分销商或供应商入口

通过 Cloudflare Tunnel，你可以为不同子域名配置不同 Docker 服务。例如：

shop.example.com   → wordpress-shop:80
api.example.com    → shop-api:8080
admin.example.com  → shop-admin:3000

这样有利于权限隔离、安全控制和后续扩容。

十四、常见问题排查

1. Tunnel 显示 Healthy，但网站打不开

检查 Public Hostname 中的 URL 是否正确。

如果 Docker 服务名称是：

crossborder-web

端口是：

80

那么应配置：

http://crossborder-web:80

同时确认 cloudflared 和 web 服务在同一个 Docker network 中。

2. 出现 502 Bad Gateway

常见原因：

• 应用容器没有启动；
• 端口写错；
• 应用只监听了 127.0.0.1，没有监听 0.0.0.0；
• Docker 网络不通；
• 应用启动慢。

查看容器日志：

docker logs 容器名

查看 Docker 网络：

docker network ls

3. 网站出现重定向循环

可能是 SSL 模式配置不当，建议检查：

Cloudflare SSL/TLS 模式
应用自身 HTTPS 跳转配置
WordPress Site URL
Nginx proxy header

对于 WordPress，可以在 wp-config.php 中加入：

if (isset($_SERVER['HTTP_CF_VISITOR']) && strpos($_SERVER['HTTP_CF_VISITOR'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

4. 获取不到用户真实 IP

经过 Cloudflare 后，应用看到的可能是 Cloudflare 的 IP。真实用户 IP 通常在请求头：

CF-Connecting-IP

如果使用 Nginx，需要配置 real IP。示例：

real_ip_header CF-Connecting-IP;

正式环境还应只信任 Cloudflare IP 段，避免伪造请求头。

十五、日常运维建议

1. 定期更新镜像

docker compose pull
docker compose up -d

2. 定期备份数据

如果使用 MySQL、WordPress、Magento 等系统，务必备份：

• 数据库；
• 上传图片；
• 配置文件；
• .env 环境变量；
• Docker Compose 文件。

MySQL 备份示例：

docker exec wordpress-mysql mysqldump -u root -p shopdb > shopdb_backup.sql

3. 监控容器状态

docker ps
docker stats
docker logs -f cloudflared

4. 关注 Cloudflare Analytics

Cloudflare 提供访问统计、安全事件、缓存命中率等数据。跨境电商运营可以重点关注：

• 哪些国家访问最多；
• 哪些路径请求异常；
• 是否有大量机器人访问；
• 缓存命中率是否合理；
• 是否存在攻击峰值；
• 页面加载性能是否改善。

十六、生产环境最佳实践

对于正式跨境电商业务，建议采用以下最佳实践：

1. 源站不直接暴露公网 Web 端口
   使用 Cloudflare Tunnel 后，尽量不要开放 80 和 443。

2. 后台与前台分离
   后台域名单独配置，并使用 Cloudflare Access 保护。

3. 静态资源使用强缓存
   图片、CSS、JS 使用较长缓存，提升海外访问速度。

4. 动态接口谨慎缓存
   登录、购物车、支付、订单接口绝对不能被错误缓存。

5. 开启 WAF 和速率限制
   降低恶意攻击、撞库和接口滥用风险。

6. 配置健康检查和监控
   及时发现服务异常，避免广告投放期间网站不可用。

7. 做好支付回调白名单
   PayPal、Stripe、信用卡通道、物流服务商的回调请求不要被误拦截。

8. 定期测试全球访问速度
   可以使用 GTmetrix、WebPageTest、PageSpeed Insights 等工具测试不同地区访问情况。

十七、总结

Cloudflare + Docker 是非常适合跨境电商独立站的一种部署方式。Cloudflare 提供全球 CDN、安全防护、SSL、WAF 和 Tunnel 能力，Docker 则让服务部署更加标准化、可迁移、易维护。

通过本文的教程，你可以完成以下目标：

• 使用 Docker Compose 部署 cloudflared；
• 通过 Cloudflare Tunnel 安全发布 Docker 内部服务；
• 隐藏源站 IP，降低攻击风险；
• 为跨境电商网站配置 HTTPS；
• 针对商品页、静态资源、购物车、支付页制定合理缓存策略；
• 使用 WAF、Access、Rate Limiting 提升安全性；
• 规划适合跨境业务的多子域名架构。

如果你正在搭建面向海外市场的独立站，建议优先采用 Cloudflare 作为入口层，再结合 Docker 管理后端服务。这样不仅可以提升访问速度和安全性，也能让后续扩容、迁移和维护更加轻松。