Cloudflare 新手入门指南｜附完整命令

Cloudflare 是一套面向网站、应用和网络服务的综合性平台，常见用途包括：DNS 托管、CDN 加速、HTTPS 证书、防 DDoS、WAF 防火墙、缓存优化、零信任访问、内网穿透、Serverless 部署 等。对于新手来说，Cloudflare 最吸引人的地方在于：很多核心功能可以免费使用，而且配置相对简单。

本文将从零开始介绍 Cloudflare 的基础使用方法，并附上常用命令，帮助你完成从域名接入、DNS 配置、HTTPS 开启，到使用 Cloudflare Tunnel、Wrangler 部署 Workers 的完整入门流程。

一、Cloudflare 是什么？

Cloudflare 可以理解为位于用户和你的网站服务器之间的一层“智能网络代理”。

当用户访问你的网站时，传统流程通常是：

用户浏览器 → 域名 DNS 解析 → 你的服务器 → 返回网页

接入 Cloudflare 后，流程会变成：

用户浏览器 → Cloudflare 全球节点 → 你的服务器 → Cloudflare → 用户浏览器

这样做的好处包括：

1. DNS 解析更快
   Cloudflare 提供全球 Anycast DNS，解析速度通常较快。

2. 隐藏源站 IP
   开启代理后，用户访问的是 Cloudflare 的 IP，而不是你的服务器真实 IP。

3. 自动 HTTPS
   可以为网站提供免费的 TLS/SSL 加密访问。

4. 缓存静态资源
   图片、CSS、JS 等资源可以被缓存在 Cloudflare 节点上，减少源站压力。

5. 基础安全防护
   包括 DDoS 防护、Bot 管理、WAF、访问规则等。

6. 支持内网穿透
   使用 Cloudflare Tunnel 可以将本地服务安全暴露到公网，不需要公网 IP。

7. 支持 Serverless 应用
   通过 Cloudflare Workers，可以部署轻量级边缘函数。

二、准备工作

在开始之前，你需要准备以下内容：

• 一个 Cloudflare 账号
• 一个域名
• 一台服务器或本地电脑
• 可选：Linux / macOS / Windows 终端环境
• 可选：Node.js，用于使用 Wrangler 部署 Workers

如果你还没有 Cloudflare 账号，可以访问：

https://dash.cloudflare.com/

注册完成后即可登录控制台。

三、将域名接入 Cloudflare

1. 添加站点

登录 Cloudflare 后，点击：

Add a website

输入你的域名，例如：

example.com

Cloudflare 会扫描你当前域名已有的 DNS 记录。

2. 选择套餐

新手可以直接选择免费套餐：

Free Plan

免费套餐已经包含：

• DNS 托管
• CDN
• 基础 DDoS 防护
• 免费 SSL
• 基础防火墙规则
• Workers 免费额度
• Tunnel 功能

对于大多数个人网站、博客、小型项目，免费套餐已经足够。

3. 修改域名 NS 服务器

添加站点后，Cloudflare 会给你两个 Nameserver，例如：

lisa.ns.cloudflare.com
mark.ns.cloudflare.com

你需要前往域名注册商后台，将原来的 NS 服务器修改为 Cloudflare 提供的 NS。

常见域名注册商包括：

• 阿里云
• 腾讯云
• Namecheap
• GoDaddy
• Porkbun
• Namesilo

修改后等待 DNS 生效，通常需要几分钟到数小时，最长可能 24-48 小时。

你可以使用以下命令检查 NS 是否切换成功。

Linux / macOS 查询 NS

dig NS example.com

Windows 查询 NS

nslookup -type=NS example.com

如果返回结果中出现 Cloudflare 的 NS，说明接入基本完成。

四、配置 DNS 解析

Cloudflare 的 DNS 记录主要在：

Cloudflare Dashboard → Websites → 你的域名 → DNS → Records

常见 DNS 记录类型如下：

1. 添加根域名 A 记录

假设你的服务器 IP 是：

1.2.3.4

你可以添加：

Type: A
Name: @
Content: 1.2.3.4
Proxy status: Proxied
TTL: Auto

其中 @ 表示根域名：

example.com

如果你想用命令验证解析是否成功：

dig example.com

或：

nslookup example.com

2. 添加 www 子域名

常见做法是让：

www.example.com

指向：

example.com

添加 CNAME 记录：

Type: CNAME
Name: www
Target: example.com
Proxy status: Proxied
TTL: Auto

验证命令：

dig www.example.com

3. Proxied 与 DNS Only 的区别

在 Cloudflare DNS 页面中，每条记录旁边通常有一个小云朵图标。

橙色云朵：Proxied

表示流量经过 Cloudflare：

用户 → Cloudflare → 源站

优点：

• 开启 CDN
• 隐藏源站 IP
• 可使用 WAF
• 可启用缓存规则
• 可使用 HTTPS 代理

适合：

• 网站
• Web API
• 静态资源服务

灰色云朵：DNS Only

表示 Cloudflare 只提供 DNS 解析，不代理流量：

用户 → 源站

适合：

• 邮件服务器
• SSH
• FTP
• 某些非 HTTP 服务
• 不支持 Cloudflare 代理的端口服务

需要注意的是，Cloudflare 免费版代理支持的端口有限。常见支持端口包括：

HTTP: 80, 8080, 8880, 2052, 2082, 2086, 2095
HTTPS: 443, 2053, 2083, 2087, 2096, 8443

如果你的服务运行在其他端口，可能需要调整端口或使用 Cloudflare Tunnel。

五、开启 HTTPS 与 SSL 模式

进入：

SSL/TLS → Overview

你会看到几种 SSL 模式：

推荐使用 Full Strict

最佳实践是：

SSL/TLS encryption mode: Full (strict)

这要求你的源站服务器也安装有效证书。证书可以来自：

• Let's Encrypt
• Cloudflare Origin Certificate
• 商业 CA 证书

六、在源站安装 HTTPS 证书

如果你的服务器使用 Nginx，可以使用 Certbot 安装 Let's Encrypt 证书。

Ubuntu / Debian 安装 Certbot

sudo apt update
sudo apt install -y certbot python3-certbot-nginx

为域名申请证书

sudo certbot --nginx -d example.com -d www.example.com

查看证书自动续期状态

sudo systemctl status certbot.timer

手动测试续期

sudo certbot renew --dry-run

七、Nginx 基础配置示例

假设你的网站目录为：

/var/www/example.com

创建目录：

sudo mkdir -p /var/www/example.com

创建测试首页：

echo "Hello Cloudflare" | sudo tee /var/www/example.com/index.html

创建 Nginx 配置文件：

sudo nano /etc/nginx/sites-available/example.com

写入以下内容：

server {
    listen 80;
    server_name example.com www.example.com;

    root /var/www/example.com;
    index index.html index.htm;

    location / {
        try_files $uri $uri/ =404;
    }
}

启用站点：

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

检查 Nginx 配置：

sudo nginx -t

重载 Nginx：

sudo systemctl reload nginx

申请 HTTPS 证书：

sudo certbot --nginx -d example.com -d www.example.com

之后再访问：

https://example.com

如果页面正常显示，说明 HTTPS 配置成功。

八、获取真实访客 IP

接入 Cloudflare 后，源站看到的访问 IP 通常是 Cloudflare 节点 IP，而不是用户真实 IP。Cloudflare 会通过请求头传递真实 IP：

CF-Connecting-IP

如果使用 Nginx，可以配置 real_ip_header。

安装 Cloudflare Real IP 配置

编辑 Nginx 配置：

sudo nano /etc/nginx/conf.d/cloudflare-real-ip.conf

写入 Cloudflare IP 段。示例：

real_ip_header CF-Connecting-IP;

set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 104.16.0.0/13;
set_real_ip_from 104.24.0.0/14;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 131.0.72.0/22;

set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2a06:98c0::/29;
set_real_ip_from 2c0f:f248::/32;

检查并重载 Nginx：

sudo nginx -t
sudo systemctl reload nginx

你也可以从 Cloudflare 官方接口获取最新 IP 段：

curl https://www.cloudflare.com/ips-v4
curl https://www.cloudflare.com/ips-v6

九、缓存配置入门

Cloudflare 默认会缓存部分静态资源，例如：

.jpg
.png
.gif
.webp
.css
.js
.ico
.svg

你可以在：

Caching → Configuration

中配置缓存等级、浏览器缓存时间等。

1. 清理缓存

如果你更新了网站内容，但浏览器仍然看到旧页面，可以手动清理缓存：

Caching → Configuration → Purge Cache

也可以选择：

Purge Everything

不过不建议频繁全量清理缓存，因为会导致源站压力升高。

2. 使用 Cache Rules

在：

Rules → Cache Rules

可以创建缓存规则。

例如，缓存所有静态资源：

If incoming requests match:
URI Path contains /static/
Then:
Cache eligibility: Eligible for cache
Edge TTL: 1 month
Browser TTL: 1 month

对于动态接口，例如：

/api/

通常不建议缓存，除非你非常清楚业务逻辑。

十、安全设置入门

Cloudflare 的安全功能非常丰富，新手可以先配置以下几项。

1. 开启 Always Use HTTPS

路径：

SSL/TLS → Edge Certificates → Always Use HTTPS

开启后，访问 HTTP 会自动跳转到 HTTPS。

2. 开启 Automatic HTTPS Rewrites

路径：

SSL/TLS → Edge Certificates → Automatic HTTPS Rewrites

这可以减少网页中的混合内容问题。

3. 设置最低 TLS 版本

路径：

SSL/TLS → Edge Certificates → Minimum TLS Version

建议设置为：

TLS 1.2

如果你的网站面向现代用户，也可以考虑：

TLS 1.3

4. 防火墙规则示例

路径：

Security → WAF → Custom rules

例如，拦截某个国家或地区的访问：

Field: Country
Operator: equals
Value: XX
Action: Block

拦截特定 User-Agent：

Field: User Agent
Operator: contains
Value: badbot
Action: Block

给后台路径增加挑战验证：

URI Path contains /admin
Action: Managed Challenge

十一、Cloudflare Tunnel 入门

Cloudflare Tunnel 是非常实用的功能。它可以让你将本地服务暴露到公网，而不需要：

• 公网 IP
• 路由器端口转发
• 直接暴露源站端口

典型场景：

• 本地开发服务对外演示
• 家庭服务器访问
• 内网 NAS 访问
• 自建面板通过域名访问
• 临时暴露测试服务

十二、安装 cloudflared

cloudflared 是 Cloudflare Tunnel 的客户端工具。

Ubuntu / Debian 安装

curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb -o cloudflared.deb
sudo dpkg -i cloudflared.deb

查看版本：

cloudflared --version

CentOS / RHEL 安装

curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-x86_64.rpm -o cloudflared.rpm
sudo rpm -ivh cloudflared.rpm

查看版本：

cloudflared --version

macOS 安装

如果使用 Homebrew：

brew install cloudflare/cloudflare/cloudflared

查看版本：

cloudflared --version

Windows 安装

使用 Winget：

winget install --id Cloudflare.cloudflared

查看版本：

cloudflared --version

十三、创建 Cloudflare Tunnel

1. 登录 Cloudflare

在终端执行：

cloudflared tunnel login

浏览器会打开 Cloudflare 授权页面，选择你的域名并授权。

2. 创建 Tunnel

创建一个名为 my-tunnel 的隧道：

cloudflared tunnel create my-tunnel

执行后会生成一个 Tunnel ID，例如：

12345678-abcd-1234-abcd-1234567890ab

同时会生成凭证文件，通常位于：

~/.cloudflared/

查看 Tunnel 列表：

cloudflared tunnel list

3. 创建配置文件

创建配置目录：

mkdir -p ~/.cloudflared

编辑配置文件：

nano ~/.cloudflared/config.yml

写入示例配置：

tunnel: 12345678-abcd-1234-abcd-1234567890ab
credentials-file: /home/你的用户名/.cloudflared/12345678-abcd-1234-abcd-1234567890ab.json

ingress:
  - hostname: app.example.com
    service: http://localhost:3000
  - service: http_status:404

其中：

app.example.com

会转发到本机：

http://localhost:3000

4. 创建 DNS 路由

执行：

cloudflared tunnel route dns my-tunnel app.example.com

这会自动在 Cloudflare DNS 中创建对应的 CNAME 记录。

5. 启动本地服务

例如你本地有一个 Node.js 服务运行在 3000 端口：

npm install -g serve
mkdir demo-site
echo "Hello Cloudflare Tunnel" > demo-site/index.html
serve demo-site -l 3000

然后启动 Tunnel：

cloudflared tunnel run my-tunnel

现在访问：

https://app.example.com

即可访问本地服务。

十四、将 Tunnel 安装为系统服务

如果你希望 Tunnel 开机自动运行，可以安装为 systemd 服务。

Linux 安装服务

sudo cloudflared service install

启动服务：

sudo systemctl start cloudflared

设置开机自启：

sudo systemctl enable cloudflared

查看状态：

sudo systemctl status cloudflared

查看日志：

sudo journalctl -u cloudflared -f

重启服务：

sudo systemctl restart cloudflared

十五、快速临时隧道

如果只是临时测试，不想绑定域名，可以使用：

cloudflared tunnel --url http://localhost:3000

Cloudflare 会生成一个临时访问地址，类似：

https://random-name.trycloudflare.com

这种方式适合：

• 临时演示
• Webhook 测试
• 本地项目预览
• 短时间分享服务

但不适合长期生产环境。

十六、Cloudflare Workers 入门

Cloudflare Workers 是 Cloudflare 的边缘函数平台，可以在全球节点运行 JavaScript / TypeScript 代码。

适合：

• API 网关
• 短链接服务
• 反向代理
• 静态页面增强
• 简单后端逻辑
• 边缘计算

十七、安装 Node.js 与 Wrangler

Wrangler 是 Cloudflare Workers 的命令行工具。

检查 Node.js

node -v
npm -v

如果没有 Node.js，可以到官网下载安装：

https://nodejs.org/

安装 Wrangler

npm install -g wrangler

查看版本：

wrangler --version

登录 Cloudflare：

wrangler login

如果你在服务器上无法打开浏览器，也可以使用 API Token 登录，但新手建议先用浏览器授权。

十八、创建并部署第一个 Worker

创建项目：

npm create cloudflare@latest my-worker

进入目录：

cd my-worker

本地运行：

npm run dev

或：

wrangler dev

部署到 Cloudflare：

npm run deploy

或：

wrangler deploy

部署成功后，会得到一个 Workers 地址，例如：

https://my-worker.你的子域名.workers.dev

十九、Worker 示例代码

打开项目中的入口文件，例如：

src/index.js

写入：

export default {
  async fetch(request, env, ctx) {
    return new Response("Hello Cloudflare Workers!", {
      headers: {
        "Content-Type": "text/plain; charset=utf-8"
      }
    });
  }
};

重新部署：

wrangler deploy

访问 Workers 地址即可看到返回结果。

二十、绑定自定义域名到 Worker

你可以将 Worker 绑定到自己的域名，例如：

api.example.com

在 Cloudflare 控制台中进入：

Workers & Pages → 你的 Worker → Settings → Triggers → Custom Domains

添加：

api.example.com

也可以使用 wrangler.toml 配置路由，例如：

name = "my-worker"
main = "src/index.js"
compatibility_date = "2024-01-01"

routes = [
  { pattern = "api.example.com/*", zone_name = "example.com" }
]

然后部署：

wrangler deploy

二十一、Cloudflare Pages 入门

Cloudflare Pages 适合部署静态网站，例如：

• Vue
• React
• Vite
• Astro
• Hugo
• Hexo
• Next.js 静态导出
• 个人博客
• 文档站点

你可以通过 GitHub 仓库直接部署，也可以使用 Wrangler 命令部署。

使用 Wrangler 部署静态目录

假设你的静态文件目录是：

dist

部署命令：

wrangler pages deploy dist --project-name=my-pages

如果项目还没有创建，会按提示创建。

Vite 项目示例

创建 Vite 项目：

npm create vite@latest my-vite-site

进入项目：

cd my-vite-site

安装依赖：

npm install

构建：

npm run build

部署到 Pages：

wrangler pages deploy dist --project-name=my-vite-site

二十二、常用诊断命令

1. 查看 DNS 解析

dig example.com

指定 DNS 服务器查询：

dig @1.1.1.1 example.com

查询 CNAME：

dig CNAME www.example.com

查询 MX：

dig MX example.com

查询 TXT：

dig TXT example.com

2. 使用 nslookup

nslookup example.com

指定 DNS：

nslookup example.com 1.1.1.1

3. 查看 HTTP 响应头

curl -I https://example.com

如果经过 Cloudflare，通常会看到类似响应头：

cf-cache-status
cf-ray
server: cloudflare

4. 查看详细请求过程

curl -v https://example.com

5. 测试源站服务

如果你想绕过域名，直接访问服务器 IP：

curl -I http://1.2.3.4

如果 Nginx 使用虚拟主机，可以指定 Host：

curl -I http://1.2.3.4 -H "Host: example.com"

6. 查看端口监听

sudo ss -tulnp

或：

sudo netstat -tulnp

7. 查看 Nginx 状态

sudo systemctl status nginx

查看日志：

sudo tail -f /var/log/nginx/access.log
sudo tail -f /var/log/nginx/error.log

二十三、常见问题与解决方法

1. 域名接入 Cloudflare 后打不开

检查顺序：

1. NS 是否切换成功
2. DNS 记录是否正确
3. 源站服务器是否运行
4. 防火墙是否放行 80/443
5. SSL 模式是否配置正确
6. Cloudflare 代理端口是否支持

常用命令：

dig NS example.com
dig example.com
curl -I https://example.com
sudo systemctl status nginx
sudo ss -tulnp

2. 出现 521 错误

521 Web Server Is Down 通常表示 Cloudflare 连接不上源站。

可能原因：

• Nginx / Apache 没启动
• 服务器防火墙拦截了 Cloudflare IP
• 80 或 443 端口未开放
• 源站 IP 写错

检查命令：

sudo systemctl status nginx
sudo ss -tulnp | grep nginx
curl -I http://127.0.0.1

3. 出现 522 错误

522 Connection Timed Out 表示 Cloudflare 连接源站超时。

可能原因：

• 源站网络异常
• 防火墙阻断
• 服务器负载过高
• 安全组未放行端口

检查服务器负载：

top

查看内存：

free -h

查看磁盘：

df -h

4. 出现 525 错误

525 SSL Handshake Failed 表示 Cloudflare 与源站之间 TLS 握手失败。

解决建议：

• 检查源站证书是否正确
• 检查 Nginx SSL 配置
• 将 SSL 模式设置为 Full 或 Full Strict
• 不要让 HTTPS 端口返回错误证书

检查命令：

curl -Iv https://example.com
openssl s_client -connect example.com:443 -servername example.com

5. 出现 526 错误

526 Invalid SSL Certificate 通常出现在 Full Strict 模式下，表示源站证书无效。

解决方法：

• 安装 Let's Encrypt 证书
• 安装 Cloudflare Origin Certificate
• 确保证书域名匹配
• 确保证书未过期

查看证书信息：

openssl s_client -connect example.com:443 -servername example.com

二十四、Cloudflare 最佳实践

1. DNS 记录保持简洁

不要添加无用记录，尤其是暴露源站 IP 的记录。常见错误是：

origin.example.com → 源站 IP

如果该记录是 DNS Only，就可能暴露真实服务器地址。

2. 源站只允许 Cloudflare IP 访问

如果你想进一步保护源站，可以在服务器防火墙中只允许 Cloudflare IP 访问 80/443。

示例：使用 UFW 放行 HTTP/HTTPS。

先重置规则前请谨慎，避免 SSH 断连。

放行 SSH：

sudo ufw allow 22/tcp

放行 HTTP/HTTPS：

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

启用 UFW：

sudo ufw enable

查看状态：

sudo ufw status

更高级的做法是只放行 Cloudflare IP 段，但新手操作前一定要确认 SSH 不会被锁死。

3. 不要滥用 Flexible SSL

Flexible 模式虽然配置简单，但它只加密用户到 Cloudflare 的流量，Cloudflare 到源站仍然是 HTTP。这样容易导致：

• 后台登录不安全
• 重定向循环
• Cookie 安全问题
• 源站链路明文传输

推荐直接使用：

Full Strict

4. 动态接口谨慎缓存

如果错误缓存了动态接口，可能导致：

• 用户看到别人的数据
• 登录状态异常
• API 返回旧数据
• 后台操作不生效

对于以下路径，通常不要缓存：

/admin
/api
/login
/user
/cart
/checkout

5. 定期检查安全设置

建议定期检查：

• DNS 记录
• SSL 模式
• WAF 规则
• Cache Rules
• Workers 权限
• API Token
• Tunnel 状态

二十五、常用命令速查表

DNS 查询

dig example.com
dig NS example.com
dig MX example.com
dig TXT example.com
dig @1.1.1.1 example.com
nslookup example.com

HTTP 检查

curl -I https://example.com
curl -v https://example.com
curl -I http://1.2.3.4 -H "Host: example.com"

Nginx

sudo nginx -t
sudo systemctl reload nginx
sudo systemctl restart nginx
sudo systemctl status nginx
sudo tail -f /var/log/nginx/access.log
sudo tail -f /var/log/nginx/error.log

Certbot

sudo certbot --nginx -d example.com -d www.example.com
sudo certbot renew --dry-run
sudo systemctl status certbot.timer

cloudflared

cloudflared --version
cloudflared tunnel login
cloudflared tunnel create my-tunnel
cloudflared tunnel list
cloudflared tunnel route dns my-tunnel app.example.com
cloudflared tunnel run my-tunnel
cloudflared tunnel --url http://localhost:3000
sudo cloudflared service install
sudo systemctl start cloudflared
sudo systemctl enable cloudflared
sudo systemctl status cloudflared
sudo journalctl -u cloudflared -f

Wrangler

node -v
npm -v
npm install -g wrangler
wrangler --version
wrangler login
npm create cloudflare@latest my-worker
cd my-worker
wrangler dev
wrangler deploy
wrangler pages deploy dist --project-name=my-pages

结语

Cloudflare 对新手非常友好，但它不仅仅是一个“DNS 平台”或“CDN 工具”。从基础的网站接入，到 HTTPS、安全防护、缓存优化，再到 Tunnel 内网穿透、Workers 边缘函数和 Pages 静态部署，Cloudflare 可以覆盖个人站长和小型项目的大量需求。

如果你是刚开始使用 Cloudflare，建议按照以下顺序学习：

1. 先完成域名接入和 DNS 解析；
2. 配置 SSL/TLS，并优先使用 Full Strict；
3. 学会使用 dig、curl、nslookup 排查问题；
4. 根据网站类型设置缓存和安全规则；
5. 尝试 Cloudflare Tunnel 暴露本地服务；
6. 使用 Wrangler 部署第一个 Worker 或 Pages 项目。

掌握这些内容后，你就已经具备了 Cloudflare 的基本使用能力。后续可以继续深入学习 WAF 规则、Zero Trust、R2 存储、D1 数据库、Queues、KV、Durable Objects 等高级功能，让 Cloudflare 成为你网站和应用架构中的重要基础设施。