搬瓦工配置Cloudflare CDN加速完整教程

搬瓦工配置Cloudflare CDN加速

Cloudflare是全球最大的CDN和网络安全服务商，免费套餐功能已非常强大。为搬瓦工VPS上的网站配置Cloudflare CDN，可以实现全球加速、DDoS防护和SSL证书管理。本文介绍完整的配置流程。

一、注册Cloudflare账户

访问 cloudflare.com 注册免费账户。注册后，点击"Add a Site"添加你的域名。Cloudflare会自动扫描现有DNS记录。

二、DNS接入配置

2.1 修改域名NS服务器

Cloudflare会分配两个Nameserver地址。到你的域名注册商处，将NS记录修改为Cloudflare提供的地址，例如：

ns1.cloudflare.com
ns2.cloudflare.com

修改后等待生效（通常几分钟到48小时）。Cloudflare面板会显示"Active"状态。

2.2 配置DNS记录

确保以下DNS记录正确指向你的搬瓦工VPS IP：

类型	名称	值	代理状态	说明
A	@	你的VPS IP	已代理（橙色云朵）	主域名
A	www	你的VPS IP	已代理（橙色云朵）	www子域名
CNAME	mail	你的VPS IP	仅DNS（灰色云朵）	邮件服务器（不走CDN）
MX	@	mail.yourdomain.com	-	邮件接收

橙色云朵表示流量经过Cloudflare CDN代理，灰色云朵表示仅做DNS解析。网站流量应开启代理，SSH和邮件服务不走代理。

三、SSL/TLS配置

3.1 选择SSL模式

在Cloudflare面板「SSL/TLS」→「Overview」中选择加密模式：

模式	说明	推荐
Off	不加密	不推荐
Flexible	用户到CF加密，CF到源站不加密	不推荐（安全隐患）
Full	全程加密，源站可用自签证书	可选
Full (Strict)	全程加密，源站需有效证书	强烈推荐

推荐使用"Full (Strict)"模式。源站使用Let's Encrypt证书或Cloudflare Origin Certificate。

3.2 生成Origin Certificate

在「SSL/TLS」→「Origin Server」中创建Cloudflare Origin Certificate，有效期最长15年。将证书和私钥保存到VPS：

# 保存证书文件
/etc/ssl/cloudflare/cert.pem
/etc/ssl/cloudflare/key.pem

# Nginx配置
ssl_certificate /etc/ssl/cloudflare/cert.pem;
ssl_certificate_key /etc/ssl/cloudflare/key.pem;

3.3 强制HTTPS

在「SSL/TLS」→「Edge Certificates」中开启"Always Use HTTPS"和"Automatic HTTPS Rewrites"。

四、缓存规则配置

4.1 基础缓存设置

在「Caching」→「Configuration」中设置：

Caching Level：Standard（推荐）
Browser Cache TTL：4小时或更长
Always Online：开启（源站故障时显示缓存页面）

4.2 Page Rules缓存策略

针对不同路径设置缓存规则（免费套餐支持3条Page Rules）：

URL模式	设置	说明
yourdomain.com/wp-admin/	Cache Level: Bypass	后台不缓存
yourdomain.com/wp-login	Cache Level: Bypass	登录页不缓存
yourdomain.com/	Cache Level: Cache Everything, Edge TTL: 1 month	其余页面全部缓存

五、性能优化设置

5.1 Speed优化

在「Speed」→「Optimization」中开启：

Auto Minify：勾选JavaScript、CSS、HTML
Brotli：开启（比gzip压缩率更高）
Early Hints：开启（提前告知浏览器需要加载的资源）
HTTP/3 (QUIC)：开启

5.2 图片优化

免费套餐可利用Polish（付费功能）的替代方案——在Nginx端配置WebP格式输出，配合Cloudflare缓存实现图片加速。

六、安全防护配置

WAF规则：免费套餐自带Cloudflare Managed Ruleset，自动拦截常见攻击
Bot Management：开启Bot Fight Mode拦截恶意爬虫
安全级别：设置为Medium（平衡安全性和用户体验）
Under Attack Mode：遭受DDoS时手动开启
IP限制：在WAF中添加黑名单IP或国家/地区限制

七、获取真实IP

使用Cloudflare后，Nginx日志中的客户端IP会变成Cloudflare的IP。需要配置Nginx获取真实访客IP：

# /etc/nginx/conf.d/cloudflare.conf
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
real_ip_header CF-Connecting-IP;