前面文章分别介绍了网站接入 cloudflare 免费 cdn 的基本操作,与 cf 的常用功能与配置。今天介绍下重头戏,cf cdn 自选/优选 ip。然后还会说一下是怎么解决 mx 与 cname 冲突问题的,因为我的域名邮箱也在同一个域名上。
在第一篇文章中提到了网站直接套 cf 的 cdn,cf 会随机给你分配回源 IP,这些 ip 一般到国内的网络情况不稳定。
通过优选 IP 这个过程来实现选用到国内网络最好的 IP 作为 CF 的回源 IP,提高网站的稳定性和速度。
CloudFlare 教程一:《CloudFlare 入门教程,海外网站接入 CloudFlare CDN 全流程说明》
CloudFlare 教程二:《cloudflare 常用功能介绍,包括 WAF 配置,5 秒盾,人机认证,防源 IP 泄露等 》
CloudFlare 教程三:《cloudflare CDN 配置自选/优选 IP 全流程记录》
新手建议
对于不熟悉 CF 的站长来说,配置优选 IP,应该需要知道要准备什么材料,具体步骤是什么样的,一步一步跟着流程配就行。
先不要考虑原理是什么,因为感觉整个过程比较繁杂。在熟悉之后再梳理流程。
准备材料
以我自己为例,实际配置的过程中使用你自己的就行
网站服务器:dmit 、
网站服务器 ip:154.17.1.1 、
网站域名:vps789.com (我是在 namesilo 注册的)、
回源域名:testtest.xyz(随便一个域名都行,我是在 namesilo 注册的)
然后配置过程中会验证你的 paypal 账号,按流程走就行,比较简单就直接略过。
实际过程
A在 CloudFlare 配置回源域名解析到源 IP
0、类似第一篇文章里面写的,把回源域名在其托管平台修改其 NS 服务器地址。
1、testtest.xyz 域名在 cf 上解析到源 ip
B 配置优选 ip过程
2、点击 SSL/TLS 自定义主机名,添加回退源,填入 www.testtest.xyz
3、同一个界面,添加自定义主机名,填入 vps789.com
4、验证 vps789.com,就是把上一步生成的解析值,放到 vps789.com 的托管平台加一条记录(这一步比较耗时 namesile 解析太慢了)
_acme-challenge vps789.com.bdf106553573067a.dcv.cloudflare.com
//还要把一个新的值 _cf-custom-hostname,也在 789 上解析(可以不管)
5 将 vps789 网站域名的解析记录 CNAME 指向回退源,www.testtest.xyz。
C验证配置ip 效果
到这一步,应该整个网站是可以通过 vps789.com 访问没有问题的,也是走的 cf 代理。但是还有两个问题要处理下。
1、我的域名邮箱也在 vps789.com 上,所以上面第 5 步执行不成功,mx 与 cname 冲突。参考下面的解决 mx 与 cname 冲突问题。
2、这时候用的是 cloudflare 默认回源 ip,还没用上自选 ip。参考下面使用自选/优选 IP
D使用自选/优选 IP
有三种方式使用自选/优选 IP
1 直接用别人的优选 CNAME 域名,包括一些公共的或企业的 cname 域名,参考 https://www.nodeseek.com/post-42661-1
2 直接把网站域名解析到优选 IP 节点上。
3 自己弄个优选 CNAME 域名,自己把网站域名解析到优选 IP 节点上。
我用的方案三。
方案一是最简单的,但是不可控,因为优选 ip 是别人控制的,出问题了自己没法马上调整。
方案二、三都可以选用自己挑选的 ip。
https://vps789.com/cfip上有一些 24 小时监控的 cf 优选 ip 节点,可以自行挑选满意的节点。
问题1:解决 mx 与 cname 冲突问题
1、邮箱用二级域名。(可能有用,可能没啥用)
就是在 namesilo 配置域名验证时,用 admin 的 A 记录;
然后再 larkesuite,里面域名填的是 admin.vps789.com
初步验证应该没问题。
2、把 namesilo 的 vps789 解析放到 dnspod 上去解析(有用)
参考:https://blog.csdn.net/vps56/article/details/103198368/
dnspod 官网是 dnspod.cn,被腾讯收购了,直接微信扫码登录就行
在 namesilo 上的解析改成 dnspod 的解析服务器。
然后解析规则都在 dnspod 里面写就行了
这两个方法我一起用的,所以不知道是哪一个方法生效了。建议先用方案二,不行的话,再方案一、二一起用。
问题2:www 与不带 www 访问问题
当配置防火墙只允许 cf 的回源 ip 白名单时,带 www 的域名就访问有问题了。
感觉配置防火墙只允许 cf 的回源 ip 访问有点问题,就不配置这个了。如果出现源 ip 泄露,换 dmit 的 ip 就行了。
梳理CF 优选 ip 流程
个人理解:
1、需要有两个域名:一个是自己网站的域名,一个是回源域名,就是一个便宜域名。
2、回源域名的二级域名在 cf 上解析到网站 ip 上,并配置回退源为该二级域名
3、回源域名上 SSL/TLS 配置自定义主机名为自己的网站域名
4、网站域名在其他平台上解析到 cf 的优选 IP 上。
注意事项
1、网站本身应该就有个网站域名证书,需要自己去处理。
2、加证书后,重定向次数过多。将 SSL/TLS 加密模式改为 “完全” 再次尝试访问。
参考资料
https://jishubai.com/1292.html
https://blog.earlywolf.cn/archives/77.html
这篇文章补充说明了,自动将网站域名解析到优选 IP 的过程。
https://blog.btwoa.com/d04c383b/
这篇文章补充说明了,将网站域名 CNAME 解析到其他人提供的 Sass 域名,这个域名里面对应的 ip 都是优选 ip。
https://www.nodeseek.com/post-74526-1(比较全面)
这篇文章补充说明了,别人提供的 Sass 优选域名列表,而且说明了,网站域名默认 CNAME 到回源域名,只有国内的线路 CNAME 到优选域名。
https://www.nodeseek.com/post-42661-1
这个玩法更无赖,国外线路解析到 1.0.0.5(一个 cf 的泛播 ip),国内线路解析到 csgo.com 等域名,因为这些域名本来就是充值了的,走的就是优选 ip,里面还列出来了一些本身就是优选 ip 的域名。