Cloudflare 接入、代理与 HTTPS 全链路

Cloudflare 常被同时拿来做 DNS、CDN、HTTPS 代理和基础安全防护，所以第一次接入时很容易概念打架。

这篇不追求把控制台每个按钮都记住，而是先把它在整条链路里的位置讲清楚。

Cloudflare 在链路里到底是什么

接入后，最常见的变化是：

接入前：
用户 -> 你的源站

接入后：
用户 -> Cloudflare -> 你的源站

所以它通常同时扮演几种角色：

DNS 托管方
代理层
CDN 层
HTTPS 外层终止点
基础安全防护层

接入前要先想清楚 3 件事

你的源站到底是什么
你要不要把权威 DNS 也交给 Cloudflare
你是否需要让 Cloudflare 到源站这段链路也走加密

最常见的接入步骤

1. 添加域名

在 Cloudflare 中添加你的域名。

2. 检查 DNS 记录

确认：

裸域指向哪里
www 指向哪里
邮箱相关记录是否要保留

3. 修改 Nameserver

这一步是关键。很多时候真正的“接入 Cloudflare”不是改一条 A 记录，而是把域名的 Nameserver 改到 Cloudflare 提供的地址。

4. 等待生效

权威 DNS 切换不是瞬间全球完成的，要给解析缓存留时间。

橙色云和灰色云该怎么理解

最简化理解：

橙色云：请求经过 Cloudflare 代理
灰色云：只是 DNS 解析，不做代理

HTTPS 链路不要只看一段

很多人只看“浏览器到 Cloudflare 是 HTTPS”，但还漏了一段：

浏览器 <-> Cloudflare <-> 源站

你至少要想清楚：

外层是否加密
内层是否加密
证书由谁提供

为什么通常推荐 Full (Strict)

如果你有源站，通常更推荐让 Cloudflare 到源站这段也使用有效证书。

这样可以避免：

中间链路明文
某些重定向和协议判断混乱
“浏览器看起来是 HTTPS，但源站其实没安全好”的错觉

Cloudflare 接入后最常见能做什么

1. CDN 缓存

让静态资源更容易在边缘命中。

2. HTTPS 终止和证书管理

减轻一部分证书配置压力。

3. 基础安全能力

例如速率限制、WAF、隐藏源站细节等。

4. 流量观察

帮助你知道访问量和基础请求趋势。

最容易踩的坑

1. 接入 Cloudflare 后就以为源站可以乱配

不行。源站依然要正确返回状态码、缓存头、证书和重定向。

2. Flexible 模式当成省事方案

它看起来省事，但很容易让链路和重定向逻辑变得混乱。

3. 只配主域名，不配 `www`

后面访问行为会不一致。

4. 忘了验证旧缓存

接入后你可能遇到“源站已经更新，但边缘层还是旧内容”的问题。

接入后至少要做的验证

域名是否已经由 Cloudflare 接管
裸域和 www 是否都按预期访问
HTTPS 是否正常
是否出现循环重定向
资源是否正确走代理或命中缓存
源站直接访问策略是否符合预期

一个实用认知

Cloudflare 不是“自动把网站全部修好”的平台，它只是把 DNS、边缘代理、缓存和安全层能力放到了你前面。

真正稳定的站点，依旧依赖：

正确的源站
正确的缓存头
正确的 HTTPS 策略
正确的域名与重定向设计

适合接着读什么

补缓存与边缘层理解：看 CDN 原理与应用
补协议安全：看 HTTP 与 HTTPS
补上线后的速度优化：看 Web 性能基础：从首屏到缓存策略

Cloudflare 在链路里到底是什么​

接入前要先想清楚 3 件事​

最常见的接入步骤​

1. 添加域名​

2. 检查 DNS 记录​

3. 修改 Nameserver​

4. 等待生效​

橙色云和灰色云该怎么理解​

HTTPS 链路不要只看一段​

为什么通常推荐 Full (Strict)​

Cloudflare 接入后最常见能做什么​

1. CDN 缓存​

2. HTTPS 终止和证书管理​

3. 基础安全能力​

4. 流量观察​

最容易踩的坑​

1. 接入 Cloudflare 后就以为源站可以乱配​

2. Flexible 模式当成省事方案​

3. 只配主域名，不配 www​

4. 忘了验证旧缓存​

接入后至少要做的验证​

一个实用认知​

适合接着读什么​