Cloudflare SaaS (Custom Hostnames) 优选 IP 进阶指南:告别减速器
0. 为什么要做 SaaS 回源?
直接开启 Cloudflare (CF) 的“小黄云”在国内往往是“减速器”。
- 痛点:默认 Anycast 节点在国内访问极慢,且 SSL 证书扫描容易泄露原始 IP。
- 方案:利用 CF SaaS 功能,将网站域名接入 CF 内部网络,手动指定国内走“优选高速节点”,国外走“官方默认节点”。
1. 准备工作
- 回源域名:需 NS 接入 CF(如
fallback.net)。 - 网站域名:你的主站域名,解析在非 CF 平台(如 DNSPod、阿里云),以便进行国内/国外分线解析。
- 账户要求:CF 账户需绑定 PayPal 或外币卡以开启 SaaS 功能(免费额度 100 个域名,完全够用)。
2. 配置回退源 (Fallback Origin)
回退源是所有自定义主机名的“中转站”。
- 解析回源域名:在 CF 的
fallback.net中添加一跳 A 记录(如origin.fallback.net),指向你的真实服务器 IP,并开启小黄云 ☁️。 - 设置回退源:
- 进入 CF 仪表板 ->
SSL/TLS->自定义主机名 (Custom Hostnames)。 - 点击 添加回退源,填入
origin.fallback.net。 - 状态显示为 有效 (Active) 即可。
- 进入 CF 仪表板 ->
3. 添加自定义主机名(网站接入)
将真正的网站域名(如 www.example.com)对接到 CF 链路中。
- 在同一页面点击 添加自定义主机名,输入你的网站域名。
- 验证所有权 (DCV):
- CF 会提供两条 TXT 记录(证书验证和所有权验证)。
- 注意:去你网站域名的 DNS 后台添加。如果主机名是
www,TXT 名称应填_acme-challenge.www(删掉后面重复的主域名部分)。
- 激活技巧:验证时,先暂时将
www.example.com的 CNAME 指向回退源origin.fallback.net,用 ITDOG 跑一下测速,CF 感知到流量后会秒过验证。
4. 核心步骤:分线解析与优选入口
验证状态变为 Active 后,开始配置分线解析。
推荐优选 CNAME 列表 (2026 持续更新)
| 类型 | 推荐域名 | 说明 |
|---|---|---|
| 综合优选 | yx.887141.xyz |
目前国内兼容性较好 |
| 官方/商业 | csgo.com / shopify.com |
走 CF 官方高级 ASN 线路 |
| 政府/机构 | visa.cn / fbi.gov |
适合特定地区的绕路优化 |
DNS 解析配置建议
| 线路 | 记录类型 | 记录值 | 备注 |
|---|---|---|---|
| 国内 (移动/联通/电信) | CNAME | yx.887141.xyz |
强制走优选高速节点 |
| 境外 (默认) | CNAME | origin.fallback.net |
走官方节点,确保全球可达 |
| 搜索引擎 (蜘蛛) | A 记录 | 你的源站 IP |
防劫持:避免公共优选劫持权重 |
5. 常见问题排查 (Troubleshooting)
- 重定向次数过多 (301/302):
- 检查 CF 的 SSL 模式。如果源站配置了证书,CF 端必须设置为 “完全 (Full)” 或 “完全 (严格)”。
- SSL 证书无效:
- 即使使用了 SaaS 回源,你的**源站(宝塔/Nginx/NPM)**也必须配置对应域名的 SSL 证书,否则回源握手会失败。
- 安全性建议:
- 建议在 DNS 服务商处单独为“搜索引擎”线路解析到源站,防止公共优选域名失效或恶意劫持蜘蛛流量。
6. 结果测试
使用 ITDOG 进行全网 Ping 或 HTTP 测速:
- 观察国内节点的响应 IP 是否为优选域名的 IP。
- 检查
ip.skk.moe确认当前流量是否经过 CF 边缘节点。