Cloudflare优选IP配置教程 - 双域名SaaS版

如果你的网站已经托管在 Cloudflare，并希望在保留 CDN、SSL 与 WAF 功能的前提下，通过优选 IP 提升国内访问速度，这篇教程适合你。本文以“双域名 SaaS 版”为例，按步骤说明完整配置思路与关键注意事项。

你将了解双域名中转的整体架构、DNS 配置方法、Cloudflare SaaS 的开通流程，以及源站 Nginx 的基础设置。按照本文逐步操作，可更高效地完成部署并减少常见配置错误。

适用场景：网站已托管在 Cloudflare，希望通过优选 IP 提升国内访问速度，同时保留 CDN、SSL、WAF 功能。

架构原理图

用户访问 yicego.com
   │
   ▼
[第一次 CNAME] yicego.com ─CNAME─▶ cdn.yicego.xyz   （灰云）
   │
   ▼
[第二次 CNAME] cdn.yicego.xyz ─CNAME─▶ cloudflare.182682.xyz  （灰云，分线路）
   │
   ▼
[优选 IP 解析] 联通走 A，电信走 B，国外走 C
   │
   ▼
[Cloudflare 边缘节点] SNI = yicego.com
   │
   ▼
[SaaS 自定义主机名] 识别 yicego.com → 路由到 yicego.xyz 的回退源
   │
   ▼
[回退源] origin.yicego.xyz ─A─▶ 真实源站 IP（Nginx）

核心思想

• yicego.com：用户面向的主域名，也就是需要加速的域名。
• yicego.xyz：辅助域名，负责 SaaS 中转与回源。
• 通过两次 CNAME，将流量“引导”进优选 IP，再借助 SaaS 将流量“还原”回原域名对应的源站。

前置条件

• 主域名：yicego.com 已托管在 Cloudflare（NS 在 CF）
• 辅助域名：yicego.xyz 也托管在 Cloudflare（NS 在 CF）
• 源站服务器：Nginx 已部署，并监听 80 端口（HTTP）
• 源站 IP：假设为 1.2.3.4
• 优选域名：使用社区维护的 cloudflare.182682.xyz（含分线路解析）

完整配置步骤

第 1 步：辅助域名 yicego.xyz 配置回源 A 记录

进入 Cloudflare Dashboard，选择 yicego.xyz，依次进入 DNS → Records → Add record。

类型      名称          内容         代理状态
A        origin       1.2.3.4      🟠 已代理（橙云）

✅ 必须开启橙云，因为这是真正的回源入口，需要由 Cloudflare 接管。

第 2 步：辅助域名 yicego.xyz 配置 CDN 中转 CNAME

继续在 yicego.xyz 的 DNS 中添加如下记录：

类型      名称       内容                          代理状态
CNAME    cdn       cloudflare.182682.xyz        ☁️ 仅 DNS（灰云）

⚠️ 必须使用灰云。如果开启橙云，解析将被 Cloudflare 接管，优选 IP 会失效。

如果优选域名提供了分线路解析，例如联通、电信、移动、国外对应不同 CNAME，可通过 Cloudflare 的自定义规则处理，或直接使用单一 CNAME。

需要注意的是，Cloudflare 免费版并不支持分线路解析，因此通常需要将这一步迁移到 DNSPod 等支持线路解析的 DNS 服务商上完成。

💡 进阶提示：如果你希望实现分线路优选，可将 yicego.xyz 的 NS 从 Cloudflare 迁移到 DNSPod，这样就能按运营商分别 CNAME 到不同的优选域名。本文先以单线路方案演示。

第 3 步：辅助域名开通 Cloudflare SaaS

进入 yicego.xyz，然后打开 SSL/TLS → Custom Hostnames（自定义主机名）。

3.1 配置回退源（Fallback Origin）

• Fallback Origin 填写：origin.yicego.xyz
• 点击 Save
• 等待状态变为 Active，通常约 5–15 分钟

3.2 添加自定义主机名

• 点击 Add Custom Hostname
• Hostname 填写：yicego.com（即你要加速的主域名）
• Certificate Authority：选择 Let's Encrypt 或 Google Trust Services
• Validation Method：选择 TXT（推荐）
• 点击 Add Custom Hostname

随后，Cloudflare 会显示两条待验证记录：

• 域名归属验证：TXT _cf-custom-hostname.yicego.com（CF 提供的随机值）
• SSL 证书签发：TXT _acme-challenge.yicego.com（CF 提供的随机值）

先不要关闭当前页面，下一步还会用到这些信息。

第 4 步：主域名 yicego.com 配置验证记录

切换到 yicego.com 的 Cloudflare Dashboard，进入 DNS → Records。

将第 3 步中显示的两条 TXT 记录添加进去：

类型      名称                                值
TXT      _cf-custom-hostname              （CF 提供的值）
TXT      _acme-challenge                  （CF 提供的值）

📌 名称只需填写 _cf-custom-hostname，Cloudflare 会自动补全为 _cf-custom-hostname.yicego.com。

添加完成后，回到第 3 步页面，等待 Hostname Status 和 Certificate Status 都变成 Active。通常需要 1–5 分钟。

第 5 步：主域名 yicego.com 配置 CNAME 到中转域名

继续在 yicego.com 的 DNS 中添加：

类型      名称      内容                  代理状态
CNAME    @        cdn.yicego.xyz       ☁️ 仅 DNS（灰云）

如果你还想使用 www.yicego.com，则继续添加：

CNAME    www      cdn.yicego.xyz       ☁️ 仅 DNS（灰云）

⚠️ 再次强调：必须使用灰云。如果开启橙云，Cloudflare 会直接接管解析，CNAME 链路被截断，优选效果也会随之失效。

第 6 步：SSL/TLS 加密模式设置

主域名 yicego.com

由于主域名这里使用灰云，不经过 Cloudflare 代理，因此保持默认设置即可。

辅助域名 yicego.xyz

这一项是关键配置。进入 yicego.xyz → SSL/TLS → Overview。

源站协议与加密模式选择：

• Nginx 监听 80 端口（HTTP）：Flexible（灵活）
• Nginx 监听 443 端口（HTTPS）：Full（完全） 或 Full (Strict)

本教程示例中，Nginx 监听的是 80 端口，因此选择 Flexible。

第 7 步：Nginx 源站配置

配置文件路径示例：/etc/nginx/conf.d/yicego.conf

最简版本（基础可用）：

server {
    listen 80;
    server_name yicego.com origin.yicego.xyz;

    location / {
        root /var/www/yicego;
        index index.html;
    }
}

进阶版本（支持真实 IP 透传，推荐）：

以上配置完成后，整体链路就已经初步打通：用户访问 yicego.com，流量经由中转 CNAME 与优选 IP 进入 Cloudflare，再通过 SaaS 回退源转发到真实源站。

接下来只需继续完善进阶版 Nginx 配置与相关验证，即可进一步提升可用性与可维护性。

以下内容主要介绍 Cloudflare 优选 IP 双域名 SaaS 版配置完成后的验证方法、常见避坑点与后续维护建议。通过这些检查项，你可以更快确认链路是否生效，并减少实际部署中的常见错误。

源站 Nginx 配置示例

总的来说，双域名 SaaS 方案的关键在于正确串联 DNS、Cloudflare SaaS 与源站回源配置，并确保灰云与橙云的使用位置准确无误。完成以上步骤后，你就已经搭建好了整条核心链路，可继续进行后续验证与优化。

完成 Nginx 与 Cloudflare SaaS 的基础配置后，接下来还需要做好真实 IP 透传、解析链路验证以及常见错误排查。本文这一部分将重点补全验证方法、避坑要点和后续维护建议，帮助你把双域名 SaaS 方案稳定跑起来。

真实 IP 透传配置

如果你希望在 Nginx 日志中看到访客的真实 IP，而不是 Cloudflare 的中转节点 IP，可以在站点配置中加入如下内容：

server {
    listen 80;
    server_name yicego.com origin.yicego.xyz;

    location / {
        root /var/www/yicego;
        index index.html;
    }

    # 信任 Cloudflare 来源 IP（用于真实 IP 透传）
    set_real_ip_from 173.245.48.0/20;
    set_real_ip_from 103.21.244.0/22;
    set_real_ip_from 103.22.200.0/22;
    set_real_ip_from 103.31.4.0/22;
    set_real_ip_from 141.101.64.0/18;
    set_real_ip_from 108.162.192.0/18;
    set_real_ip_from 190.93.240.0/20;
    set_real_ip_from 188.114.96.0/20;
    set_real_ip_from 197.234.240.0/22;
    set_real_ip_from 198.41.128.0/17;
    set_real_ip_from 162.158.0.0/15;
    set_real_ip_from 104.16.0.0/13;
    set_real_ip_from 104.24.0.0/14;
    set_real_ip_from 172.64.0.0/13;
    set_real_ip_from 131.0.72.0/22;
    real_ip_header CF-Connecting-IP;
}

💡 真实 IP 透传配置说明：

• 不加：Nginx 日志里看到的会是 Cloudflare 中转 IP（如 162.158.x.x），无法直接识别真实访客 IP。
• 加上：日志会显示真实用户 IP，便于做访问统计、限流和风控。
• 如果只是纯静态展示站，即使不加也可以正常运行，可按需选择。

重载配置

完成配置后，执行以下命令检查并重载 Nginx：

sudo nginx -t && sudo nginx -s reload

验证方法

1. 检查 DNS 解析链路

先确认主域名是否正确 CNAME 到辅助域名的 cdn 子域，再检查最终解析结果是否落到优选 IP。

# 主域名应该 CNAME 到辅助域名的 cdn 子域
dig yicego.com +short
# 期望输出：cdn.yicego.xyz. → cloudflare.182682.xyz. → 优选 IP

# 直接看最终解析到的 IP
dig yicego.com @1.1.1.1 +short

2. 检查 SaaS 状态

进入 yicego.xyz → SSL/TLS → Custom Hostnames，确认以下状态均为正常：

• Hostname Status：Active ✅
• Certificate Status：Active ✅

3. 浏览器访问测试

打开 https://yicego.com，重点检查以下几项：

• 网站可以正常打开 ✅
• 证书颁发者是 Let's Encrypt 或 Google Trust Services，而不是 Cloudflare 通配符证书 ✅
• 按 F12 打开开发者工具，在 Network → Response Headers 中能看到 cf-ray 和 server: cloudflare ✅

4. 测速对比

可以通过命令行简单测试 TTFB 和总耗时，同时观察源站日志中的真实来源 IP 是否正确透传。

curl -o /dev/null -s -w "TTFB: %{time_starttransfer}s\nTotal: %{time_total}s\n" https://yicego.com

# 在源站日志里看到的 X-Forwarded-For 应该是真实用户 IP
tail -f /var/log/nginx/access.log

关键避坑清单

下面这些问题是双域名 SaaS 部署中最常见的坑，建议逐项核对：

• 错误做法：yicego.com 直接 CNAME 到 cloudflare.182682.xyz
• 正确做法：中间套一层 cdn.yicego.xyz
• 原因：直接 CNAME 会让 SaaS 自定义主机名失效。
• 错误做法：两次 CNAME 开橙云
• 正确做法：两次都用灰云
• 原因：开橙云后，Cloudflare 会接管解析，优选 IP 会被覆盖。
• 错误做法：origin.yicego.xyz 用灰云
• 正确做法：必须开橙云
• 原因：这是 SaaS 真正的回源入口，需要由 Cloudflare 处理。
• 错误做法：源站 HTTP 但 SSL 模式选 Full
• 正确做法：用 Flexible
• 原因：Full 模式下，Cloudflare 会使用 HTTPS 回源，Nginx 的 80 端口无法正常接收。
• 错误做法：源站 HTTPS 但 SSL 模式选 Flexible
• 正确做法：用 Full
• 原因：否则容易形成重定向死循环。
• 错误做法：主域名加速记录没加 TXT 验证
• 正确做法：必须加 _cf-custom-hostname 和 _acme-challenge
• 原因：SaaS 需要先验证你拥有该域名，才能签发证书。

流程速记口诀

辅助域名搭舞台（SaaS 配回退源 + 自定义主机名）
主域名贴海报（TXT 验证 + CNAME 到中转）
中转域名连优选（cdn.子域 CNAME 到优选域名，灰云）
源站负责出节目（Nginx 同时认两个域名）

后续维护

维护项与处理建议

• 优选 IP 失效
• 频率：监控用户反馈
• 操作：更换一个优选域名（社区维护的通常会自动更新）。
• SSL 证书
• 频率：自动续期
• 操作：Cloudflare SaaS 会自动处理，无需人工干预。
• 源站 IP 变更
• 频率：按需
• 操作：修改 yicego.xyz 的 origin A 记录即可。

改进方向（可选）

1. 分运营商优选：将 yicego.xyz 的 NS 迁移到 DNSPod，按线路 CNAME 到不同的优选域名。
2. 自建优选：使用 CloudflareSpeedTest 在自己的服务器上定期扫描测速，并自动更新 cdn.yicego.xyz 的 A 记录。
3. 多回源：SaaS 支持多个 Fallback Origin，可以进一步实现主备容灾。

整体来看，这套双域名 SaaS 方案的关键在于：解析链路要正确、证书状态要正常、源站配置要匹配回源方式。只要按本文逐项验证并避开常见错误，部署和后续维护都会轻松很多。

可用域名参考表

• cf.bingbook.cn｜更新：未知｜备注：热心网友补充
• yx.887141.xyz｜更新：1000ip/3min｜备注：推荐，多地区分线路解析
• freeyx.cloudflare88.eu.org｜更新：1000ip/3min｜备注：与 yx.887141.xyz 相同
• *.cloudflare.182682.xyz｜更新：15ip/15min｜备注：泛域名解析可以解析到任意前缀
• cnamefuckxxs.yuchen.icu｜更新：频率未知｜备注：号称解析了 950+ 个 IP 地址
• cf.345673.xyz｜更新：频率未知｜备注：网络收集
• 8.889288.xyz｜更新：频率未知｜备注：网络收集
• cf.877771.xyz｜更新：频率未知｜备注：网络收集
• achk.cloudflarest.link｜更新：频率未知｜备注：网络收集
• cf.0sm.com｜更新：频率未知｜备注：网络收集
• cfip.1323123.xyz｜更新：频率未知｜备注：网络收集
• cf.515188.xyz｜更新：频率未知｜备注：网络收集
• cf-st.annoy.eu.org｜更新：频率未知｜备注：网络收集
• gn.cfsaas.ltd｜更新：频率未知｜备注：不推荐，很久没更新了
• cf.13d7s.site｜更新：频率未知｜备注：不推荐，很久没更新了

总结一下，双域名 SaaS 版 Cloudflare 优选 IP 的核心不在于配置项多复杂，而在于链路是否清晰、验证是否完整、细节是否避坑。只要把解析、证书、回源和维护这几部分串起来，整套方案就能稳定长期使用。