通过CloudFlare+SaaS回源优选IP使国内用户高速访问网站

前言

由于不可抗力因素，使用 Cloudflare 开启小黄云后，国内的访问速度十分堪忧，且有时会出现不稳定的情况。

之前，我们可以通过 Cloudflare Partner 来优化访问路径，选择更优的 IP 地址，但这个方法去年就无法再使用了。对于不想对接国内备案实名 CDN，同时希望保证国内高速访问的白嫖用户，我们应该怎么做呢？这正是本期要讨论的主要内容：CloudFlare SaaS回源

什么是 SaaS 回源?

SaaS 回源主要包含两个部分：

1. 自定义主机名 (Custom Hostnames)：你可以设置一个自定义主机名，作为访问域名。
2. 回源 (Origin Server)：当用户请求特定的主机名（如客户自己的域名）时，请求会被转发到 SaaS 提供商的原始服务器（或回源服务器）。

SaaS 回源的作用

可能到现在大家还是有些困惑，没关系，我会通过实例来通俗易懂地解释一下。

我们可以使用支持分流的 DNS 解析服务（例如腾讯的 DNSPOD），将需要访问的域名（例如 img.xxx.com ）通过 CNAME 解析到任意一个 Cloudflare 的节点（例如 csgo.com，visa.com）。这些解析到的 Cloudflare IP 通常经过大陆优化，有些是优选线路，有些与百度云合作。

通过将 img.xxx.com 的 CNAME 解析到 csgo.com，我们访问 img.xxx.com 的请求实际上被发送到了优化后的 Cloudflare IP 上。Cloudflare 的 IP 收到请求后，会匹配 img.xxx.com 是否在 Cloudflare 中有匹配的自定义主机名，如果有，它会将请求回源到我们设置的回源服务器。

使用 Cloudflare 的 SaaS 回源

我们可以设置自定义域名（例如 img.xxx.com ），并通过 CNAME 记录将其解析到另一个域名（例如 csgo.com），以利用 Cloudflare 的安全和性能特性，如 DDoS 防护、SSL/TLS 加密、CDN 加速等。

CNAME 解析过程

1. 访问 img.xxx.com 时，DNS 查询会根据 CNAME 记录找到实际指向的 csgo.com。
2. 由于 csgo.com 已接入 Cloudflare CDN，用户的请求会被路由到 Cloudflare 的边缘节点。
3. Cloudflare 的边缘节点处理请求，包括应用安全规则、进行缓存等。如果请求需要回源（即获取原始内容），Cloudflare 会将请求转发到原始的回源服务器。

访问过程的理解

用户访问 img.xxx.com 实际上是在访问 Cloudflare 的节点。然后，根据需要，Cloudflare 会从原始的回源服务器获取内容。这个过程对用户是透明的，他们只知道访问的是 img.xxx.com ，但内容可能来自 Cloudflare 的缓存，或者是经过 Cloudflare 优化处理的原始服务器内容。

实际操作

准备域名

我们需要准备两个域名：

1. cdn.aaa.com：作为访问域名，即自定义主机名。
2. fb.bbb.com：作为回源域名，即当访问 cdn.aaa.com 时，Cloudflare 内部回源的域名。

将 cdn.aaa.com 解析在腾讯的 DNSPOD 上，fb.bbb.com 解析在 Cloudflare 上。前者可以利用 DNSPOD 的免费分流服务，后者必须在 Cloudflare 上解析以启用 SaaS 回源。

设置回源域名

添加 DNS 解析：

将域名解析到真实服务器 IP 地址。例如，fb.bbb.com 作为二级域名，用于回源。

添加回退源：

进入 Cloudflare 域名管理界面 -> SSL/TLS -> 自定义主机名 -> 添加一个回退源，地址为解析的二级域名 fb.bbb.com。

检查回退源是否有效

回退源状态为 “有效” 即表示添加成功。访问 fb.bbb.com 时，应看到默认界面。

这是因为虽然设置了回退源,但是我们并没有设置自定义主机名,也就是回退源并不知道要将哪个主机名回源到我们的服务器IP

设置自定义主机名

添加自定义主机名：

在 Cloudflare 中设置主机名信息，自定义主机名填写为 cdn.aaa.com，TLS 版本默认 1.0，证书验证方法为 TXT 验证。

验证域名所有权：

在 DNS 解析面板添加 TXT 解析记录，等待 Cloudflare 服务器验证。

设置优选IP

设置分流：添加两个二级域名记录，一个线路选择境内，另一个选择境外。境外解析到 1.0.0.5，境内 CNAME 解析到 csgo.com 等国内访问速度较好的 Cloudflare 节点。

可使用的CNAME优选域名参考

Qatar2022(SAN JOSE IP) : 
www.qatar2022.qa

IP查询 : 
ip.skk.moe
ping.pe

政府网站:
乌克兰??政府
www.gov.ua

泰国??政府
www.thaigov.go.th

卡塔尔??政府
www.gco.gov.qa

瑞典??政府
www.gov.se

美国??FBI:
FBI.GOV

商业网站：
CSGO官方网站
(Cloudflare LONDON ASN)：
CSGO.COM

DigitalOcean
digitalocean.com

VISA官方网站：
(格式： VISA.国家顶级域名)
VISA.COM
VISA.CN
VISA.FI
VISA.HK

伪AMEX:
AMEX.COM

SHOPIFY(推荐):
SHOPIFY.COM

域名注册商：
Dynadot.COM

其它网站：
SINGAPORE.COM
JAPAN.COM
BRAZIL.COM
MALAYSIA.COM
RUSSIA.COM

域名	更新	备注
yx.887141.xyz	1000ip/3min	推荐：多地区分线路解析
freeyx.cloudflare88.eu.org	1000ip/3min	与yx.887141.xyz相同
*.cloudflare.182682.xyz	15ip/15min	泛域名解析可以解析到任意前缀
cnamefuckxxs.yuchen.icu	频率未知	号称解析了950+个IP地址
cf.345673.xyz	频率未知	网络收集
8.889288.xyz	频率未知	网络收集
cf.877771.xyz	频率未知	网络收集
achk.cloudflarest.link	频率未知	网络收集
cf.0sm.com	频率未知	网络收集
cfip.1323123.xyz	频率未知	网络收集
cf.515188.xyz	频率未知	网络收集
cf-st.annoy.eu.org	频率未知	网络收集
gn.cfsaas.ltd	频率未知	不推荐：很久没更新了
cf.13d7s.site	频率未知	不推荐：很久没更新了

添加解析

将要访问的域名 CNAME 解析到 CDN 记录上。

排查错误 

确保站点开启 SSL 证书和 HTTPS 访问，否则会出现 404 错误。若提示重定向次数过多，进入 Cloudflare 后台 -> SSL/TLS -> 概述，将 SSL/TLS 加密模式改为 “完全”。

若出现 Invalid SSL Certificate 错误，为 cdn.aaa.com 申请并配置一个证书即可解决。

结果测试

网站访问成功后，可以通过工具进行 Ping 测试，确认解析路径和访问速度。

总结

通过这种方法，我们可以实现几乎全绿的国内访问体验。Cloudflare + SaaS 还有很多玩法，例如自建 Cloudflare 节点等。