主题
03-07 · Cloudflare 全球加速(白嫖指南)
江湖人称"赛博菩萨"。 Cloudflare 把全球 250+ 个城市的边缘节点免费给你用,绝大多数中小项目根本用不完它的免费额度。这一节告诉你:哪些产品免费、免费到什么程度、如何 一份钱不花 把公司海外项目接到全球加速网络上。
一、Cloudflare 全家桶速查(公司常用)
| 产品 | 免费额度 | 我们的用法 |
|---|---|---|
| DNS | 无限 + 极快 | 所有公司域名默认托管在 CF |
| CDN + WAF | 无限带宽 + 基础 WAF | 任意接入域名都自动有 |
| SSL 证书 | 无限制 | 一键 HTTPS(Origin CA 证书可用 15 年) |
| Workers | 10 万次请求/天,CPU 10ms/请求 | 边缘函数:A/B 测试、重写、鉴权 |
| Pages | 无限站点、500 次构建/月 | 静态前端 SPA / Hugo / VitePress 直接托管 |
| R2 对象存储 | 10GB 存储、Class A 100 万次/月、出口流量免费 | 图床、用户上传、备份归档 |
| Tunnel(cloudflared) | 无限 | 把内网服务暴露到公网,不需要公网 IP |
| D1 数据库 | 5GB / 项目,每天 500 万行读 | 小数据 KV / 关系数据 |
| KV | 10 万次读/天 | 边缘 KV |
| Queues | 100 万消息/月 | 边缘消息队列 |
| Workers AI | 一些每日免费推理额度 | 调 Llama / Whisper 等开源模型 |
| Email Routing | 无限转发 | *@yourdomain.com → 私人邮箱 |
| Zero Trust | 50 个用户免费 | 内部应用做 SSO / 访问控制 |
核心原则:你能"白嫖到的免费额度,可能比 90% 的中型公司付费购买的还多**。
二、什么时候用 Cloudflare(公司决策树)
项目要不要全球加速?
├── 是(出海 / 海外用户为主) → ✅ 强烈推荐 Cloudflare
└── 否(国内用户为主)
├── 国内已备案 → ⚠️ 优先用腾讯云 CDN / EdgeOne(合规、对国内更快)
└── 国内未备案 / 跨境 → ✅ Cloudflare(注意国内某些 IDC IP 可能慢)经验:
- 海外项目:把 Cloudflare 当默认基础设施
- 国内项目:用腾讯云内置 CDN;DNS 仍可托管在 CF
- 跨境业务(B 端 / 中国 + 东南亚):双线 CDN(国内腾讯云 / 海外 Cloudflare),按地区分流
三、第一步:把域名托管到 Cloudflare
这一步对所有项目都建议做,即使用腾讯云 CDN,DNS 也用 CF。
- 注册 Cloudflare 账号(免费)
- Add Site → 输入你的域名
- CF 自动扫描现有 DNS 记录
- 拿到 CF 给你的两个 NS(如
lola.ns.cloudflare.com/virgil.ns.cloudflare.com) - 去你买域名的地方(DNSPod / 阿里 / GoDaddy / Namecheap)改 NS 为这两个
- 等 5 分钟到 24 小时生效
四、最常用 5 套组合(公司"白嫖"实战)
组合 A:DNS + CDN + 免费 SSL(10 分钟、覆盖 80% 项目)
适用:你已有腾讯云 / 阿里云 / 海外 VPS 的源站。
- 在 CF 新建 A 记录指向源站 IP,"代理状态"开成 橙色云(启用 CDN + WAF)
- SSL/TLS → 加密模式 → 完全(严格)
- SSL/TLS → Origin Server → 创建 Origin Certificate(15 年)
- 把 Origin Cert 装到源站 nginx(参考 06-部署到腾讯云 第 3.7 节)
- 在 SSL/TLS → Edge Certificate 里启用 Always Use HTTPS 和 HSTS
- 完成
结果:
- 你的源站 IP 不再暴露
- 全球用户就近边缘节点访问
- 自动 HTTPS + 基础 DDoS / WAF
- 0 元 / 月
组合 B:Cloudflare Pages 托管前端(适合 React / Vite / VitePress)
bash
# 在 GitHub 关联项目后,CF Pages 控制台
# Build command: pnpm build
# Output directory: dist (Vite) / .vitepress/dist (VitePress)
# 自定义域名
# 添加自定义域 → 自动颁 SSL好处:
- 全球边缘部署,比国内 OSS+CDN 还快(海外)
- 每次 PR 自动生成预览域名(Preview Deployment)
- 无限带宽 + 0 元 / 月
公司常用:把课程站、产品官网、文档站、Demo 全部丢 Pages。
组合 C:R2 做图床 + 免费出口流量
R2 最大的杀手锏:出口流量免费。其他云对象存储(S3 / OSS / COS)出口流量都按 GB 计费,用户多了直接破产。
bash
# 创建 R2 bucket
# 绑自定义域名(cdn.yourdomain.com)
# 配 Cloudflare Cache Rules → Edge TTL = 1 年
# 公开读权限(如果做图床)
# 上传(s3 兼容)
aws s3 cp ./photo.jpg s3://qdy-images/2026/photo.jpg \
--endpoint-url https://<account-id>.r2.cloudflarestorage.com \
--profile r2结果:
- 10GB 永久免费(个人 / 小项目根本用不完)
- 出口流量 0 元
- 全球 CDN 加速
- 可作为公司项目的 静态资源、用户头像、上传图片 默认存储
组合 D:Cloudflare Tunnel(绕开公网 IP / 备案)
适用:
- 你想把家里电脑 / 内网服务暴露到公网
- 你海外项目不想买公网 IP
- 你没法备案,但又想用国内服务器(部分场景)
bash
# 在你要暴露的机器上
brew install cloudflared # macOS
sudo apt install cloudflared # Linux
cloudflared tunnel login
cloudflared tunnel create my-tunnel
cloudflared tunnel route dns my-tunnel api.yourdomain.com
cloudflared tunnel run my-tunnelconfig.yml:
yaml
tunnel: <tunnel-id>
credentials-file: /home/you/.cloudflared/<tunnel-id>.json
ingress:
- hostname: api.yourdomain.com
service: http://localhost:8000
- hostname: db.internal.yourdomain.com
service: tcp://localhost:5432
- service: http_status:404好处:
- 不需要公网 IP,不需要开端口
- 自动 HTTPS
- 配合 Zero Trust 还能做 SSO / 访问名单
- 0 元 / 月
场景示例:把你笔记本上跑的本地 Hermes / OpenClaw / Obsidian RAG 暴露成公司同事可访问的内网工具。
组合 E:Workers 做边缘鉴权 / A-B / 重写
js
// worker.js
export default {
async fetch(request, env, ctx) {
const url = new URL(request.url);
// 简单 A/B 测试
if (url.pathname === "/") {
const variant = Math.random() < 0.5 ? "a" : "b";
url.pathname = `/variant-${variant}`;
}
// 添加安全头
const resp = await fetch(url.toString(), request);
const headers = new Headers(resp.headers);
headers.set("X-Frame-Options", "DENY");
return new Response(resp.body, { ...resp, headers });
},
};部署:
bash
pnpm dlx wrangler@latest deploy额度:每天 10 万次请求 = 每月约 300 万次。中小项目 绝对够用。
五、Cloudflare 接腾讯云源站的硬约定
如果你 CN 业务在腾讯云、海外业务想加速,公司推荐:
┌─────────────────────────┐
│ 用户 │
└──────┬──────────────────┘
│
┌──────────────┴──────────────┐
│ 用户在中国大陆? │
└──────┬─────────────┬────────┘
│ 是 │ 否
▼ ▼
[腾讯云 EdgeOne / CDN] [Cloudflare 边缘]
│ │
└──────┬───────┘
▼
[腾讯云 Lighthouse / CVM 源站]实现方式:
- 国内主域名
www.cn.yourdomain.com→ 腾讯云 CDN - 海外主域名
www.yourdomain.com→ Cloudflare - 用 DNS 智能解析(DNSPod 国内线路 / 海外线路分流)
六、容易踩的坑(公司经验)
| 坑 | 原因 | 解决 |
|---|---|---|
| 接 CF 后访问慢(国内) | CF IP 在某些电信线路有抖动 | 国内业务别走 CF,走腾讯云 CDN |
| 接 CF 后图片上传 413 | CF 默认 100MB 上传限制(免费版) | 大文件直传 R2,不走 Workers |
| Workers 超 10ms CPU | 写了同步重逻辑 | 拆成多个 worker / 改成 Durable Objects |
| Pages 部署成功但白屏 | base path / 路由模式不对 | Vite base: "/",确认 _redirects 文件 |
| R2 公网访问 403 | 没设置公开 / 没绑域名 | bucket 绑自定义域 + 设公开 |
| Cloudflare DDoS 误伤 | 默认安全等级太高 | 安全等级调到 "中" 或 "低",按需开 Bot Fight Mode |
| 备案域名套 CF 被运营商干扰 | 国内运营商对 CF IP 有限速 | 国内业务还是用国内 CDN |
七、成本控制(白嫖 + 防爆刷)
"免费"的最大风险不是花钱,而是 被恶意刷爆免费额度。
公司硬约定:
- R2 / Workers 等启用支付方式时务必设置 Spending Limit(防被刷爆账单)
- 在 Cloudflare 仪表盘开启 Bot Fight Mode
- 关键 API 路径加 Rate Limit(免费版有基础限流功能)
- 监控 Workers 调用量 / R2 流量,异常飙升时飞书告警
八、Cloudflare + Agent 产品的常见姿势
公司 Agent 流水线接 CF 的几个套路:
- 把流水交付物挂 R2:客户线索报告 / 周报 PDF / Demo HTML 全部走 R2 + 自定义域名
- 用 Workers 做边缘缓存层:Agent 跑出的结果用 KV / D1 缓存,避免重复计费
- 用 Tunnel 把客户私有部署连回公司中央 Agent:客户机房不开公网 IP 也能接入
- Pages 做客户专属仪表盘:每个客户一个 PR / 一个预览域名
九、未来股东 · 第二周必练
- [ ] 把一个测试域名托管到 Cloudflare(NS 切换)
- [ ] 跑通"组合 A":CF 接腾讯云源站 + Origin CA + Always HTTPS
- [ ] 用 Pages 部署一个 Vite SPA
- [ ] 在 R2 建一个 bucket,绑自定义域,做你 Vault 笔记的图床
- [ ] 用 cloudflared 把笔记本上的本地服务暴露成临时公网域名
十、参考资料
- 📚 Cloudflare 官方文档
- 📚 Cloudflare Pages
- 📚 R2 对象存储
- 📚 Workers 文档
- 📚 Cloudflare Tunnel
- 📚 腾讯云域名接入 Cloudflare(中文)
- 📚 Cloudflare R2 白嫖指南(中文)
- 📚 Cloudflare 全套服务测评(中文)
返回 → 03 · 开发栈 · README 继续 → 04 · 本地化 Agent 工具链