Cloudflare 出海一站清单:DNS / CDN / R2 / Pages / Workers / Tunnel(2026)

TL;DR:免费版 Cloudflare 已经能解决 90% 中小团队的 DNS / CDN / DDoS / SSL 需求。值得付费的不是 Pro($20/月),是 R2(对象存储)、Workers(边缘函数)、Tunnel(穿透防火墙)和 Zero Trust(企业级零信任) —— 按用量计费,不强制订阅。这篇按出海团队的真实使用顺序拆给你听。

为什么 Cloudflare 是出海标配

3 个原因:

1. 全球 320 个 PoP —— 包括 16 个中国大陆节点(虽然中国大陆访问需要 ICP 备案才走中国节点,否则走香港 / 台北 / 东京)
2. 免费版即生产可用 —— DNS / CDN / 基础 DDoS / SSL 都免费,且没有用量限制(99% SaaS 跑得动)
3. API 极完善 —— Terraform / Pulumi 都有官方 provider,基础设施代码化没难度

中国 SMB 出海第一天就该把域名 NS 切到 Cloudflare,后面所有东西从这一步发散。

Cloudflare 全家桶 · 按使用频率排序

Pro $20/月 几乎不用买。免费版已经覆盖了 95% 用例,Pro 主要加 Image Optimization / WAF 自定义规则 / Mobile Redirect —— 对中小团队边际效用低。Business / Enterprise 价格谈,$200-$2000+/月,只有真到了被 DDoS 几次或合规要求高的阶段才考虑。

实战配置 · 出海第一天的 5 步

1. 域名 NS 切到 Cloudflare(15 分钟)

不管你的域名买在 Namecheap / GoDaddy / 阿里云 / 腾讯云,都能切。流程:

1. Cloudflare 注册免费账号 → "Add a site" 输入域名
2. Cloudflare 自动扫描 NS 把现有 DNS 记录导入
3. 复制 Cloudflare 给你的 2 条 NS(类似 xxxx.ns.cloudflare.com)
4. 在原注册商后台改 NS,生效 1-24 小时

切完后所有 DNS 改动在 Cloudflare 后台做,记录全球 30 秒内生效。

2. SSL · 全自动 Let's Encrypt

NS 切完默认就开 SSL,模式选 Full(Strict):

• Flexible:浏览器 ↔ Cloudflare 是 HTTPS,Cloudflare ↔ 你服务器是 HTTP — 不要用,中间人风险
• Full:两端都 HTTPS,但不验证服务器证书 — 自签证书可以
• Full(Strict):两端 HTTPS + 验证证书 — 推荐

证书自动续期 90 天,到期前 7 天自动新签。手不用碰。

3. CDN + DDoS · 默认开启

Proxy status 切到橙色云朵 = 流量经过 Cloudflare CDN。免费版含:

• 全球 CDN 缓存(图片 / CSS / JS 自动缓存,HTML 默认不缓存)
• DDoS 防护(L3-L7,无限量)
• Bot 管理基础版

重要:开 Proxy 后客户端 IP 在 X-Forwarded-For 头,你的 Nginx / 应用要读这个头,否则所有访问看起来都来自 Cloudflare IP。

# /etc/nginx/conf.d/cloudflare.conf
real_ip_header X-Forwarded-For;
set_real_ip_from 173.245.48.0/20;  # Cloudflare ranges
set_real_ip_from 103.21.244.0/22;
# ... (Cloudflare 公开 IP 范围列表,定期更新)

4. 缓存规则 · 一行 Page Rule 省 70% 带宽

免费版有 3 条 Page Rules 额度。最重要的一条:

URL Pattern: yourdomain.com/static/*
Settings:
  - Cache Level: Cache Everything
  - Edge Cache TTL: 1 month

静态资源(图片 / CSS / JS)缓存到 CDN 节点,后续访问不回源。我们客户实测后源服务器流量下降 70-90%。

5. 防火墙规则(Firewall Rules)· 免费 5 条

最常见的 3 条:

1. 阻止特定国家:
   (ip.geoip.country in {"RU" "KP" "IR"}) → Block

2. 阻止 SQL injection 探测:
   (http.request.uri contains "union select" or http.request.uri contains "../etc/passwd") → Block

3. 限速登录页:
   (http.request.uri.path eq "/api/login") → Challenge (CAPTCHA after 5 req/min)

5 条规则用满后,Pro $20 升到 50 条。我们做高合规客户(医疗 / 金融)的时候才会升。

R2 · 我们替换掉所有 S3 的存储

R2 是 Cloudflare 的对象存储,重点是无出口流量费:

实际省钱:某客户每月 5TB 出口流量,S3 约 $450/月,切到 R2 后 $0,一年省 $5,400。

切换难度:0。aws-sdk 改个 endpoint:

// old: AWS S3
const s3 = new S3Client({ region: 'us-east-1' });
 
// new: Cloudflare R2
const s3 = new S3Client({
  region: 'auto',
  endpoint: 'https://YOUR_ACCOUNT_ID.r2.cloudflarestorage.com',
  credentials: { accessKeyId: ..., secretAccessKey: ... },
});
// 其他代码完全不变

Workers · 边缘函数省一台 EC2

Workers 是 Cloudflare 的 Edge Runtime,V8 引擎跑 JavaScript / TypeScript,部署到全球 320 个节点。免费版 100,000 请求/天(够中小 SaaS 完全免费跑)。

典型用例:

1. 重定向 / A/B 测试

export default {
  async fetch(req: Request): Promise<Response> {
    const url = new URL(req.url);
    if (url.pathname === '/old-page') {
      return Response.redirect('https://yourdomain.com/new-page', 301);
    }
    return fetch(req);
  },
};

2. API 网关 + 身份验证

export default {
  async fetch(req: Request, env: any): Promise<Response> {
    const auth = req.headers.get('Authorization');
    const token = auth?.replace('Bearer ', '');
    const isValid = await env.KV.get(`token:${token}`);
    if (!isValid) return new Response('Unauthorized', { status: 401 });
    return fetch(req);
  },
};

3. Image transformation(替代 Cloudinary)

// /image-resize?url=...&width=400
// Cloudflare 的 Image Resizing API,边缘转码
const target = `https://yourdomain.com/cdn-cgi/image/width=400,quality=80/${originalUrl}`;

我们的客户用 Workers + R2 + KV,一个完整 SaaS 后端跑到 1 万 MAU 0 服务器成本。Workers 真正改变了 SaaS 边际成本结构。

Tunnel · 不开放公网 IP 也能让外网访问

Cloudflare Tunnel 反向代理:你的服务器主动连接 Cloudflare,Cloudflare 把外网流量转给你。不需要公网 IP / 不需要开端口。

适用场景:

• 内网开发服务器临时给客户演示(https://demo.yourdomain.com → 你 localhost:3000)
• NAS / 树莓派对外服务(电信 IP 没办法直接对外)
• 替代昂贵的 VPN(只让特定团队访问内网管理后台)

配置 5 分钟:

# 1. 安装 cloudflared
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64 -o cloudflared
chmod +x cloudflared && sudo mv cloudflared /usr/local/bin/
 
# 2. 登录 + 创建 Tunnel
cloudflared tunnel login
cloudflared tunnel create my-tunnel
 
# 3. 配置 + 启动
cloudflared tunnel route dns my-tunnel demo.yourdomain.com
cloudflared tunnel run --url http://localhost:3000 my-tunnel

完事。https://demo.yourdomain.com 立即可访问,SSL 自动配,无需开任何端口。

Pages · 替换掉 Vercel / Netlify

Cloudflare Pages 是静态站点托管,与 Workers 同 Runtime。对比:

Cloudflare Pages 唯一弱点是 SSR / RSC 支持比 Vercel 略晚一步(Vercel 是 Next.js 自家),但 Next.js 14 / 15 都能跑(用 @cloudflare/next-on-pages)。我们的客户从 Vercel 切到 Pages,月费 $200 → $0 是常态。

何时该升级到 Pro($20/月)

只在以下场景:

1. 被 DDoS 打了真实业务(免费版 DDoS 防护够阻挡 99%,但极端情况升级到 Pro 的 Advanced DDoS)
2. WAF 自定义规则不够 5 条(需要 20-100 条用 Pro)
3. 图片优化(Polish + WebP 转换)成本敏感(每月图片流量 > 100GB 时省钱)
4. Mobile Redirect / Image Insights 等高级功能

否则停在免费版。

FAQ

Q:Cloudflare 在中国大陆访问慢吗? A:看域名 ICP 备案状态。有备案:Cloudflare China Network 走中国大陆 16 个节点(联通运营),速度和阿里云 CDN 接近。无备案:走香港 / 台北 / 东京节点,大陆访问 100-200ms,可用但不如本地 CDN 快。无 ICP 想做大陆生意,建议 Cloudflare(国际访问)+ 国内 CDN 双重配置。

Q:免费 Cloudflare 真的免费吗?有什么隐藏成本? A:真免费,无隐藏。但要注意:① Workers 超过 100K req/天后按 $0.50/百万请求收费;② R2 按存储 + 操作收费(出口流量免费);③ Pro 升级后才有 SSL 证书自定义。中小 SaaS 一年成本 $0-$50 是真实可达的。

Q:Cloudflare 比 AWS / 阿里云 / 腾讯云更安全吗? A:不是「更安全」,是「不同维度」。Cloudflare 强在边缘安全(DDoS / WAF / Bot),AWS / 阿里云强在主机安全(VPC / Security Group / IAM)。最佳组合是 Cloudflare 在前 + 任何云在后。

Q:如果 Cloudflare 自己挂了怎么办? A:Cloudflare SLA 99.99%(企业版),实际几乎不挂。但 2022 年有过几次大事故(全球路由问题),所以关键业务建议:①保留备用 CDN(Bunny / KeyCDN);②域名 NS 多冗余;③监控页面用第三方(StatusCake / UptimeRobot)而非 Cloudflare 自家。

Q:Cloudflare 数据合规吗? A:GDPR / CCPA 完整合规;中国数据出境合规需要单独看,不要用 Cloudflare 替代国内业务的数据存储(放阿里云 OSS / 腾讯云 COS)。海外业务无问题。

Cloudflare 配置不熟?ClouBay 数字资产托管 一站接管 DNS / SSL / CDN 配置 + 月度健康审查。看 /custody 详情 →