Cloudflare SaaS 回退源大厂专线提速”终极保姆级教程”

我们将用到两个域名，为了方便说明，我们定义如下：

• 👑 主域名 (a.com)：你真正用来做图床的域名（比如 XXX.a.com）。它的 DNS 解析必须放在国内平台（如 DNSPod、阿里云），绝对不能放在 Cloudflare。
• 🧰 工具人域名 (b.com)：随便一个吃灰的便宜域名。它的 DNS 解析必须完全托管在 Cloudflare 里面。

第一阶段：在 Cloudflare 打造“接客大厅”（设置 b.com）
这一步的目的是在 CF 内部建立一个虚拟的“回退源”（Fallback Origin），用来接收所有的流量。

1. 新建虚拟源站 IP：
   • 登录 Cloudflare，进入 b.com 的管理面板。
   • 点击左侧菜单的 DNS -> 记录。
   • 点击“添加记录”：
     • 类型：A
     • 名称：填 origin （这样就组成了 origin.b.com）
     • IPv4 地址：填入 192.0.2.1 （这是一个保留的空 IP，CF 内部专用的占位符）。
     • 代理状态：⚠️ 必须点亮变成橙色的小黄云（已代理）！
     • 点击保存。
2. 将其设为全局回退源：
   • 点击左侧菜单的 SSL/TLS -> 自定义主机名 (Custom Hostnames)。
   • 在页面中间找到“回退源 (Fallback Origin)”输入框。
   • 填入刚才的地址：origin.b.com，点击“添加回退源”。
   • 等待 1-2 分钟并刷新页面，直到回退源的状态变成绿色的“有效 (Active)”。

第二阶段：在 Cloudflare 颁发“特许通行证”（绑定 a.com）

现在我们要告诉 Cloudflare 的保安：以后看到 XXX.a.com 来了，放它进来。

1. 添加自定义主机名：
   • 依然停留在 b.com 的 SSL/TLS -> 自定义主机名 页面，点击右上角的 添加自定义主机名。
2. 严格照抄以下配置：
   • 自定义主机名：填入你的图床主域名，例如 XXX.a.com
   • 最低 TLS 版本：选 TLS 1.0（默认）
   • 证书类型：选 由 Cloudflare 提供
   • 证书验证方法：选 TXT 验证（推荐）
   • 自定义源服务器：选 默认源服务器
   • 点击“添加”。
3. 提取暗号（TXT 记录）：
   • 添加完成后，列表中会出现 XXX.a.com，状态为“待验证”。
   • 点开它，你会看到系统生成了两组极其重要的 TXT 验证信息：一组叫“证书验证”，另一组叫“主机名验证”。把这两个页面先开着，接下来要用。

第三阶段：去 DNSPod 对暗号（验证 a.com 的所有权）
这一步是为了向 Cloudflare 证明 XXX.a.com 是你的域名。

1. 登录你的 DNSPod（或阿里云等），进入 a.com 的解析设置。
2. 添加第一条 TXT（证书验证）：
   • 主机记录：复制 CF 给的 TXT 名称前缀（通常是 _acme-challenge.XXX）。
   • 记录类型：TXT
   • 记录值：复制 CF 给的那串乱码。
3. 添加第二条 TXT（主机名验证）：
   • 主机记录：复制 CF 给的 TXT 名称前缀（通常是 _cf-custom-hostname.XXX）。
   • 记录类型：TXT
   • 记录值：复制 CF 给的那串 UUID（类似 xxx-xxx-xxx）。
4. 等待生效：
   • 保存后，回到 Cloudflare 喝口水，等 3~10 分钟，不断刷新页面。
   • 直到 XXX.a.com 的证书状态和主机名状态双双变成绿色的“有效 (Active)”，进入下一步。

第四阶段：在 Cloudflare 给流量指路（绑定 Worker）
现在通行证有了，我们要告诉 CF，拥有通行证的人进来后，该去找哪个代码（Worker）干活。

1. 在 Cloudflare 里，依然在 b.com 的管理面板中。
2. 点击左侧菜单的 Worker 路由 (Worker Routes)。
3. 点击 添加路由：
   • 路由：严格填写 XXX.a.com/* （必须带有 /*，表示接管该域名下的所有图片）。
   • Worker：在下拉框中选择你部署好的图床 Worker 项目（例如 myimage）。
   • 环境：默认 production。
   • 点击保存。

第五阶段：终极提速，境内外分流（在 DNSPod 起飞）
这是最核心的“白嫖”步骤：让国内用户走大厂专线，国外用户和 CF 审查系统走官方通道。

回到 DNSPod 中 a.com 的解析页面，我们需要给 XXX 添加两条智能分流的 CNAME 记录（之前验证用的 TXT 可以留着不用管）：

1. 🚄 给国内用户修的高铁（大厂直连提速）：
   • 主机记录：XXX
   • 记录类型：CNAME
   • 线路类型：默认
   • 记录值：填入优选的大厂 CNAME（例如 time.is 或 icook.hk）。
   • (原理：国内用户解析时会拿到极速节点的 IP，直接跳过拥挤的 CF 免费节点直连你的 Worker。)
2. 🛡️ 给国外用户和 CF 审查员留的后门（保命防封）：
   • 主机记录：XXX
   • 记录类型：CNAME
   • 线路类型：境外
   • 记录值：填入你第一阶段建的回退源地址：origin.b.com
   • (原理：CF 的全球节点会 24 小时检查你的域名有没有指回 CF。这条记录能让国外的 CF 审查机永远看到你乖乖连着 origin.b.com，保证你的自定义主机名永远 Active，证书自动续期。)

🎉 验收成果！
完成以上五步后，在浏览器输入 https://XXX.a.com。

• 它会瞬间打开。
• 按下 F12 或用测速工具查看，你会发现它的解析 IP 全是极其优质的大厂节点，延迟极低。
• 但它依然受到 Cloudflare 的 SSL 证书保护，且背后的 Worker 正常响应。

这就叫完美的“偷天换日”！这就是 Serverless 无服务器架构下最顶级的提速玩法。