從2021年11月開(kāi)始，CloudFlare禁用了Partner使用的zone_setAPI以避免濫用（因?yàn)樵揂PI接入不需要驗(yàn)證域名所有權(quán)），通過(guò)Partner實(shí)現(xiàn)CNAME接入的方式近乎落幕，僅剩Plesk空間存量的ServerShield by Cloudflare插件訂閱能夠正常接入。幾個(gè)月過(guò)去了，官方也并沒(méi)有對(duì)未來(lái)合作伙伴如何進(jìn)行接入新域名給出任何解釋。

錯(cuò)過(guò)了Partner的時(shí)代，官方的CloudFlare for SaaS也提供了一種更靈活的CNAME接入方式，一起來(lái)看看吧。

一、功能簡(jiǎn)介

CloudFlare for SaaS不是個(gè)新功能，這里單獨(dú)拿出來(lái)講，主要是幾天前CF調(diào)整了一波免費(fèi)額度。過(guò)去是每個(gè)域名收取2USD/月的費(fèi)用，現(xiàn)在不僅提供100個(gè)域名免費(fèi)額度，而且超額后每個(gè)域名僅按0.1USD/月收取費(fèi)用，非常良心。

官方公告：https://blog.cloudflare.com/waf-for-saas/

CloudFlare中一個(gè)完全接入的域名即為一個(gè)zone，點(diǎn)進(jìn)去包括套餐、安全等等都是針對(duì)這一主域名配置的。官方SaaS功能針對(duì)的是你服務(wù)的客戶，開(kāi)放這項(xiàng)功能允許使用他們自己的域名直接附加在你的zone里，享受你zone包含的安全、加速等功能。

說(shuō)起來(lái)可能不是很直白，這里舉幾個(gè)應(yīng)用場(chǎng)景的例子：

★應(yīng)用場(chǎng)景1：a.com通過(guò)NS接入了CF，b.com未接入CF；可以通過(guò)SaaS功能實(shí)現(xiàn)1.b.com/2.b.com等直接附加在a.com上，通過(guò)CNAME指向CF的節(jié)點(diǎn)。

★應(yīng)用場(chǎng)景2：a.com通過(guò)Plesk接入了CF，具有免費(fèi)的Plesk Plus版本，b.com未接入CF或使用的免費(fèi)版；可以通過(guò)SaaS功能實(shí)現(xiàn)1.b.com/2.b.com等直接附加在a.com上，享受a.com域名下的ECC+RSA雙證書(shū)、頁(yè)面規(guī)則、高級(jí)防火墻權(quán)益。

簡(jiǎn)而言之，可以通過(guò)這項(xiàng)功能，實(shí)現(xiàn)其他域名的CNAME接入以及對(duì)zone權(quán)益的共享，有興趣的話，接著往下看吧~

二、配置接入

訂閱CloudFlare for SaaS

打開(kāi)一個(gè)域名，選擇【SSL/TLS】下的【自定義主機(jī)名】，點(diǎn)擊【啟用CloudFlare for SaaS】后根據(jù)指示綁定外幣卡或者PayPal，訂閱CloudFlare for SaaS功能。

CloudFlare for SaaS訂閱本身是針對(duì)整個(gè)計(jì)費(fèi)賬戶的，所以通過(guò)Partner接入的域名出現(xiàn)【請(qǐng)聯(lián)系客戶成功經(jīng)理以啟用適用于SaaS的SSL】時(shí)，只需要選擇個(gè)通過(guò)官方NS激活的域名啟用訂閱后即可使用。這里猜測(cè)可能是Partner接入的商務(wù)權(quán)限交給了合作伙伴，方便下放優(yōu)惠和服務(wù)那些，我們繞過(guò)去就行了。

激活頁(yè)面中文翻譯比較滯后，從英文的可以看到免費(fèi)額度已經(jīng)進(jìn)行更新，可以放心使用。

設(shè)置源站

選擇一個(gè)承載的域名zone點(diǎn)進(jìn)去，依然是【SSL/TLS】下的【自定義主機(jī)名】，首先要設(shè)置附加上域名的源站。在這之前要在承載的域名zone中設(shè)置一個(gè)子域名作為源站的來(lái)源，比如origin.a.com，在Partner或者官方DNS設(shè)置好它的源站（注意是是在CF里添加，和正常添加網(wǎng)站的流程一樣）。

SaaS這里的源站叫回退源（Fallback Origin），輸入剛才設(shè)置的子域名并點(diǎn)擊【Add Fallback Origin】，它會(huì)同步這個(gè)子域名設(shè)置的源站作為后續(xù)在此接入域名的源站。有些人就會(huì)問(wèn)了，這樣設(shè)置那不是后續(xù)SaaS添加的所有其他域名就只能用同一個(gè)源站了？答案確實(shí)是這樣，為每個(gè)SaaS域名自定義源站需要Enterprise以上套餐，有多域名需求多開(kāi)幾個(gè)zone吧（苦笑）。

添加自定義主機(jī)名

后續(xù)的工作就很簡(jiǎn)單了，點(diǎn)擊【添加自定義主機(jī)名】，輸入你要添加的未在CF接入的子域名。建議直接選擇TXT驗(yàn)證，因?yàn)槌俗C書(shū)還有另一條TXT記錄要添加，一起加上去比較方便。

驗(yàn)證域名所有權(quán)

添加完成后，按要求解析證書(shū)和主機(jī)名兩個(gè)TXT記錄，解析生效后10分鐘左右即可驗(yàn)證通過(guò)，到此這個(gè)SaaS域名就正確的添加到了你的zone中并接入了CF。

特別提醒，如圖這里CF給出的驗(yàn)證TXT名稱(chēng)是應(yīng)完整域名的解析記錄，所以在自己的第三方DNS配置的時(shí)候，填入的主機(jī)名應(yīng)當(dāng)是example和_cf-custom-hostname.example，如果直接復(fù)制框內(nèi)的內(nèi)容把根域名b.com填進(jìn)了主機(jī)名全域就變成了example.b.com.b.com了，是錯(cuò)誤的。配置完成之后你可以通過(guò)直接復(fù)制的域名來(lái)檢查T(mén)XT記錄是否匹配，推薦MySSL的工具（點(diǎn)擊前往）。

經(jīng)過(guò)測(cè)試，不論以何種方式驗(yàn)證并簽發(fā)證書(shū)，只要保持SSL正確指向CloudFlare，系統(tǒng)就能夠在到期前一個(gè)月自動(dòng)為你續(xù)期證書(shū)，無(wú)需進(jìn)行手動(dòng)的操作。相應(yīng)的，SaaS頁(yè)面Certificate validation method也會(huì)變成HTTP Validation。

SaaS域名解析

添加進(jìn)去的SaaS域名，CF并不會(huì)給你提供明確的CNAME供指向。如果是官方接入的可以直接CNAME到你剛剛設(shè)置的源站域名比如origin.a.com，通過(guò)Partner接入的直接解析到源域名對(duì)應(yīng)的CNAME比如origin.a.com.cdn.cloudflare.net即可。其他的配置比如分線路解析、自選IP就可以按照自己的喜好去設(shè)置了，在此不過(guò)多贅述。

此外，對(duì)于防火墻規(guī)則、頁(yè)面規(guī)則，直接將添加進(jìn)的域名輸入其中即可圈定范圍，完成對(duì)于其細(xì)則的設(shè)置。

三、結(jié)語(yǔ)

CloudFlare for SaaS是官方提供的一項(xiàng)非常方便的免費(fèi)功能，彌補(bǔ)了早期未通過(guò)Partner接入只能強(qiáng)制NS接入的缺憾。有官方保障、靈活CNAME、免費(fèi)的優(yōu)點(diǎn)，也有源站不靈活等缺點(diǎn)，肯定還是不如已經(jīng)通過(guò)Partner/Plesk接入的域名靈活。

最后要感謝CF提供這樣的免費(fèi)功能，希望未來(lái)能夠下放自定義源站的功能（想桃子），也歡迎大家在評(píng)論區(qū)分享你們對(duì)這項(xiàng)功能的其他應(yīng)用方式，一起學(xué)習(xí)交流吧~

最新評(píng)論