Cloudflare DNS 速查表与本地记录检查器

让支持代理的 Web 记录经过 Cloudflare 边缘,访客看到的是 Cloudflare 边缘地址而不是源站。

当 A、AAAA、CNAME 承载 HTTP/HTTPS 流量,并需要 CDN、WAF、缓存、Workers、跳转或 DDoS 防护时使用。邮件和任意 TCP 服务发现记录不要开橙云。

A  www  203.0.113.10  Proxied  Auto

直接发布 DNS 答案,不让流量经过 Cloudflare 代理层。

MX、TXT、CAA、SRV、NS、SOA 和大多数验证记录都应保持 DNS-only。排查源站连通性或协议问题时,也可以临时把 Web 记录切回 DNS-only。

MX  @  10 mail.example.com  DNS-only  300

让 Cloudflare 管理缓存时间,尤其适合公开答案是边缘地址的代理记录。

代理记录日常通常用 Auto TTL。DNS-only 迁移前应显式设置短 TTL,让递归解析器尽快停止缓存旧目标。

CNAME  www  example.pages.dev  Proxied  Auto

Cloudflare 可以在根域接受类似 CNAME 的目标,再对外返回地址记录。

这是服务商能力,不是所有 zone 文件都通用的语法。它适合把 example.com 指向 SaaS 目标,但导入导出时仍要复核,别的 DNS 服务商可能拒绝同样的写法。

CNAME  @  my-site.hosting.example  Proxied  Auto

把主机名指向 IPv4 或 IPv6 地址,也是最常见的 Cloudflare 代理候选。

A 用于 IPv4,AAAA 用于 IPv6。开代理后普通 DNS 答案会隐藏源站地址;DNS-only 时地址会直接公开。

A  api  203.0.113.20  Proxied  Auto

把子域别名到另一个主机名,常用于 SaaS、Pages、负载均衡器和 CDN。

挂了 CNAME 的名字通常不能再同名挂 TXT、MX、A 或 AAAA。验证 TXT 要放到厂商指定的精确名字,或者换一个子域。

CNAME  docs  cname.vercel-dns.com  Proxied  Auto

*.example.com 这类记录会兜住未显式定义的一层子域。

通配符不会覆盖精确记录。和代理一起用时要谨慎,过宽的通配符可能把预览应用或未知主机名误导到错误源站。

CNAME  *  fallback.example.net  Proxied  Auto

MX 决定入站邮件投递,目标是邮件交换主机名,不是 Cloudflare 代理的 Web 源站。

MX 不要开橙云。MX 目标应是有地址记录的主机名,并且邮件配置要配套 SPF、DKIM、DMARC 这些 TXT 记录。

MX  @  10 aspmx.l.google.com  DNS-only  3600

SPF 是以 v=spf1 开头的 TXT;同名发布两条策略会让收件方报错。

新增发件源时,把 include 机制并进已有 SPF,不要新建第二条 TXT。服务商越堆越多时还要注意 SPF 10 次 DNS 查询上限。

TXT  @  "v=spf1 include:_spf.google.com include:sendgrid.net ~all"  DNS-only  300

DKIM 把公钥放在 selector 名字下,DMARC 在 _dmarc 发布策略。

两者都保持 DNS-only。DMARC 先用 p=none 收报告,确认所有发件源对齐后再逐步走向 quarantine 或 reject。

TXT  _dmarc  "v=DMARC1; p=none; rua=mailto:dmarc@example.com"  DNS-only  300

CAA 告诉证书机构哪些 CA 可以为这个域名签发证书。

想收紧证书签发控制时使用 CAA。要包含 Cloudflare Universal SSL 和团队实际使用的外部 CA,否则续签可能失败。

CAA  @  0 issue "letsencrypt.org"  DNS-only  3600

DNSSEC 为 DNS 答案签名;Cloudflare 可以托管签名 zone,但注册商处的 DS 必须匹配。

先等托管切换稳定,再开启并把 DS 记录复制到注册商。DS 不匹配或过期会造成验证失败,表现得像域名消失。

Registrar DS must match the Cloudflare DNSSEC panel

只有注册商把域名指向分配的 Cloudflare NS 后,Cloudflare 才成为权威解析。

不要自己猜 NS 名字,也不要复用别的 zone 的 NS。复制 Cloudflare 分配的精确两个 nameserver,并在全球观察到托管切换前不要动老 DNS 服务商。

Registrar NS: ada.ns.cloudflare.com, max.ns.cloudflare.com

Cloudflare 可以导入常见 zone 文件语法,但服务商特有的伪记录要人工复核。

重点检查根域 alias、flatten CNAME、服务商验证 TXT 和引号很怪的记录。导入后对比记录数量,切 NS 前逐条看邮件相关记录。

www  300  IN  CNAME  example.pages.dev.

迁移前先降低 DNS-only TTL,验证新目标,稳定后再调高。

切换前 300 秒是常见操作值。DNS-only 的 A、AAAA、CNAME 或 MX 如果 TTL 很长,回滚和流量切换都会比预期慢。

A  @  203.0.113.10  DNS-only  300

即使主机名开了代理,源站仍可能从兄弟记录、历史解析、邮件记录或直连主机名泄露。

能隔离就用独立源站,源站防火墙收口到 Cloudflare 出口范围,并避免公开 origin.example.com 这类直连主机名,除非访问已受限。

Do not leave origin.example.com as DNS-only if it points to the same protected host

解析变更看起来不对时,同时比较 Cloudflare 权威答案和公共递归解析器答案。

权威答案表示 Cloudflare 当前在服务什么;递归答案表示用户可能还会从缓存拿到什么。TTL 过期前两者不一致是正常现象。

dig @ada.ns.cloudflare.com www.example.com A +short