DNS 配置
DNS(Domain Name System)是互联网的基础服务,负责将域名解析为 IP 地址。Cloudflare 提供全球最快的 DNS 解析服务,平均响应时间仅 14ms。
DNS 基础知识
什么是 DNS?
DNS 就像互联网的电话簿,将人类易记的域名(如 example.com)转换为机器可识别的 IP 地址(如 192.0.2.1)。
当用户在浏览器输入域名时,DNS 解析过程如下:
用户输入域名 → 本地 DNS 缓存查询 → 递归 DNS 服务器查询
→ 根域名服务器 → 顶级域名服务器 → 权威域名服务器
→ 返回 IP 地址 → 浏览器访问网站
Cloudflare DNS 的优势
速度最快:根据 DNSPerf 测试,Cloudflare DNS 平均响应时间仅 14ms,快于 Google DNS(34ms)和 OpenDNS(20ms)。
隐私保护:Cloudflare 承诺不记录用户 IP 地址,不出售用户数据,不使用数据进行广告投放。
安全可靠:支持 DNS-over-HTTPS (DoH) 和 DNS-over-TLS (DoT),防止 DNS 劫持和污染。
免费无限:免费提供无限次的 DNS 查询,没有查询次数限制。
DNS 记录类型
A 记录
将域名指向一个 IPv4 地址。这是最常用的记录类型。
类型: A
名称: @ (代表根域名)
内容: 192.0.2.1
代理状态: 已代理(橙色云朵)
TTL: 自动
示例:将 example.com 指向服务器 IP 192.0.2.1
AAAA 记录
将域名指向一个 IPv6 地址。随着 IPv6 的普及,这个记录越来越重要。
类型: AAAA
名称: @
内容: 2001:db8::1
代理状态: 已代理
TTL: 自动
CNAME 记录
将域名指向另一个域名。常用于指向第三方服务。
类型: CNAME
名称: blog
内容: your-username.github.io
代理状态: 已代理
TTL: 自动
示例:将 blog.example.com 指向 GitHub Pages
注意:CNAME 记录不能与 A、AAAA、MX 等记录共存于同一名称下。根域名(@)通常不建议使用 CNAME。
MX 记录
邮件交换记录,指定邮件服务器地址。
类型: MX
名称: @
内容: mail.example.com
优先级: 10
代理状态: 仅 DNS(灰色云朵)
TTL: 自动
优先级说明:数字越小优先级越高。如果有多个邮件服务器,可以设置不同的优先级实现备份。
常见邮件服务商 MX 记录:
| 服务商 | MX 地址 | 优先级 |
|---|---|---|
| Google Workspace | aspmx.l.google.com | 1 |
| alt1.aspmx.l.google.com | 5 | |
| alt2.aspmx.l.google.com | 10 | |
| Outlook | outlook-com.olc.protection.outlook.com | 10 |
| 腾讯企业邮 | mx.qcloudmail.com | 10 |
| 阿里企业邮 | mx.qiye.aliyun.com | 10 |
TXT 记录
文本记录,用于存储任意文本信息。常用于域名验证、SPF 记录、DKIM 记录等。
类型: TXT
名称: @
内容: v=spf1 include:_spf.google.com ~all
代理状态: 仅 DNS
TTL: 自动
常见用途:
SPF 记录:防止邮件被伪造
v=spf1 include:_spf.google.com ~all
域名验证:Google Search Console、百度站长等验证
google-site-verification=XXXXXXXXXXXX
DKIM 记录:邮件签名验证(通常放在子域名)
k=rsa; p=MIGfMA0GCSqGSIb3...
NS 记录
域名服务器记录,指定域名的权威 DNS 服务器。
类型: NS
名称: @
内容: bob.ns.cloudflare.com
代理状态: 仅 DNS
TTL: 自动
注意:NS 记录通常由 Cloudflare 自动管理,一般不需要手动修改。
SRV 记录
服务记录,定义特定服务的服务器位置。常用于 VoIP、即时通讯等。
类型: SRV
名称: _sip._tcp
内容: sipserver.example.com
优先级: 10
权重: 60
端口: 5060
代理状态: 仅 DNS
TTL: 自动
代理状态详解
每条 DNS 记录都有一个云朵图标,代表代理状态:
橙色云朵(已代理)
流量经过 Cloudflare 网络,享受以下功能:
- CDN 加速和缓存
- DDoS 防护
- WAF 防火墙
- SSL/TLS 加密
- 性能优化(压缩、HTTP/3 等)
适用场景:网站、API、静态资源等需要加速和保护的服务。
灰色云朵(仅 DNS)
仅提供 DNS 解析,流量不经过 Cloudflare。
适用场景:
- 邮件服务器(MX 记录)
- 需要真实 IP 的服务
- 不需要 CDN 加速的服务
- 无法使用代理的记录类型(如 TXT、NS)
添加和管理 DNS 记录
添加记录
- 登录 Cloudflare 控制台
- 选择你的域名
- 点击左侧菜单 "DNS" → "Records"
- 点击 "Add Record" 按钮
- 填写记录类型、名称、内容等信息
- 点击 "Save" 保存
编辑记录
点击记录右侧的 "Edit" 按钮,修改后保存即可。
删除记录
点击记录右侧的 "Delete" 按钮,确认后删除。
批量操作
Cloudflare 支持批量导入/导出 DNS 记录,方便迁移:
- 点击 "Import and Export"
- 选择导入 BIND 格式文件或导出当前记录
TTL 设置
TTL(Time To Live)指定 DNS 记录在 DNS 服务器上的缓存时间。
Cloudflare 的 TTL 选项:
| 选项 | 时间 | 适用场景 |
|---|---|---|
| 自动 | 根据记录类型自动设置 | 推荐,适合大多数情况 |
| 2 分钟 | 120 秒 | 需要快速更新 |
| 5 分钟 | 300 秒 | 测试环境 |
| 1 小时 | 3600 秒 | 一般使用 |
| 1 天 | 86400 秒 | 稳定的记录 |
建议:
- 代理状态开启时,TTL 由 Cloudflare 自动管理
- 需要频繁修改的记录,设置较短的 TTL
- 稳定的记录(如 MX、TXT),可以设置较长的 TTL
代理模式下的 IP 地址
当 DNS 记录开启代理(橙色云朵)时,Cloudflare 会隐藏源服务器的真实 IP,返回 Cloudflare 的 IP 地址。
这是安全特性,可以防止攻击者直接攻击源服务器。
查看真实 IP:在 Cloudflare 控制台的 DNS 页面,你可以看到记录的真实 IP(显示在 IPv4 address 或 IPv6 address 字段)。
DNSSEC 配置
DNSSEC(DNS Security Extensions)为 DNS 添加数字签名,防止 DNS 欺骗和劫持。
启用 DNSSEC
- 进入 "DNS" → "Settings"
- 找到 "DNSSEC" 部分
- 点击 "Enable DNSSEC"
- Cloudflare 会生成 DS 记录
- 将 DS 记录添加到你的域名注册商
DS 记录示例:
类型: DS
名称: @
内容: 2371 13 2 3B5...
在注册商配置 DS 记录
登录域名注册商,找到 DNSSEC 设置,添加 Cloudflare 提供的 DS 记录。
不同注册商的配置方法略有不同,请参考注册商的文档。
常见问题
为什么修改 DNS 记录后没有生效?
DNS 有缓存机制,需要等待 TTL 时间后才能生效。可以使用以下命令清除本地缓存:
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache
# Linux
sudo systemd-resolve --flush-caches
为什么邮件无法收发?
检查 MX 记录配置:
- MX 记录必须指向一个 A 记录或 AAAA 记录
- MX 记录不能开启代理(必须是灰色云朵)
- 确保邮件服务器正常运行
如何配置子域名?
添加记录时,在 "Name" 字段输入子域名即可。例如:
- 输入
www创建www.example.com - 输入
blog创建blog.example.com - 输入
*创建通配符记录,匹配所有未定义的子域名
如何实现域名跳转?
DNS 本身不支持跳转,需要配合 Cloudflare 的 Page Rules 功能:
- 创建 Page Rule
- 设置 URL 匹配模式
- 选择 "Forwarding URL" 操作
- 设置目标 URL 和跳转类型(301 或 302)
参考链接
下一步
完成 DNS 配置后,接下来学习 CDN 加速,了解如何利用 Cloudflare 加速网站访问。