本文于 2022-07-22 03:11 更新,部分内容具有时效性,如有失效,请留言

准备条件

  • 2个域名:一个主域(现网站域名),一个备用域
  • 华为云账户:推荐使用国际版,(阿里或者腾讯也可)
  • 信用卡:易贝卡就行(车已开走,能扣1刀的虚拟卡也可)
  • CloudFront:AWS具有Cloudfront资格的账户(不具备资格可单接入CloudFlare,实现国内直连源站,国外走Cloudflare,具备资格那么就是国内走aws,国外走Cloudflare)
  • 此教程默认你使用已经拥有一个正常运行的网站了,记得把现在的域名DNS转到华为,网站的解析啥的原来是啥就是啥,主域不能放在Cloudflare

此文演示域名说明

步骤有点多,演示域说明
test.moeloc.com:主域,真正网站的域名,我这里是test,你的应该是www+@两条,所以下文的删除添加我只需要一次。你得两次

域名分配说明

主域要放在阿里或华为,不能放在CloudFlare,备用域名一定要放在CloudFlare,备用域名推荐使用EU.ORG永久免费,因为备用域名不会公开展示随便一点无所谓

CloudFlare配置

1,备用域名添加一个a解析,云朵打开,SSL/TLS 加密模式设置为完全。

test可随意填,ip地址填你网站ip,演示的备用域名是wenjian.eu.org,a解析后就是:test.wenjian.eu.org
2,点击启用Cloudflare for SaaS(如下图)


3,转到验证信用卡(如下图),根据提示验证就行,易贝卡可过。SaaS可免费接入100个域名,我已为大家验证,真不扣费

4,验证成功后转到自定义主机名,输入刚刚的a解析,点击添加回退源,再点旁边的刷新就会显示有效

5,点击上面的添加自定义主机名(如下图),添加主域(也就是你目前网站的域名),一般咱们网站是www+@两条解析,你需要添加两次自定义主机名,这里不能使用通配符

6,目前主域还是显示待定,因为还没有验证主域,有2条txt验证信息,去主域验证,这里以华为云解析为例(分别添加这2条,需要注意的是华为云解析添加主机记录时把.moeloc.com去掉,因为后面系统自带了,还有txt的值要添加双引号)

华为云解析txt图省略…
7,添加完成后稍等片刻后刷新自定义主机名页面test.moeloc.com旁边就会显示2个有效(图省略…)

至此,CLloudflare部分配置完成

AWS CloudFront配置

为现在的网站再添加一个a解析

1,给现在的网站用主域再添加一个a解析(如下图)


aws-cdn可随意填
2,网站添加这个解析(如下图),如果你网站是通配符证书,那么直接添加就是了。如果不是通配符你可能还需要重新申请一下ssl。确保aws-cdn.moeloc.com能https访问网站

在AWS上为主域申请证书

1,打开AWS Certificate Manager,注意右上角一定要选择弗吉尼亚北部(切记切记),然后点击请求证书


2,转到添加域名页面(如下图),添加主域moeloc.com和*.moeloc.com(这里是演示,你得添加自己的主域),然后点击下面的请求


3,目前的状态是等待验证,点进去,给了2条CNMAE记录(如下图),去华为云解析验证。特别注意aws给的2条CNAME验证记录。只需要验证moeloc.com一条,通配符*.moeloc.com不要需要验证,切记切记

返回证书列表,稍等刷新后片刻后,证书就会显示已颁发(如图)

正式分配CloudFront

此章节也将测试你是否具有CloudFront资格

1,打开CloudFront,点击右上角创建分配

2,转到创建分配页面,特别注意我未列出的选项就是默认不动它

  • 源域:添加刚刚解析的aws-cdn.moeloc.com这个域名
  • 协议:匹配查看器
  • 允许的方法:选择第3个(GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE)
  • 备用域名(CNAME) – 可选:它这是标注可选,并非这样。这里需要填主域也就是你真正网站的域名,一般是www+@两条,我这里演示主域使用的test.moeloc.com
  • 自定义 SSL 证书 – 可选:选择证书,刚刚aws分配的证书
  • 最后点击右下角创建分配。
    注意:如果有报错信息,你翻译那条错误信息大概意思就是你没有CloudFront资格需要工单申请。也就是说你无缘CloudFront。aws新号风控很严重,发工单试试看能不能给资格

3,跳转到CloudFront分配详细页面

常规→分配域名:d1ctd9hts1e3aa.cloudfront.net,保存这个域名备用

行为,编辑这个默认的

1,找到:缓存键和源请求,选择第2个Legacy cache settings,

2,标题:全部。

3,查询字符串:全部

4,Cookie:全部。

最后点击右下角保存更改
至此AWS CloudFront部分配置完成

主域正式设置CNAME解析

具备aws cloudfront资格看这段配置

1,删除你真正网站的A解析记录(演示这里是test.moeloc.com,你的应该是www+@两条)
2,添加CNAME到Cloudflare记录,线路设置为全球。
主机记录:是你真正网站域名。我这里演示是:test.moeloc.com(你的应该是www+@两条)
值:是cloudflare的备用域名的A解析。也就是:test.wenjian.eu.org
ttttttt

3,添加CNAME到aws Cloudfront的记录,线路设置为中国。
主机记录:是你真正的网站域名。我这里演示是:test.moeloc.com(你的是www+@两条)
值:是aws cloudfront常规里面的那个域,刚刚让你保存备用的(我这里演示是d1ctd9hts1e3aa.cloudfront.net)


至此全部工作完成,稍等片刻你的网站就会国内走aws,国外走cloudflare了。华为dns反应比较慢。刚开始分线路不是很准,过段时间就准了

没有aws cloudfront资格看这段

1,添加CNAME到cloudflare,线路设置为全球
2,添加A记录到服务器ip,线路设置为中国,就不上图了,上面可以参考

安全加固

由于涉及到AWS CloudFront,它的免费是有额度的,如果不做安全防护,什么鸟都可以攻击你网站的话,AWS免费额度可能会超出

AWS CloudFront免费额度说明(每月)

  • 1T出站流量
  • 10000000次http+https请求,访客访问一次网站算一次,正常情况咱们网站一个月不可能被请求一千万次,但是妖魔鬼怪可以,这里就体现出了国外走CloudFlare的重要性,妖魔鬼怪基本都是国外服务器,但这还不够还需要加固

写了太久了明天再写,未完待续……