Hapi 进阶优化：Cloudflare 优选 IP 高速穿透

概述

本文介绍如何通过 Cloudflare 优选 IP 路由优化 Tunnel 性能。解决默认 Tunnel 的痛点，包括 Anycast IP 重路由到远端区域、ISP QoS 限速、延迟超过数百毫秒等问题。

效果

显著提升访问速度，延迟从数百毫秒降至几十毫秒。

核心技术架构

流量路径：

用户浏览器 → DNS 解析 → CNAME 链 → 优选 IP 调度器(isp.qzz.io)
→ 最优 Cloudflare 边缘节点 → SaaS 路由 → Tunnel → 本地服务器

三个关键组件协同工作：

优选 IP 调度器 — 根据用户网络条件选择最快的 CDN 节点
Cloudflare for SaaS — 将访问域名与隧道域名解耦
DNS 链式解析 — 引导请求通过最优路径

前提条件

主域名（展示给终端用户）
辅域名（承载 Tunnel 基础设施）
两个域名均需托管在 Cloudflare
两个域名必须不同且为用户所有

配置步骤

第一步：在辅域名上配置 Cloudflare Tunnel

按照 Hapi 基础配置中的 Cloudflare Tunnel 步骤完成设置。

第二步：启用 Cloudflare for SaaS

在辅域名的 Cloudflare 控制台中：

进入 SSL/TLS → Custom Hostnames
启用 Cloudflare for SaaS
添加自定义主机名（使用主域名）

第三步：DNS 配置

在主域名的 DNS 设置中：

添加 SSL 验证所需的 CNAME 记录
添加指向辅域名的 CNAME 记录

第四步：配置回退源

在辅域名上配置 Fallback Origin，指向 Tunnel 服务。

第五步：等待 SSL 证书激活

通常需要几分钟到几小时。

重要警告

关键设置

必须禁用代理状态（设置为"仅 DNS"）！启用代理会中断 DNS 解析链，导致优选 IP 无法生效。

故障排查

SSL 证书状态为 Pending

检查 DNS 验证记录是否正确
等待传播时间（最长 24 小时）
确认域名所有权已验证

526 错误

确认源服务器 SSL 配置正确
检查 Tunnel 运行状态
验证 Cloudflare SSL 模式设置

访问仍然很慢

确认代理状态已设为"仅 DNS"
检查 CNAME 链是否完整
使用 dig 或 nslookup 验证 DNS 解析路径
确认优选 IP 调度器工作正常

Hapi 进阶优化：Cloudflare 优选 IP 高速穿透 ​

概述 ​

核心技术架构 ​

前提条件 ​

配置步骤 ​

第一步：在辅域名上配置 Cloudflare Tunnel ​

第二步：启用 Cloudflare for SaaS ​

第三步：DNS 配置 ​

第四步：配置回退源 ​

第五步：等待 SSL 证书激活 ​

重要警告 ​

故障排查 ​

SSL 证书状态为 Pending ​

526 错误 ​

访问仍然很慢 ​