域名的分流和管理

 域名的分流功能和管理

分流

经常连外网（公网）的朋友会遇到一打开手机的的代理功能，访问国内网站会变慢或卡死。这是因为代理走的是外网落地ip来发送访问请求。早期解决的这个问题的办法是在软件内排除或选择哪些软件要不要走vpn路线，当然要都不排除，就是全局代理了。但还不是真全局，银行软件检测到会自动关闭。真全局要外接可上外网的网络才能实现。最近几年的分流功能出现就是为了在开vpn功能时不至于影响到国内网站而开发的。比如karing自带分流功能。

还有一种更高级的分流功能，但仅限于warp。需要在  Cloudflare网站的Zero Trust选项中修改配置。前题是会使用零信任这个功能。在流量策略中加上要排除的网站域名就可以。要排除中国大陆地区全区的方法是用整体域名。

cn作为国家代码顶级域名，（ccTLD），理论上可以代表许多中国网站。但需要更多验证。“.cn”代表中国，是中国在互联网上的国家标识。那么在.cn前面加上一个*号就可以了*.cn。

管理

Cloudflare 当前策略已限制普通用户（免费/PRO账号）将二级域名作为独立区域Zone 托管，强制要求绑定根域名（如 example.com），主要原因是防止滥用资源并简化管理。

实际上大多数主流解析站都不能挂上二级域名（子域名）。

历史支持2021–2022年。

当前限制2024–2026年。系统UI 直接拦截二级域名添加，提示需提供根域名。二级域名仅对企业合同或白名单账号开放。

cf是大站，这就给许多程序员一个错觉，觉得cf可以挂二级域名。

实际上注册的二级域名：某些平台如 DigitalPlat、dnshe.com提供的“二级域名”都是在cf的白名单中，这里不展开来说，用户仅需修改 DNS 服务器地址为 Cloudflare 提供的 NS 记录就可绑定。

自有的一级域名下的二级域名，就算通过了vps8的子域名功能分发，也是不大可能托管至 Cloudflare的，因为cf这边没有放权。放权后才能在cf得到 DNS 的记录值，并设置子域名解析记录。

有的服务区注册时，需要绑一个域名。域名是钥匙，服务器是锁，解析站是开锁的人。三才俱足才能打开网络的大门。

平台提供的免费二级域名就可以，有根域名当然更好。比如试用越南服务器大桃林

my.dataonline注册成功后把公网ip填到cf托管的对应域名A记录值选项。名称填@。

商用服务器的配置不能太低，不要只图便宜，一些虚拟机256MB内存WordPress都跑不起来。更可怕的是共用ipv4，一旦有人搞灰产会连带同一个服务器IP被标记为垃圾邮件源，会导致企业邮箱被全球封禁。低价服务器往往存在资源超售陷阱：一台物理机被分割成数百个虚拟空间，CPU占用率常年90%以上，SSH连接经常卡死。宣传的"香港机房"实为绕道东南亚的BGP线路，延迟高达300ms，丢包率超15%。数据安全黑洞：没有SSL证书，没有DDoS防护，有真实案例一周损失几十万元，数据库曾被勒索病毒加密，服务商却以"用户自行管理”为由推脱。

这些低价服务器甚至不如甲骨文，甲骨文是出了名的杀机专业户，有免费但不稳定，但免费项目都比这些好得多。

我注册的免费的都有1个g内存，20g月流量。

一个好的域名指标是没有滥用，所以二级域名注册站要承担风险，希望大家不要绐老实人添麻烦。由于滥用。现在托管在  Cloudflare的cc.cd、us.ci这两域名国内能访问 ，但江苏不能。

大多数免费域名平台都只能用「A记录」指向IP，像CNAME、MX、NS这些高级记录类型基本都不支持（当然能托管到Cloudflare的除外）。比如 IDC.LC、9v4.net、Loc.cc 这些服务，大家用过就知道，功能很有限。不同于那些免费域名平台，VPS8 解决了免费域名平台解析弱的痛点，VPS8 允许你直接配置 “根域名 CNAME” ，这对想要绑定 Vercel、GitHub Pages 或者 Cloudflare Pages 的小伙伴来说简直是刚需！

举例：先在cf新建一个pages项目，然

后添加自定义域名，这里以在vps8注册的子域名演示：接下来在cf选择“我的DNS提供商”，意思是你继续用vps8的注册的而不是托管在cf的域名。接下来会显示一个设置CNAME记录，把你的域名指向Cloudflare，复制下来切换到注册站开始配置。最快几分钟就生效。

这种方式在Cloudflare绑定域名，可以为一个项目绑定上不能托管在cf的二级域名名下三级域名。为自由使用域名开辟了新的道路。也可以减少项目因为单一域名的断网问题。这里没有需要托管才能完成的项目，嫌续期麻烦的小伙伴就可以用上infinityfree和cloudns这些站点的永久二级域名。

域名的专业术语：

1. NS、SOA记录一般由域名注册商或DNS服务商默认创建，不需要用户手动修改，错误修改会导致整个域名解析失效。

2. MX记录必须配置优先级，数值越小优先级越高，邮件系统会优先选择优先级高的服务器发送邮件。

3. CNAME记录不能配置在根域名（主域名），且要避免循环指向（A指向B，B又指向A），否则会导致解析失败。

4. SPF、DKIM、DMARC都不是独立的DNS记录类型，实际配置时都存储在TXT记录记录类型 核心作用 典型适用场景  

A 将域名映射到IPv4地址，是最基础的解析记录 网站服务器解析、子域名绑定固定IPv4地址  

AAAA 将域名映射到IPv6地址，功能与A记录一致，仅地址类型不同 支持IPv6网络的服务器解析，适配IPv6普及后的访问需求  

CNAME 为域名设置别名，将当前域名指向另一个域名 CDN加速域名配置、多域名指向同一服务器、简化IP变更时的配置操作  

MX 指定域名对应的邮件服务器地址，支持配置优先级（数值越小优先级越高） 搭建企业邮箱，实现域名收发邮件  

TXT 存储任意自定义文本信息 域名所有权验证、SPF/DKIM/DMARC邮件防伪造配置、SSL证书验证  

NS 指定域名的权威DNS服务器，声明该域名的解析由哪台服务器负责 子域名解析托管、使用第三方DNS服务管理域名解析  

SOA 存储域名解析区域的元数据，包含主DNS服务器信息、刷新间隔等参数 系统默认创建，无需手动配置，标识域名解析区域的起始授权信息  

PTR 反向解析记录，将IP地址映射回对应域名 邮件服务器反垃圾验证、内网IP查询对应服务器域名  

SRV 定位特定服务的服务器，记录服务的地址、端口与优先级 企业即时通讯、VoIP服务、微软目录服务的服务发现  

CAA 指定允许为该域名签发SSL证书的CA机构 增强HTTPS安全性，防止证书被恶意错误签发  

SPF 声明允许通过该域名发送邮件的服务器列表（本质为TXT记录的应用） 反邮件伪造与垃圾邮件，提升邮件送达率  

DKIM 存储DKIM公钥，用于验证邮件签名合法性（本质为TXT记录的应用） 配合SPF强化邮件安全，降低邮件被标记为垃圾邮件的概率  

DMARC 定义SPF/DKIM验证失败后的邮件处理策略（本质为TXT记录的应用） 规范邮件发送行为，进一步提升邮件送达安全性  

SSHFP 存储SSH服务器的公钥指纹 让客户端自动验证SSH服务器身份，降低中间人攻击风险  

TLSA 为特定端口/协议的服务关联TLS证书 增强TLS服务的身份验证安全性  

URI 将域名映射到统一资源标识符（URI） 让DNS参与URI解析，链接各类服务资源  

URL转发 将当前域名访问跳转至指定URL，分为显性（地址栏显示目标地址）和隐性（地址栏保留原地址） 品牌链接简化、域名迁移跳转、隐藏真实服务地址