Cloudflare Guard

🛡️ Vercel优化的Cloudflare安全运维专家

通过Cloudflare API v4管理DNS、SSL/TLS、缓存规则、速率限制及Workers,专为Vercel部署优化,内置强制规划协议防止配置错误导致服务中断。

收藏
8.7k
安装
1.7k
版本
0.1.2
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能与用法

Cloudflare Guard是一套面向Vercel部署场景的Cloudflare基础设施管理技能,通过curl调用Cloudflare API v4完成DNS、安全、缓存和边缘逻辑配置。

核心能力覆盖

  • DNS管理:CNAME/A记录增删改查,支持Vercel标准指向(cname.vercel-dns.com / 76.76.21.21)
  • SSL/TLS配置:强制Full (Strict)模式与Always Use HTTPS,确保端到端加密
  • 缓存策略:浏览器缓存TTL设置、全站/指定URL缓存清除、针对_next/static的激进缓存规则
  • 安全防护:API路由速率限制(100req/60s)、Bot Fight Mode启用
  • Workers边缘逻辑:支持边缘计算规则部署

强制规划协议(核心安全机制)

该技能最大特点是不可跳过的六步规划协议
1. 理解请求需求

2. 查询当前状态(拒绝假设)

3. 构建执行计划并预演

4. 识别风险点(DNS变更导致停机、SSL错误中断HTTPS、WAF误拦截)

5. 串行执行+逐条验证

6. 变更总结与传播时间告知

显著优点

  • 生产级安全设计:强制状态检查+风险标记机制,大幅降低配置事故概率
  • Vercel场景深度优化:内置标准7步初始化流程,覆盖从DNS到边缘缓存的完整链路
  • 跨平台兼容:提供Windows无jq环境下的Python/PowerShell降级方案
  • 故障排查指南:522错误、混合内容、缓存失效等常见问题的明确诊断路径

局限性与注意事项

  • API Token管理依赖用户:技能要求$CLOUDFLARE_API_TOKEN环境变量,虽明确禁止文件存储但未提供Token轮换机制
  • 速率限制规则复杂度:Rulesets API的ratelimit配置需手动编写Wireshark风格的表达式语法
  • Page Rules已标记Legacy:技能注明Page Rules为遗留功能,但_next/static缓存仍依赖此机制
  • 传播延迟不可控:DNS变更依赖Cloudflare全球节点,技能仅提示告知用户,无主动探测手段

适合人群

  • Vercel+Cloudflare技术栈的DevOps/全栈工程师
  • 需要批量管理多域名CDN配置的中大型项目团队
  • 缺乏Cloudflare API经验但需要标准化安全流程的新手(依赖强制规划协议降低学习成本)

常规风险

  • DNS配置错误可导致全球服务中断:尤其是root域A记录或proxied CNAME的误删除
  • SSL模式降级风险:从Full (Strict)切至Flexible会暴露明文传输,技能虽强制strict但用户手动覆盖可能绕过
  • Rate Limit误伤:API路由的100req/60s阈值对高并发场景可能过严,需按业务调整
  • Token泄露:curl命令可能出现在shell历史或日志中,需配合HISTCONTROL/audit策略

Cloudflare Guard 内容

手动下载zip · 5.0 kB
CHANGELOG.mdtext/markdown
请选择文件