核心功能与用法
Cloudflare Guard是一套面向Vercel部署场景的Cloudflare基础设施管理技能,通过curl调用Cloudflare API v4完成DNS、安全、缓存和边缘逻辑配置。
核心能力覆盖
- DNS管理:CNAME/A记录增删改查,支持Vercel标准指向(cname.vercel-dns.com / 76.76.21.21)
- SSL/TLS配置:强制Full (Strict)模式与Always Use HTTPS,确保端到端加密
- 缓存策略:浏览器缓存TTL设置、全站/指定URL缓存清除、针对_next/static的激进缓存规则
- 安全防护:API路由速率限制(100req/60s)、Bot Fight Mode启用
- Workers边缘逻辑:支持边缘计算规则部署
强制规划协议(核心安全机制)
该技能最大特点是不可跳过的六步规划协议:
1. 理解请求需求
2. 查询当前状态(拒绝假设)
3. 构建执行计划并预演
4. 识别风险点(DNS变更导致停机、SSL错误中断HTTPS、WAF误拦截)
5. 串行执行+逐条验证
6. 变更总结与传播时间告知
显著优点
- 生产级安全设计:强制状态检查+风险标记机制,大幅降低配置事故概率
- Vercel场景深度优化:内置标准7步初始化流程,覆盖从DNS到边缘缓存的完整链路
- 跨平台兼容:提供Windows无jq环境下的Python/PowerShell降级方案
- 故障排查指南:522错误、混合内容、缓存失效等常见问题的明确诊断路径
局限性与注意事项
- API Token管理依赖用户:技能要求$CLOUDFLARE_API_TOKEN环境变量,虽明确禁止文件存储但未提供Token轮换机制
- 速率限制规则复杂度:Rulesets API的ratelimit配置需手动编写Wireshark风格的表达式语法
- Page Rules已标记Legacy:技能注明Page Rules为遗留功能,但_next/static缓存仍依赖此机制
- 传播延迟不可控:DNS变更依赖Cloudflare全球节点,技能仅提示告知用户,无主动探测手段
适合人群
- Vercel+Cloudflare技术栈的DevOps/全栈工程师
- 需要批量管理多域名CDN配置的中大型项目团队
- 缺乏Cloudflare API经验但需要标准化安全流程的新手(依赖强制规划协议降低学习成本)
常规风险
- DNS配置错误可导致全球服务中断:尤其是root域A记录或proxied CNAME的误删除
- SSL模式降级风险:从Full (Strict)切至Flexible会暴露明文传输,技能虽强制strict但用户手动覆盖可能绕过
- Rate Limit误伤:API路由的100req/60s阈值对高并发场景可能过严,需按业务调整
- Token泄露:curl命令可能出现在shell历史或日志中,需配合HISTCONTROL/audit策略