网站、接口、文档站或前端入口通常走代理,让 CDN、HTTPS、WAF、DDoS 生效。邮件、验证、SSH、数据库或非 HTTP 服务通常不代理。
迁移旧 DNS 前先确认是否启用 DNSSEC;如果开过,要先处理旧 DS 记录,再改域名服务器。Cloudflare 自动扫描到的记录只能辅助,邮件、验证、接口、后台和第三方服务仍要手动核对。多环境、多租户要提前算记录数量;记录上限看免费额度页。是否保留外部主 DNS 多数是企业场景,普通项目先完整接入 Cloudflare。
| 记录 / 主机名 | 处理方式 | 注意 |
|---|---|---|
根域名、www | 走代理 | 官网、博客、文档站、落地页。 |
app、api | 通常走代理 | 接口再配 WAF、限流、Turnstile 或 Access。 |
| Workers / Pages 自定义域名 | 通常走代理 | 和证书、路由、静态资产配合最省事。 |
| 邮件记录 | 不代理 | 邮件记录不能走 HTTP 代理。 |
| 第三方验证记录 | 通常不代理 | 第三方需要看到原始记录。 |
| SSH、数据库、非 HTTP 服务 | 不代理 | 后台优先用 Tunnel / Access。 |
| 泛域名 | 视场景 | 精确记录优先;平台化后再看客户域名能力。 |
旧 DNS 如果开过 DNSSEC,先处理旧 DS 记录,再切换域名服务器。域名生效后,再验证网站、邮件、证书和第三方服务。