一站式Cloudflare域名与隧道管理

官方Cloudflare API封装工具，支持DNS记录管理、隧道配置与域名自动化运维，适合DevOps与自托管服务场景。

基本信息

• 技能名称?Cloudflare API
• 中文名称?一站式Cloudflare域名与隧道管理
• 作者?lucassynnott
• 分类?专业技能
• 版本?1.0.0
• 标签?cloudflare, dns, tunnel, domain, api, cli, infrastructure, devops, networking

使用方法

使用说明
Cloudflare 技能评估
核心用法
本技能提供Cloudflare API的完整CLI封装，覆盖三大核心场景： 域名管理（Zones） 、 DNS记录操作 、 Cloudflare Tunnel隧道配置 。用户通过API Token认证，可在命令行完成传统需在Dashboard中操作的所有任务。
域名管理 ：一键列出账户下所有域名，支持JSON/表格/静默三种输出格式，便于脚本集成。
DNS管理 ：完整的CRUD操作，支持A/CNAME/MX/TXT等主流记录类型，可启用Cloudflare代理（orange cloud），自动处理TTL与优先级参数。
隧道配置 ：零公网IP暴露内网服务的核心能力。创建隧道→配置ingress规则→自动生成DNS记录→获取运行Token，四步完成内网穿透。
显著优点

1. 工作流闭环 ：从隧道创建到DNS记录指向，提供完整自动化脚本示例，大幅降低Cloudflare Tunnel学习成本
2. 格式灵活 ： --json 输出便于二次开发， --quiet 模式适合Shell脚本变量提取
3. 权限最小化 ：Token权限颗粒度清晰（Zone:Read/DNS:Edit/Tunnel:Edit），遵循安全最佳实践
4. 零依赖部署 ：仅需 curl + jq ，无额外运行时环境要求
   潜在局限
   Token管理责任 ：明文存储于 ~/.cloudflare_token 文件，需用户自行确保 chmod 600 权限，无内置加密或密钥托管
   错误处理深度 ：文档仅列出基础HTTP状态码映射，复杂场景（如批量API限流、zone转移冲突）的自动重试策略未说明
   隧道运维缺失 ：未提供隧道健康检查、自动重连、多ingress负载均衡等生产级运维能力
   跨zone操作限制 ：所有脚本均针对单zone设计，批量域名管理需外层脚本循环调用
   适合人群
   个人开发者/小团队：快速搭建内网穿透、自动化SSL证书部署
   DevOps工程师：将Cloudflare配置纳入GitOps工作流
   自托管爱好者：替代ngrok/frp，获得固定域名+免费带宽
   常规风险
   | 风险类型 | 说明 | 缓解建议 | |---------|------|---------| | Token泄露 | 文件权限不当或环境变量残留 | 使用专用API Token（非Global Key），定期轮换，启用Cloudflare审计日志 | | 隧道劫持 | 运行Token被窃取可导致流量劫持 | Token通过cloudflared tunnel run一次性使用，避免写入持久化文件 | | DNS误操作 | 脚本批量执行可能导致生产域名解析异常 | 操作前使用--json预览变更，关键zone启用变更通知 | | 权限过度 | Token被授予超出必要的权限 | 严格按文档最小权限原则配置，禁止勾选Zone:Edit等泛化权限 |