1. 在 Tunnel 中绑定两个域名#

先在你的 Cloudflare Tunnel 中，为同一个站点绑定两个不同的域名：

• 一个主域名
• 一个辅助域名

这一步的目的，是让同一个 Tunnel 服务同时拥有“用户访问入口”和“回源入口”两个地址。

2. 给辅助域名添加一条走 Cloudflare 的解析记录#

接下来，打开 辅助域名 的 DNS 解析，添加任意一条记录：

• A
• AAAA
• CNAME

记录值本身不重要，重点是：必须开启小黄云。

这条记录的用途，是让辅助域名成为后续 SaaS 配置里的回退源。这一步必须先加，否则后面无法继续添加自定义主机名。

例如，我这里把子域名指向了 8.8.8.8。
只要小黄云开启，流量实际仍然会经过 Cloudflare，这样就可以满足后续 SaaS 的回退源要求。

3. 为辅助域名添加社区优选 CNAME#

接着，再添加一条指向社区优选的 CNAME 记录。

常见的优选来源可以从下面这些站点获取：

1
https://cf.090227.xyz/
2
https://www.byoip.top/

获取到可用优选后，先把它配置在辅助域名下的某个子域名上。

4. 修改主域名解析到优选子域名#

然后切换到 主域名 的 DNS 页面，找到你在 Tunnel 中绑定的那个子域名解析记录，把它的记录值修改为刚刚配置好的“优选子域名”，并关闭小黄云。

这里要注意：

• 主域名 不是直接指向优选站点给出的目标
• 而是先指向你在辅助域名下配置好的那个优选子域名

例如：

• y.cf.com -> cf.090227.xyz
• 那么主域名应该指向 y.cf.com
• 而不是直接写 cf.090227.xyz

这样做一方面是为了让 Cloudflare 正确识别访问目标，另一方面也更方便后续维护。

例如当你配置了多个优选时，只要统一通过 y.cf.com 这一个子域名来处理，后续更换优选域名时，只需要修改 y.cf.com 的解析记录，而不必直接改动每个主域名的解析。

5. 在辅助域名中配置 SaaS 自定义主机#

完成上面的 DNS 配置后，回到辅助域名对应的 Cloudflare 控制台。

进入侧边栏中的：

SSL/TLS → 自定义主机

先添加一个 回源域名，也就是你刚刚用于 SaaS 回退源的那个辅助域名子域名。

然后继续添加 自定义主机名。

这里有两个关键点：

• 自定义主机名：填写你最终要给用户访问的主域名
• 源站：填写你在 Tunnel 中绑定的辅助域名（也就是没有改过 Tunnel 指向的那个地址）

验证方式可以自行选择，这里更推荐使用 HTTP 验证。

这里以TXT为例

添加完成后，Cloudflare 会给出一条 TXT 验证记录，把它添加到对应域名的 DNS 中，等待验证生效即可。

未优选#

优选后#

从测试结果来看，优选后的访问体验会明显更稳定一些，尤其是在国内晚高峰场景下，效果会更容易体现出来。