✅ Cloudflare API Token 配置完成指南
📋 当前配置状态
根据您的配置,您已经设置了:
- ✅ Token名称:
Edit zone DNS - ✅ 权限:
- Zone → DNS → Read(建议改为Edit)
- Account → Cloudflare Tunnel → Edit ✅
🎯 需要完成的配置
1. 调整DNS权限(重要)
当前状态: Zone → DNS → Read
建议修改为: Zone → DNS → Edit
原因: CI/CD流程可能需要创建或修改DNS记录
操作:
- 点击DNS权限行的下拉框
- 将 "Read" 改为 "Edit"
2. 选择Zone资源(必需)
在 "Zone Resources" 部分:
- 确保第一个下拉框是 Include
- 确保第二个下拉框是 Specific zone
- 点击 "Select..." 按钮(第三个下拉框)
- 在弹出的列表中选择
hi-maker.com - 点击确认
3. 选择Account资源(可选,但推荐)
在 "Account Resources" 部分:
- 确保第一个下拉框是 Include
- 点击 "Select..." 按钮
- 选择您的Cloudflare账户
- 点击确认
4. IP地址过滤(可选)
在 "Client IP Address Filtering" 部分:
- 选项1: 点击 "Use my IP" 按钮(自动填入当前IP)
- 选项2: 手动输入允许的IP地址
- 选项3: 跳过此步骤(允许所有IP使用Token)
建议: 如果您的CI/CD服务器IP固定,建议配置IP过滤以提高安全性。
5. TTL设置(可选)
- 默认: 不设置 = Token永久有效
- 推荐: 如果担心安全,可以设置过期时间
✅ 完成创建
完成上述配置后:
- 点击 "Continue to summary" 按钮
- 检查配置摘要:
- Token名称
- 权限列表
- Zone资源
- Account资源
- IP过滤规则
- 确认无误后,点击 "Create Token"
- 立即复制Token(⚠️ 只显示一次!)
📝 添加到GitHub Secrets
创建Token后:
复制完整的Token字符串
- Token格式类似:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx - 确保复制完整,不要遗漏任何字符
- Token格式类似:
访问GitHub Secrets页面:
https://github.com/zenglx1978/mbe-monorepo/settings/secrets/actions添加Secret:
- 点击 New repository secret
- Name:
CLOUDFLARE_API_TOKEN - Secret: 粘贴刚才复制的Token
- 点击 Add secret
🔍 配置检查清单
在点击 "Continue to summary" 之前,确认:
- DNS权限设置为 Edit(不是Read)
- 已添加 Zone Settings → Read 权限(可选,但推荐)
- 已添加 Cloudflare Tunnel → Edit 权限 ✅
- 已选择
hi-maker.comZone - 已选择Account资源(可选)
- 已配置IP过滤(可选)
🆘 常见问题
Q: DNS权限Read和Edit有什么区别?
A:
- Read: 只能查看DNS记录,不能修改
- Edit: 可以创建、修改、删除DNS记录
- 建议: 使用Edit权限,CI/CD可能需要自动管理DNS
Q: 如果忘记选择Zone会怎样?
A: Token将无法访问任何Zone,需要在创建后重新编辑或创建新Token。
Q: 可以稍后修改Token权限吗?
A: 不可以。Token创建后权限无法修改,只能删除后重新创建。
📚 下一步
创建Token并添加到GitHub Secrets后,还需要配置:
- CLOUDFLARE_ZONE_ID - Zone ID
- CLOUDFLARE_TUNNEL_TOKEN_DEV - 开发环境Tunnel Token
重要提醒: Token创建后只显示一次,请务必立即复制并保存到安全位置!