MBE 文档中心

🔒 Cloudflare API Token IP过滤配置指南

❓ IP过滤可以修改吗?

答案:可以! Cloudflare API Token的IP过滤设置可以在创建后随时修改。

🔧 如何修改IP过滤

方法1: 在Cloudflare Dashboard修改

  1. 访问API Tokens页面

  2. 编辑Token

    • 点击Token名称或右侧的编辑图标
    • 进入Token编辑页面

  3. 修改IP过滤

    • 在 "Client IP Address Filtering" 部分
    • 可以:
      • 添加新IP:点击 "+ Add more",输入新IP
      • 删除IP:点击IP规则旁边的 "X"
      • 修改IP:删除旧IP,添加新IP

  4. 保存更改

    • 点击 "Save" 或 "Update Token"
    • 更改立即生效

方法2: 删除并重新创建Token

如果修改不方便,也可以:

  1. 删除旧Token
  2. 创建新Token(使用新的IP)
  3. 更新GitHub Secrets中的Token值

💡 推荐配置策略

策略1: 不设置IP过滤(推荐用于CI/CD)

适用场景:

  • CI/CD服务器IP会变化
  • 使用GitHub Actions(IP不固定)
  • 多个部署服务器

配置:

  • 在创建Token时,不配置IP过滤
  • 保持 "Operator" 为 "Select"(不设置)

优点:

  • 灵活性高,不受IP变化影响
  • 适合自动化部署

缺点:

  • 安全性稍低(任何IP都可以使用Token)

策略2: 设置IP范围(推荐用于固定服务器)

适用场景:

  • 有固定的CI/CD服务器
  • 服务器IP相对固定

配置:

  • 在创建Token时,设置IP过滤
  • 如果服务器IP会变化,可以设置IP范围(CIDR)

示例:

192.168.1.0/24  # 允许整个子网
10.0.0.0/8      # 允许内网IP

优点:

  • 安全性更高
  • 限制Token使用范围

缺点:

  • 如果IP变化超出范围,Token会失效

策略3: 动态更新IP(适合固定服务器)

适用场景:

  • 有固定的CI/CD服务器
  • 服务器IP偶尔变化

配置:

  • 创建Token时设置初始IP
  • IP变化时,登录Cloudflare Dashboard更新

优点:

  • 平衡了安全性和灵活性

缺点:

  • 需要手动维护

🎯 针对您的CI/CD场景的建议

如果使用GitHub Actions

推荐:不设置IP过滤

原因:

  • GitHub Actions的IP地址不固定
  • GitHub使用多个IP地址范围
  • 设置IP过滤会导致Token无法使用

如果使用自己的服务器

推荐:设置IP范围或动态更新

配置示例:

# 如果服务器IP是 123.45.67.89
# 可以设置为:
123.45.67.0/24  # 允许整个C段

# 或者只设置单个IP:
123.45.67.89

📝 当前建议

基于您的CI/CD配置(使用GitHub Actions),建议:

  1. 创建Token时不设置IP过滤

    • 保持 "Operator" 为 "Select"
    • 不点击 "Use my IP"

  2. 依赖其他安全措施

    • Token存储在GitHub Secrets中(加密)
    • 只有授权的GitHub Actions可以使用
    • 定期轮换Token

  3. 如果以后需要IP过滤

    • 可以随时在Cloudflare Dashboard修改
    • 或者创建新Token并更新GitHub Secrets

🔍 如何查看当前IP过滤设置

  1. 访问:https://dash.cloudflare.com/profile/api-tokens
  2. 找到您的Token
  3. 点击Token名称查看详情
  4. 查看 "Client IP Address Filtering" 部分

🆘 常见问题

Q: Token创建后忘记设置IP过滤,可以添加吗?

A: 可以!按照上面的"方法1"修改即可。

Q: 设置了IP过滤,但CI/CD失败,怎么办?

A:

  1. 检查CI/CD服务器的实际IP
  2. 在Cloudflare Dashboard添加该IP到允许列表
  3. 或者删除IP过滤规则

Q: GitHub Actions的IP地址是什么?

A: GitHub Actions使用多个IP地址范围,且会变化。不建议为GitHub Actions设置IP过滤。

Q: 如何查看GitHub Actions使用的IP?

A: 在GitHub Actions工作流中添加步骤:

- name: Show IP
  run: curl -s https://api.ipify.org

📚 相关文档

总结: IP过滤可以随时修改,对于GitHub Actions场景,建议不设置IP过滤。