🔐 Cloudflare API Token 配置指南
📋 当前配置状态
您正在创建 Cloudflare API Token,当前配置:
- ✅ Token名称:
Edit zone DNS - ✅ 权限:Zone → DNS → Edit
🎯 完整配置步骤
步骤1: 添加更多权限(推荐)
为了CI/CD流程正常工作,建议添加以下权限:
点击 "+ Add more" 按钮(在Permissions部分)
添加 Zone Settings 权限:
- 第一个下拉框:选择 Zone
- 第二个下拉框:选择 Zone Settings
- 第三个下拉框:选择 Read
添加 Cloudflare Tunnel 权限:
- 点击 "+ Add more" 再次添加
- 第一个下拉框:选择 Account
- 第二个下拉框:选择 Cloudflare Tunnel
- 第三个下拉框:选择 Edit
最终权限列表应该是:
- Zone → DNS → Edit
- Zone → Zone Settings → Read
- Account → Cloudflare Tunnel → Edit
步骤2: 选择Zone资源
在 "Zone Resources" 部分:
- 第一个下拉框:保持 Include
- 第二个下拉框:保持 Specific zone
- 点击 Select... 按钮
选择域名:
- 在弹出的列表中选择
hi-maker.com - 点击确认
- 在弹出的列表中选择
步骤3: IP地址过滤(可选,但推荐)
为了安全,建议限制Token的使用IP:
- 在 "Client IP Address Filtering" 部分:
- 点击 Use my IP 按钮(自动填入您的当前IP)
- 或者手动输入允许的IP地址
注意: 如果您的CI/CD服务器IP会变化,可以跳过此步骤。
步骤4: TTL设置(可选)
- 默认: 不设置TTL = Token永久有效
- 推荐: 如果担心安全,可以设置过期时间
步骤5: 完成创建
- 点击 "Continue to summary" 按钮
- 检查配置摘要
- 点击 "Create Token"
- 立即复制Token(只显示一次!)
📝 添加到GitHub Secrets
创建Token后:
- 复制Token(完整字符串)
- 访问GitHub Secrets页面:
https://github.com/zenglx1978/mbe-monorepo/settings/secrets/actions - 添加Secret:
- 点击 New repository secret
- Name:
CLOUDFLARE_API_TOKEN - Secret: 粘贴刚才复制的Token
- 点击 Add secret
✅ 配置检查清单
- 已添加 Zone Settings Read 权限
- 已添加 Cloudflare Tunnel Edit 权限
- 已选择
hi-maker.comZone - 已配置IP过滤(可选)
- 已创建Token并复制
- 已添加到GitHub Secrets
🔒 安全建议
最小权限原则
- 只授予必要的权限
- 定期审查Token权限
IP限制
- 如果可能,限制Token的使用IP
- 只允许CI/CD服务器的IP使用
定期轮换
- 建议每3-6个月更新一次Token
- 更新后记得同步更新GitHub Secrets
Token命名
- 使用有意义的名称,如:
mbe-monorepo-ci-cd - 便于后续管理和识别
- 使用有意义的名称,如:
🆘 常见问题
Q: 如果忘记复制Token怎么办?
A: Token只显示一次,如果忘记复制:
- 删除旧Token
- 重新创建新Token
- 立即复制并保存
Q: 需要哪些最小权限?
A: 最小权限配置:
- Zone → DNS → Edit(管理DNS记录)
- Zone → Zone Settings → Read(读取Zone设置)
- Account → Cloudflare Tunnel → Edit(管理Tunnel)
Q: 可以为一个Token配置多个Zone吗?
A: 可以,点击 "+ Add more" 添加更多Zone资源规则。
📚 相关文档
重要提醒: Token创建后只显示一次,请务必立即复制并保存!