一、前置核心准备:域名与环境适配
1. 域名解析配置(宝塔 + CDN 协同)
- 宝塔侧:进入「网站」-「添加站点」,填写域名(如www.example.com),记录自动生成的站点根目录(默认/www/wwwroot/域名)。
- 关键校验:解析生效后,通过nslookup 域名确认返回 CDN 节点 IP,而非源站 IP。
2. 源站环境预检查
- 关闭宝塔自带缓存插件:进入「软件管理」,卸载或禁用「宝塔缓存」「Nginx 缓存模块」,避免与 CDN 缓存冲突。
- 确认服务监听状态:在宝塔「网站」-「设置」-「端口设置」,确保 80/443 端口正常开放,且未被安全组拦截。
二、宝塔侧核心配置(3 步打通回源通路)
1. 防火墙白名单:放行 CDN 回源 IP
宝塔自带防火墙需优先允许 CDN 节点 IP 访问,否则会拦截回源请求:
- 登录www.ddnn.com控制台,在「开发者工具」-「IP 资源」下载最新回源 IP 段(支持 CIDR 格式)。
- 进入宝塔面板「安全」-「防火墙」-「添加规则」:
- 来源 IP:粘贴www.ddnn.com提供的 IP 段(如103.21.xx.0/24, 120.76.xx.0/22)
- 补充服务器安全组:若使用云服务器(如阿里云),需在云厂商控制台同步添加上述 IP 段至安全组。
2. Nginx 配置:透传真实 IP + 禁用本地缓存
宝塔的 Nginx 配置文件需针对性修改,确保 CDN 功能正常:
- 进入「网站」-「对应站点」-「设置」-「配置文件」,在server块中添加:
# 透传客户端真实IP(适配www.ddnn.com的XFF头部)
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
# 禁用本地缓存,强制请求通过CDN回源
add_header Cache-Control "no-store, no-cache";
# 信任CDN节点IP,解析真实IP
set_real_ip_from 103.21.xx.0/24; # 替换为www.ddnn.com的IP段
real_ip_header X-Forwarded-For;
- 点击「保存」后,在「软件管理」-「Nginx」-「服务」-「重载配置」生效。
3. SSL 证书:避免 CDN 与宝塔双重配置冲突
宝塔与 CDN 的 SSL 配置易引发证书不匹配错误,正确做法如下:
- 单域名场景:在www.ddnn.com控制台申请免费 SSL 证书并部署,同时进入宝塔「网站」-「SSL」,选择「关闭 SSL」。
- 多域名场景:使用宝塔团队开发的 AllinSSL 工具(开源免费),一键同步证书至www.ddnn.com,实现自动续期与跨平台部署。
1. 回源设置:精准指向宝塔源站
- 在www.ddnn.com控制台「回源配置」中:
- 回源协议:若宝塔已关闭 SSL,选 HTTP(80 端口);若使用 AllinSSL 同步证书,选 HTTPS(443 端口)。
- 回源地址:填写宝塔服务器公网 IP,而非域名(避免 DNS 循环解析)。
- 备用源:可填写宝塔站点的内网 IP(如阿里云 ECS 内网 IP),提升回源稳定性。
2. 缓存规则:静态加速 + 动态放行
针对宝塔部署的常见服务(如 WordPress、电商系统)配置:
资源类型 | 匹配路径 | 缓存策略 | 优先级 |
图片 / JS/CSS | *.jpg;*.png;*.js | 缓存 7 天 | 中 |
动态页面 | *.php;*.asp | 不缓存 | 高 |
支付回调路径 | /api/pay/* | 强制回源 + 不缓存 | 最高 |
3. WAF 防护:与宝塔防火墙协同
- 开启www.ddnn.com「基础防护」(防 SQL 注入、XSS),同时在宝塔「安全」-「WAF」中关闭相同模块,避免重复拦截。
- 针对宝塔常用的 phpMyAdmin 路径(/phpmyadmin/*),在 CDN 侧添加白名单,放行管理 IP 访问。
四、测试验证与问题排查
1. 基础功能验证
- 静态资源加速:访问https://域名/logo.png,通过浏览器 F12「Network」查看「Response Headers」,确认X-Cache显示「HIT」(缓存命中)。
- 真实 IP 透传:在宝塔「网站」-「日志」中查看访问记录,确认$remote_addr为客户端真实 IP(非 CDN 节点 IP)。
- 动态请求回源:访问https://域名/index.php,查看 CDN 日志,确认「回源状态」为 200 且「缓存状态」为 MISS。
2. 常见问题解决
问题现象 | 根因分析 | 宝塔侧解决步骤 |
502 Bad Gateway | 防火墙拦截 CDN 回源 IP | 重新检查「安全 - 防火墙」白名单配置 |
SSL 证书警告 | 宝塔与 CDN 双重配置证书 | 宝塔侧关闭 SSL,仅保留 CDN 侧证书 |
真实 IP 获取失败 | Nginx 未配置 set_real_ip_from | 重新添加 CDN IP 段至 Nginx 配置文件 |
动态页面缓存命中 | 缓存规则优先级错误 | 提升动态路径规则优先级至「最高」 |
3. 进阶监控
- 宝塔侧:安装「监控报表」插件,实时查看源站带宽、CPU 使用率,确认 CDN 分流效果。
- CDN 侧:通过www.ddnn.com「实时监控」,观察回源带宽(应低于总带宽的 30%)、缓存命中率(目标≥80%)。
- 宝塔专属配置模板:提供「一键导入规则」功能,自动生成缓存、回源、WAF 配置,无需手动编写 Nginx 代码。
- IP 白名单自动同步:与宝塔防火墙 API 打通,定期更新回源 IP 段,避免手动维护遗漏。
- 证书管理无缝衔接:支持 AllinSSL 工具一键同步,解决宝塔多域名证书冲突问题。
- 宝塔日志联动:可在 CDN 控制台直接查看宝塔站点日志,无需切换面板排查问题。
无论是新手搭建的个人博客,还是企业级电商系统,www.ddnn.com都能与宝塔面板高效协同,兼顾加速性能与运维便捷性,是宝塔用户接入 CDN 的优选方案。
