对于用frp实现内网穿透，虽然它功能强大，但自建服务端+双端配置+证书维护的门槛确实太高；看到 Cloudflare Tunnel 不用零成本,免公网IP,加密安全，就决定试一下。整套方案用宝塔建站点，Docker 跑隧道，命令不多，步骤也不复杂，正好适合。
写这篇的目的很简单：把我自己踩过的坑和最终稳定的配置记下来，也方便有同样需求照抄就能用。

一、方案速览

让国内服务器主动连接 Cloudflare，而非暴露公网端口

• 宝塔负责建站点、配SSL、反代理，不用开 80/443
• Docker里跑官方 cloudflared 镜像，一键开机自启
• Cloudflare 边缘负责CDN、防doss攻击

二、准备清单

三、步骤

软件商店 → Docker → 安装 → 完成

{collapse-item label="Docker"}

{/collapse-item}

1. 注册登录 dash.cloudflare.com

2. 配置Tunnels

宝塔 → Docker → 容器 → 创建容器 → 命令创建
粘贴下方命令（token acA..换成你自己的）：

docker run -d --rm --network host cloudflare/cloudflared:latest tunnel --token acA..

→ 提交，看到状态 Up 就OK啦

网站 → 添加站点

• 域名：xxxxx.xxx
• 端口：1999（随机选，避开常用端口80/443...）
• 绑定：xxxx.xxxx:1999
• → 重载 Nginx

本地验证(可选)：

curl -H "Host: xxxx.xxxx" http://127.0.0.1:1999

返回 HTML → 站点正常。

回到隧道 → Public Hostname → Add

• Subdomain：xxxx
• Domain：xxxx.xxxx

• URL：http://127.0.0.1:1999
  保存 → 解析页面自动添加，记录橙色云自动亮起
  

  最后访问你所配置的域名(不加端口)，正常访问，大功告成~

四、宝塔 Docker 常用操作（复制即用）

五、常见问题快速定位

写在最后

宝塔负责建站，Docker负责隔离，Cloudflare负责HTTPS+全球加速——三者合体，就是当下不错的内网穿透方案。