做网站安全和 CDN 优化的这些年,被问得最多的问题之一,就是 “CDN 回源失败了怎么办?”
很多人一碰到这种问题就慌,觉得是 CDN 服务商出了大问题,其实大部分情况,都是源站配置或网络链路的小问题,只要找对方法,很快就能定位解决。
我整理了一套通用的排查思路,不管用的是哪家 CDN,都能照着一步步来:
第一步,先确认问题范围。是全站都无法访问,还是只有静态资源加载失败?是特定地区用户出问题,还是全国都受影响?这些信息能帮你快速缩小排查范围。
第二步,看 CDN 后台的监控和日志。大部分服务商都会提供回源状态码、错误类型、失败请求的分布情况。比如 502 通常是源站拒绝连接,504 是回源超时,403 可能是源站权限配置问题。
第三步,从节点到源站做链路测试。用 ping、traceroute 看节点到源站的网络通不通,有没有丢包、延迟过高的情况;用 telnet 测试回源端口,确认源站有没有监听对应的端口;用 curl 命令模拟回源请求,带上 Host 头,看看源站返回的具体错误信息。
第四步,检查源站的安全配置。防火墙、安全组、WAF 规则,有没有拦截 CDN 节点的 IP 或请求?很多时候,WAF 的误拦截是回源失败的隐形杀手,比如把 CDN 节点的回源请求当成了攻击流量给拦了。
第五步,排查源站本身的性能。如果源站带宽跑满、CPU 占用过高、磁盘 IO 打满,也会导致回源请求超时或失败,这种情况就不是 CDN 的问题,而是源站负载扛不住了。
之前帮一个客户排查过一个案例,就是源站的 WAF 规则更新后,不小心把 CDN 节点的回源 IP 给误拦截了,导致大量请求失败,调整规则后几分钟就恢复了。
所以碰到回源异常,先别着急甩锅,按步骤排查,大部分问题都能找到明确的根因。
