CDN云加速

源站存在安全防护等原因导致访问CDN域名报503错误

问题描述

源站使用CDN加速后,访问域名报503错误。

问题原因

安全组规则限制访问。
服务器配置了单IP访问次数限制。
Web服务异常或服务器超载。
系统存在云锁、安全狗、防火墙等安全策略,拦截了CDN的回源IP。

解决方案

本文以源站为Linux系统的ECS服务器,且由Nginx服务提供Web服务为例,处理方法如下。

CDN读取数据过程

CDN读取数据全程如下。

客户端 -> CDN L1层 -> CDN L2层 -> 源站
当客户端访问您的源站资源时,客户端将先查看CDN的1级节点,再查找CDN的2级节点,如果2级节点没有,再查找源站。源站中的数据同步到2级节点,2级节点同步到1级节点,再从1级节点返回给客户端需要访问的数据。对于源站来说,CDN的L2节点才是客户端。

回源节点的IP地址

如果您的源站上有安全狗等防护软件确实需要配置白名单,请登录CDN控制台->域名管理->L2节点IP列表,获取CDN回源的节点IP列表并添加到您源站服务器的白名单中,以免影响CDN回源获取资源。

单IP访问次数限制

远程连接Linux实例。
检查Nginx服务的配置文件,修改ngx_http_limit_conn_module和ngx_http_limit_req_module配置项。本文以ngx_http_limit_req_module模块为例,配置文件示例如下。
http {
limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s;

server {

limit_req zone=perip burst=5 nodelay;
}

Web服务异常
远程连接Linux实例。
检查Nginx服务的日志,根据具体错误进行排查修复。
执行如下命令,重新启动Nginx服务。
注:该操作会影响业务,请谨慎使用。
service restart nginx

安全策略拦截
设置各个安全产品的拦截策略,放行CDN的回源IP即可。