高防IP上线后频繁报502/504,源站单独访问正常,回源就掉链子?结合实操经验,这类异常80%源于「源站放行」「健康检查」配置问题,以下干货精简不啰嗦,新手也能快速上手解决。
一、快速区分:502 vs 504(10秒分清)
✅ 502(连接无效):高防能连源站,但源站返回无效响应(如连接重置);
常见原因:源站拦截回源IP、Web服务异常、超时配置不匹配。
✅ 504(连接超时):高防发起请求,源站无响应超阈值;
常见原因:源站负载高、链路拥堵、健康检查过严。
总结:502是“连得上但无效”,504是“连不上或等太久”。
二、3步排查:快速定位问题(不翻冗余日志)
1. 验证源站(最关键)
修改本地hosts指向源站IP,用curl -I 源站IP:端口测试;
- 状态码200:问题在高防与源站交互;
- 异常:直接排查源站(Web服务、CPU/内存、端口)。
2. 检查源站放行(最常见坑)
高防回源需用节点IP段,若源站防火墙、安全组未放行,直接报502;
操作:高防控制台导出回源IP段,放行80/443端口,关闭源站直接对外访问。
⚠️ 提醒:源站IP暴露需及时更换,仅放行高防回源IP,避免高防失效。
3. 检查健康检查(易误判)
常见误判场景:端口/路径错误、超时设过短(如1秒);
操作:核对端口/路径与源站一致,HTTP业务设检查路径(如/index.html),超时3-5秒、间隔5-10秒;单源站IP建议关闭健康检查。
三、分场景修复:一步到位(实操无冗余)
场景1:502(源站拦截回源IP)
1. 导出高防回源IP段;2. 配置防火墙(如iptables)放行该IP段,禁止其他公网访问核心端口;3. 检查安全软件未拉黑;4. 重启防火墙验证。
场景2:502(超时配置不匹配)
1. 查看高防回源超时(默认30秒);2. Nginx修改keepalive_timeout≥30秒;3. 重启Web服务。
场景3:504(源站响应超时)
1. top/free命令优化源站负载;2. MTR排查回源链路拥堵;3. 健康检查超时设5-10秒;4. 开启高防静态缓存减源站压力。
四、工具分享(非广告,纯实用)
中小站点/运维人手不足,可试试360CDN,核心优势:① 回源IP一键导出+放行模板,配置省时;② 智能健康检查,减少误判,提前过滤攻击流量,从根源减少异常。市面上同类工具较多,按需选择即可。
五、总结(必记2个坑)
1. 只装高防不放行回源IP,必报502;2. 健康检查配置不当,易误判报504。
按上述步骤,多数异常10-30分钟可解决,欢迎评论区交流排查技巧~