問(wèn)題描述
源站使用CDN加速后���,訪(fǎng)問(wèn)域名報503錯誤����。
問(wèn)題原因
安全組規則限制訪(fǎng)問(wèn)���。
服務(wù)器配置了單IP訪(fǎng)問(wèn)次數限制�����。
Web服務(wù)異?��;蚍?wù)器超載��。
系統存在云鎖�、安全狗�、防火墻等安全策略���,攔截了CDN的回源IP�����。
解決方案
本文以源站為L(cháng)inux系統的ECS服務(wù)器���,且由Nginx服務(wù)提供Web服務(wù)為例���,處理方法如下����。
CDN讀取數據過(guò)程
CDN讀取數據全程如下��。
客戶(hù)端 -> CDN L1層 -> CDN L2層 -> 源站
當客戶(hù)端訪(fǎng)問(wèn)您的源站資源時(shí)��,客戶(hù)端將先查看CDN的1級節點(diǎn)����,再查找CDN的2級節點(diǎn)�,如果2級節點(diǎn)沒(méi)有���,再查找源站�����。源站中的數據同步到2級節點(diǎn)�����,2級節點(diǎn)同步到1級節點(diǎn)�,再從1級節點(diǎn)返回給客戶(hù)端需要訪(fǎng)問(wèn)的數據���。對于源站來(lái)說(shuō)��,CDN的L2節點(diǎn)才是客戶(hù)端���。
回源節點(diǎn)的IP地址
如果您的源站上有安全狗等防護軟件確實(shí)需要配置白名單���,請登錄CDN控制臺->域名管理->L2節點(diǎn)IP列表����,獲取CDN回源的節點(diǎn)IP列表并添加到您源站服務(wù)器的白名單中�����,以免影響CDN回源獲取資源�����。
單IP訪(fǎng)問(wèn)次數限制
遠程連接Linux實(shí)例����。
檢查Nginx服務(wù)的配置文件��,修改ngx_http_limit_conn_module和ngx_http_limit_req_module配置項���。本文以ngx_http_limit_req_module模塊為例�����,配置文件示例如下��。
http {
limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s;
…
server {
…
limit_req zone=perip burst=5 nodelay;
}
- ngx_http_limit_conn_module模塊用于限制每個(gè)定義的密鑰的連接數�,特別是單個(gè)IP??地址的連接數����。使用limit_conn_zone和limit_conn指令�����。
- ngx_http_limit_req_module模塊用于限制每一個(gè)定義的密鑰的請求的處理速率�����,特別是從一個(gè)單一的IP地址的請求的處理速率���。使用泄漏桶方法進(jìn)行限制���,使用limit_req_zone和limit_req指令����。
- limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s; 配置項定義一個(gè)limit_req_zone用來(lái)存儲Session�,其大小是10M內存���,以$binary_remote_addr為Key���,限制平均每秒的請求為10個(gè)�。
- limit_req zone=perip burst=5 nodelay; 配置項中啟用nodelay選項�����,嚴格使用平均速率限制請求數���,超過(guò)的請求會(huì )被延時(shí)處理�����。
Web服務(wù)異常
遠程連接Linux實(shí)例�����。
檢查Nginx服務(wù)的日志�,根據具體錯誤進(jìn)行排查修復��。
執行如下命令�����,重新啟動(dòng)Nginx服務(wù)���。
注:該操作會(huì )影響業(yè)務(wù)�����,請謹慎使用��。
service restart nginx
安全策略攔截
設置各個(gè)安全產(chǎn)品的攔截策略����,放行CDN的回源IP即可�����。
計算
安全
數據庫
網(wǎng)絡(luò )和加速
AI應用
