問題描述

源站使用CDN加速后，訪問域名報503錯誤。

問題原因

安全組規則限制訪問。
服務器配置了單IP訪問次數限制。
Web服務異常或服務器超載。
系統存在云鎖、安全狗、防火墻等安全策略，攔截了CDN的回源IP。

解決方案

本文以源站為Linux系統的ECS服務器，且由Nginx服務提供Web服務為例，處理方法如下。

CDN讀取數據過程

CDN讀取數據全程如下。

客戶端 -> CDN L1層 -> CDN L2層 -> 源站
當客戶端訪問您的源站資源時，客戶端將先查看CDN的1級節點，再查找CDN的2級節點，如果2級節點沒有，再查找源站。源站中的數據同步到2級節點，2級節點同步到1級節點，再從1級節點返回給客戶端需要訪問的數據。對于源站來說，CDN的L2節點才是客戶端。

回源節點的IP地址

如果您的源站上有安全狗等防護軟件確實需要配置白名單，請登錄CDN控制臺->域名管理->L2節點IP列表，獲取CDN回源的節點IP列表并添加到您源站服務器的白名單中，以免影響CDN回源獲取資源。

單IP訪問次數限制

遠程連接Linux實例。
檢查Nginx服務的配置文件，修改ngx_http_limit_conn_module和ngx_http_limit_req_module配置項。本文以ngx_http_limit_req_module模塊為例，配置文件示例如下。
http {
limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s;
…
server {
…
limit_req zone=perip burst=5 nodelay;
}

• ngx_http_limit_conn_module模塊用于限制每個定義的密鑰的連接數，特別是單個IP??地址的連接數。使用limit_conn_zone和limit_conn指令。
• ngx_http_limit_req_module模塊用于限制每一個定義的密鑰的請求的處理速率，特別是從一個單一的IP地址的請求的處理速率。使用泄漏桶方法進行限制，使用limit_req_zone和limit_req指令。
• limit_req_zone $binary_remote_addr zone=perip:10m rate=10r/s; 配置項定義一個limit_req_zone用來存儲Session，其大小是10M內存，以$binary_remote_addr為Key，限制平均每秒的請求為10個。
• limit_req zone=perip burst=5 nodelay; 配置項中啟用nodelay選項，嚴格使用平均速率限制請求數，超過的請求會被延時處理。

Web服務異常
遠程連接Linux實例。
檢查Nginx服務的日志，根據具體錯誤進行排查修復。
執行如下命令，重新啟動Nginx服務。
注：該操作會影響業務，請謹慎使用。
service restart nginx

安全策略攔截
設置各個安全產品的攔截策略，放行CDN的回源IP即可。