诊断并办理 Cloudflare 代理的站点的 5XX 缺点。
本文内容[概述][缺点剖析][Error 500: internal server error][Error 502 bad gateway 或 Error 504 gateway timeout][Error 503: service temporarily unavailable][Error 520: web server returns an unknown error][Error 521: web server is down][Error 522: connection timed out][Error 523: origin is unreachable][Error 524: a timeout occurred][缺点 525:SSL 握手失落败][Error 526: invalid SSL certificate][527 缺点:Railgun Listener 至源站缺点][Error 530]概述在排查 5XX 缺点时,精确的操作步骤是先联系您的主机供应商或站点管理员来打消故障并网络数据。
Cloudflare 支持仅帮忙域所有者办理问题。如果您是网站访问者,请联系网站所有者。
缺点缘故原由未必都能在源站缺点日志中找到。请检讨 Cloudflare 和源站 Web 做事器之间的所有负载平衡器、缓存、代理或防火墙。
下方的各个缺点描述中列出了应向主机供应商或站点管理员供应的其他详情。Cloudflare Custom Error Pages 可变动本文磋商的默认缺点页面的外不雅观。
缺点剖析每个域的缺点剖析可在您的帐户的支持门户中得到。通过缺点剖析,您可以按 HTTP 缺点代码深入理解总体缺点情形,它还供应了诊断和解决问题所需的 URL、相应、源站 IP 地址和 Cloudflare 数据中央。缺点剖析基于的是 1% 的流量样本。
要查看缺点剖析:
导航到 Cloudflare 支持门户。请参阅关于提交支持票证的解释,理解如何访问支持门户。往下滚动到缺点剖析部分。点击查看缺点剖析。输入要调查的域。此时将显示一段韶光内的缺点。点击图表下方表格中的状态代码,展开流量缺点详情。Error 500: internal server error500 缺点常日表示您的源站 Web 做事器存在问题。Error establishing database connection 是源站 Web 做事器天生的常见 HTTP 500 缺点。联系您的主机供应商来办理。
办理方案
向主机供应商供应详细信息,帮忙对问题进行故障打消。
不过,如果 500 缺点的 HTML 相应代码中包含“cloudflare”或“cloudflare-nginx”,请将以下信息供应给 Cloudflare 支持:
您的域名发生 500 缺点的韶光和时区不雅观察到 500 缺点的浏览器的 www.example.com/cdn-cgi/trace 输出(将 www.example.com 更换为您实际的域名和主机名)。如果创造访问您的网站时显示空缺页,请确认问题是否在停息 Cloudflare 时发生,并联系您的主机供应商寻求帮助。
Error 502 bad gateway 或 Error 504 gateway timeout当 Cloudflare 无法与您的源站 Web 做事器建立联系时,会发生 HTTP 502 或 504 缺点。
可能的缘故原由有两种:
(最常见缘故原由)502/504 源自您的源站 Web 做事器502/504 源自 Cloudflare502/504 源自您的源站 Web 做事器当您的源站 Web 做事器标准的 HTTP 502 网关破坏或 504 网关超时缺点相应时,Cloudflare 将返回带有 Cloudflare 标志的 HTTTP 502 或 504 缺点:
办理方案
联系您的主机供应商,在您的源站 Web 做事器上排查这些常见的缘故原由:
确保在要求天生天生 502 或 504 缺点的访问者 URL 中的主机名和域名时,源站做事器能够相应要求。调查做事器过载、崩溃或网络故障。识别发生超时或被阻挡的运用程序或做事。502/504 源自 Cloudflare源自 Cloudflare 的 502 或 504 缺点如下方所示:
如果缺点未提及“cloudflare”,请联系主机供应商来寻求与源自源站的 502/504 缺点干系的帮助。
办理方案
为避免处理您的查询时发生延迟,请向 Cloudflare 支持供应以下必要详情:
发生问题的韶光和时区造成 HTTP 502 或 504 缺点的 URL(例如:https://www.example.com/images/icons/image1.png)浏览 www.example.com/cdn-cgi/trace 时的输出(将 www.example.com 更换为导致 HTTP 502 或 504 缺点的域名和主机名)Error 503: service temporarily unavailableHTTP 缺点 503 在源站 Web 做事器过载时发生。 可能的缘故原由有两种,可通过缺点来辨别:
缺点的 HTML 相应正文中不包含“cloudflare”或“cloudflare-nginx”。办理方案:联系您的主机供应商,以核实是否针对您的源站 Web 做事器的要求履行了速率限定。
缺点的 HTML 相应正文中包含“cloudflare”或“cloudflare-nginx”。办理方案:Cloudflare 数据中央中发生了连接问题。向 Cloudflare 支持供应以下信息:
您的域名发生 503 缺点的韶光和时区不雅观察到 503 缺点的浏览器的 www.example.com/cdn-cgi/trace 输出(将 www.example.com 更换为您实际的域名和主机名)。Error 520: web server returns an unknown error当源站做事器向 Cloudflare 返回空缺、未知或意外相应时,会发生 520 缺点。
办理方案
在进一步调查 520 缺点期间采取以下快速办理办法:将 Cloudflare DNS 运用中的记录设为“仅限 DNS”,或停息 Cloudflare。
联系您的主机供应商或站点管理员,请他们核查您的源站 Web 做事器日志中的崩溃并检讨以下常见缘故原由:
源站 Web 做事器运用程序崩溃您的源站上未许可 Cloudflare IP。标头超过 16 KB(常日由于 Cookie 数量过多)源站 Web 做事器的空相应中短缺 HTTP 状态代码或相应正文短缺相应标头或源站 Web 做事器未返回精确的 HTTP 缺点相应。在从上游读取相应标头时,上游过早地关闭了连接,这是我们在日志中可能把稳到的一个常见缺点。这表明源站 Web 做事器有问题,导致Cloudflare 天生 520 缺点。520 缺点普遍发生于造成源站 Web 做事器崩溃的 PHP 运用程序。
如果在联系主机供应商或站点管理员后仍旧涌现 520 缺点,请向 Cloudflare 支持供应以下信息:
发生缺点时所要求资源的完全 URL520 缺点中的 Cloudflare cf-ray来自 http://www.example.com/cdn-cgi/trace 时的输出(将 www.example.com 更换为您发生 520 缺点时的您的域名和主机名)两个HAR 文件:一个在您网站上启用了 Cloudflare 时天生另一个在临时禁用 Cloudflare 后天生。Error 521: web server is down源站 Web 做事器谢绝来自 Cloudflare 的连接时,会发生 521 缺点。源站上的安全办理方案可能阻挡了来自某些 Cloudflare IP 地址的合法连接。
521 缺点的两个最常见缘故原由:
源站 Web 做事器运用程序离线Cloudflare 要求被阻挡办理方案
联系您的站点管理员或主机供应商以打消这些常见缘故原由:
确保您的源站 Web 做事器正常相应查看源站 Web 做事器缺点日志,以确定 Web 做事器运用程序崩溃或中断。确认没有阻挡 Cloudflare IP 地址或对其施加速率限定在您的源站 Web 做事器的防火墙或其他安全软件中许可所有 Cloudflare IP 范围确认您是否将 SSL/TLS 模式设置为 Full 或 Full (Strict),以及您是否安装了 Cloudflare Origin 证书查找 Cloudflare 社区的更多故障打消信息。Error 522: connection timed outCloudflare 联系源站 Web 做事器时超时会发生 522 缺点。 有两种不同的缺点导致 HTTP 缺点 522,详细取决于 Cloudflare 和源站 Web 做事器之间发生超时的韶光:
在连接建立之前,源站 Web 做事器未在 Cloudflare 发送 SYN 后 15 秒内将 SYN + ACK 返回给 Cloudflare。在连接建立之后,源站 Web 做事器未在 90 秒内确认(ACK)Cloudflare 的资源要求。如果源站 Web 做事器在连接建立之后确认(ACK)了资源要求,但没有及时发送相应,则发生 HTTP 524 缺点。
办理方案
联系您的主机供应商,从源站 Web 做事器上排查下列常见缘故原由:
(最常见).htaccess、iptables 或防火墙中阻挡了 Cloudflare IP 地址或对其设置了速率限定。确认您的主机供应商许可 Cloudflare IP 地址。源站 Web 做事器过载或离线,因而丢弃了传入的要求。源站 Web 做事器上禁用了 Keepalives 功能。Cloudflare DNS 运用中的源站 IP 地址与主机供应商当前为您的源站 Web 做事器置备的 IP 地址不匹配。您的源站 Web 做事器上丢弃了数据包。如果您利用的是 Cloudflare Pages,请确认您已经设置了自定义域,并且您的 CNAME 记录指向您的自定义 Pages 域。如需理解如何设置自定义 Pages 域,请点击此处。
如果上述缘故原由都未能匆匆成办理方案,请向主机供应商或站点管理员索取以下信息,然后联系 Cloudflare 支持:
从源站 Web 做事器到发生问题前最常连接您的源站 Web 做事器的 Cloudflare IP 地址的 MTR 或 traceroute 结果。在源站 Web 做事器日志记录的 IP 中,找到一个可成功连接的 IP。来自主机供应商调查的详细信息,如干系的日志或与主机供应商的对话。Error 523: origin is unreachable当 Cloudflare 无法联系您的源站 Web 做事器时,会发生 523 缺点。这常日在 Cloudflare 和源站 Web 做事器之间的网络设备没有通向源站 IP 地址的路由时发生。
办理方案 联系您的主机供应商,在您的源站 Web 做事器上排查下列常见缘故原由:
确认您的 Cloudflare DNS 运用中为 A 或 AAAA 记录列出了精确的源站 IP 地址。对源站与 Cloudflare 之间的互联网路由问题进行故障打消,或者对源站本身的问题进行故障打消。如果主机供应商常常变动该您的源站 Web 做事器 IP 地址,请参考有关动态 DNS 更新的 Cloudflare 文档。
如果上述缘故原由都未能匆匆成办理方案,请向主机供应商或站点管理员索取以下信息:
从源站 Web 做事器到发生问题前最常连接您的源站 Web 做事器的 Cloudflare IP 地址的 MTR 或 traceroute 结果。从源站 Web 做事器日志查找一个可连接的 Cloudflare IP。如果您通过 Cloudflare 托管做事互助伙伴利用 Railgun,请联系您的主机供应商来排查 523 缺点。如果您自己管理 Railgun 安装,请供应以下信息:从 Railgun 做事器到源站 Web 做事器的 traceroute 结果。来自 Railgun 做事器的最新系统日志文件。Error 524: a timeout occurred524 缺点表明 Cloudflare 成功连接了源做事器,但源站 Web 做事器没有在默认的 100 秒连接超时结束前供应 HTTP 相应。如果源站做事器由于要做太多事情而花费太永劫光(例如,大数据查询),或者由于做事器在争抢资源而无法及时返回任何数据,那么可能会发生这种情形。
办理方案
以下是我们建议的办理这一问题的方案:
履行大型 HTTP 进程的状态轮询,以避免碰着该缺点。联系您的主机供应商,从您的源站 Web 做事器上排查下列常见缘故原由:源站 Web 做事器上永劫光运行的进程。发生过载的源站 Web 做事器。源站 Web 做事器上记录要求相应韶光有助于辨别资源速率缓慢的缘故原由。联系您的主机供应商或站点管理员,以帮忙调度日志格式,或者搜索适用于您的 Web 做事器品牌(如 Apache 或 Nginx)的日志文档。
Enterprise 客户可以利用 proxy_read_timeout API 端点将 524 超时延长到最长 600 秒。如果您常常运行须要超过 100 秒才能完成的 HTTP 要求(例如大量数据导出),请在 Cloudflare DNS 运用中将这些进程移动到未由 Cloudflare 代理的子域后面。如果利用 Cloudflare Railgun 的域发生缺点 524,请确保 lan.timeout 设置的值高于默认的 30 秒,再重启 railgun 做事。缺点 525:SSL 握手失落败525 缺点表示 Cloudflare 与源站 Web 做事器之间的 SSL 握手失落败。知足以下两个条件时会发生 525 缺点:
Cloudflare 与源站 Web 做事器之间的 SSL 握手失落败,以及Cloudflare SSL/TLS 运用的概述选项卡中设置了 Full 或 Full (Strict) SSL。办理方案
联系您的主机供应商,从您的源站 Web 做事器上排查下列常见缘故原由:
未安装有效的 SSL 证书未开启 443 端口(或其他自定义安全端口)无 SNI 支持Cloudflare 接管的加密套件与源站 Web 做事器支持的加密套件不匹配。如果间歇性发生 525 缺点,请查看源站 Web 做事器缺点日志来确定缘故原由。配置 Apache 以记录 mod_ssl 缺点。此外,nginx 的标准缺点日志中包含 SSL 缺点,但可能须要提高日志级别。
其他检讨
检讨您的源站做事器上是否安装了证书。您可以查看这篇文章,详细理解如何运行一些测试。如果您没有任何证书,你可以创建并安装免费的 Cloudflare Origin CA 证书。利用 Origin CA 证书,您就加密 Cloudflare 与源站 Web 做事器之间的流量。检讨做事器利用的密码套件以确保它们与 Cloudflare 支持的密码套件匹配。根据看到的 525 的韶光戳检讨做事器的缺点日志,以确保有缺点可能导致在 SSL 握手期间重置连接。Error 526: invalid SSL certificate知足以下两个条件时会发生 526 缺点:
Cloudflare 无法验证您的源站 Web 做事器上的 SSL 证书;Cloudflare SSL/TLS 运用的概述选项卡中设置了 Full SSL (Strict) SSL。办理方案
在 Cloudflare SSL/TLS 运用的概述选项卡中将域的 SSL 设为 Full 而非 Full (strict),这可能是一种快速修复方法。
请您做事器管理员或主机供应商核查源站 Web 做事器的 SSL 证书,并进行以下验证:
证书没有到期证书没有撤销证书由证书颁发机构署名(而非自署名)所要求的域名或目标域名和主机名列在证书的 Common Name 或 Subject Alternative Name 中您的源站 Web 做事器接管通过 SSL 端口 443 进行连接停息 Cloudflare 并访问 https://www.sslshopper.com/ssl-checker.html#hostname=www.example.com(将 www.example.com 更换为您的主机名和域名),以验源站 SSL 证书并无问题:如果源站做事器利用自署名证书,请将域配置为利用 Full SSL 而非 Full SSL (Strict)。请参考适用于您的源站的 SSL 推举设置。
527 缺点:Railgun Listener 至源站缺点527 缺点表示 Cloudflare 和源站的 Railgun 做事器(rg-listener)之间发生连接中断。常见的缘故原由包括:
防火墙滋扰Railgun 做事器和 Cloudflare 之间网络故障或数据包丢失如需其他详细信息来帮忙故障打消,请提高 Railgun 日志级别。
527 缺点的最常见缘故原由包括:
连接超时超过 LAN 超时连接遭拒TLS/SSL 干系缺点如果要联系 Cloudflare 支持,请供应以下来自 Railgun Listener 的信息:
railgun.conf 文件的完全内容railgun-nat.conf 文件的完全内容内容详述不雅观察到的缺点的 Railgun 日志文件连接超时下列 Railgun 日志缺点表明 Railgun Listener 和源站 Web 做事器之间存在连接故障:
connection failed 0.0.0.0:443/example.com:dial tcp 0.0.0.0:443: i/o timeoutno response from origin (timeout) 0.0.0.0:80/example.com
办理方案
联系您的主机供应商,以帮忙测试源站 Web 做事器和 Railgun Listener 之间的连接问题。例如,运行 netcat 命令可以测试从 Railgun Listener 到源站 Web 做事器的 SERVERIP 和 PORT(80 用于 HTTP,或 443 用于 HTTPS)的连接:
nc -vz SERVERIP PORT超过 LAN 超时
如果源站 Web 做事器未在 30 秒默认超时内向 Railgun Listener 发送 HTTP 相应,则天生以下 Railgun Listener 日志缺点:
connection failed 0.0.0.0:443/example.com: dial tcp 0.0.0.0:443: i/o timeout
可以通过 railgun.conf 文件的 lan.timeout 参数调度这一韶光。
办理方案
提高 railgun.conf 中的 lan.timeout 限值,或检讨 Web 做事器配置。联系您的主机供应商,以确认源站 Web 做事器是否过载。
连接遭拒当来自 Railgun Listener 的要求遭到谢绝时,Railgun 日志中会涌现以下缺点:
Error getting page: dial tcp 0.0.0.0:80:connection refused
办理方案
许可 Railgun Listener 的 IP 处于源站 Web 做事器的防火墙中。
TLS/SSL 干系缺点如果 TLS 连接失落败,Railgun 日志中会涌现以下缺点:
connection failed 0.0.0.0:443/example.com:remote error: handshake failureconnection failed 0.0.0.0:443/example.com:dial tcp 0.0.0.0:443:connection refusedconnection failed 127.0.0.1:443/www.example.com:x509: certificate is valid forexample.com,www.example.com
办理方案
如果发生 TLS/SSL 缺点,请在源站 Web 做事器上检讨并确保:
已开启 443 端口源站 Web 做事器出示了 SSL 证书源站 Web 做事器的 SSL 证书的 SAN 或 Common Name 中包含要求的主机名或目标主机名在 Cloudflare SSL/TLS 运用的概述选项卡中将 SSL 设为 Full 或 Full (Strict)如果源站 Web 做事器 SSL 证书采取自署名,请在 railgun.conf 中设置 validate.cert=0。
Error 530返回 HTTP 缺点 530 时会同时显示 1XXX 缺点。后续我会总结,以理解故障打消信息。
