Cloudflare5XX错误故障排除

　　最近使用cloudflare做网站的外围cdn，出现过很多次5XX错误，汇总信息如下：
　　诊断并解决Cloudflare代理的站点的5XX错误。本文内容〔概述〕〔错误分析〕〔Error500：internalservererror〕〔Error502badgateway或Error504gatewaytimeout〕〔Error503：servicetemporarilyunavailable〕〔Error520：webserverreturnsanunknownerror〕〔Error521：webserverisdown〕〔Error522：connectiontimedout〕〔Error523：originisunreachable〕〔Error524：atimeoutoccurred〕〔错误525：SSL握手失败〕〔Error526：invalidSSLcertificate〕〔527错误：RailgunListener至源站错误〕〔Error530〕概述
　　在排查5XX错误时，正确的操作步骤是先联系您的主机提供商或站点管理员来排除故障并收集数据。
　　Cloudflare支持仅协助域所有者解决问题。如果您是网站访问者，请联系网站所有者。需要向主机提供商提供的错误详情具体的5XX错误代码和消息发生5XX错误的时间和时区造成HTTP5XX错误的URL（例如：https：www。example。comimagesiconsimage1。png）
　　错误原因未必都能在源站错误日志中找到。请检查Cloudflare和源站Web服务器之间的所有负载平衡器、缓存、代理或防火墙。
　　下方的各个错误描述中列出了应向主机提供商或站点管理员提供的其他详情。CloudflareCustomErrorPages可更改本文探讨的默认错误页面的外观。错误分析
　　每个域的错误分析可在您的帐户的支持门户中获得。通过错误分析，您可以按HTTP错误代码深入了解总体错误情况，它还提供了诊断和解决问题所需的URL、响应、源站IP地址和Cloudflare数据中心。错误分析基于的是1的流量样本。
　　要查看错误分析：导航到Cloudflare支持门户。请参阅关于提交支持票证的说明，了解如何访问支持门户。往下滚动到错误分析部分。点击查看错误分析。输入要调查的域。此时将显示一段时间内的错误。点击图表下方表格中的状态代码，展开流量错误详情。Error500：internalservererror
　　500错误通常表示您的源站Web服务器存在问题。Errorestablishingdatabaseconnection是源站Web服务器生成的常见HTTP500错误消息。联系您的主机提供商来解决。
　　解决方案
　　向主机提供商提供详细信息，协助对问题进行故障排除。
　　不过，如果500错误的HTML响应代码中包含cloudflare或cloudflarenginx，请将以下信息提供给Cloudflare支持：您的域名发生500错误的时间和时区观察到500错误的浏览器的www。example。comcdncgitrace输出（将www。example。com替换为您实际的域名和主机名）。
　　如果发现访问您的网站时显示空白页，请确认问题是否在暂停Cloudflare时发生，并联系您的主机提供商寻求帮助。Error502badgateway或Error504gatewaytimeout
　　当Cloudflare无法与您的源站Web服务器建立联系时，会发生HTTP502或504错误。
　　可能的原因有两种：（最常见原因）502504源自您的源站Web服务器502504源自Cloudflare502504源自您的源站Web服务器
　　当您的源站Web服务器标准的HTTP502网关损坏或504网关超时错误响应时，Cloudflare将返回带有Cloudflare标志的HTTTP502或504错误：
　　解决方案
　　联系您的主机提供商，在您的源站Web服务器上排查这些常见的原因：确保在请求生成生成502或504错误的访问者URL中的主机名和域名时，源站服务器能够响应请求。调查服务器过载、崩溃或网络故障。识别发生超时或被阻止的应用程序或服务。502504源自Cloudflare
　　源自Cloudflare的502或504错误如下方所示：
　　如果错误未提及cloudflare，请联系主机提供商来寻求与源自源站的502504错误相关的帮助。
　　解决方案
　　为避免处理您的查询时发生延迟，请向Cloudflare支持提供以下必要详情：发生问题的时间和时区造成HTTP502或504错误的URL（例如：https：www。example。comimagesiconsimage1。png）浏览www。example。comcdncgitrace时的输出（将www。example。com替换为导致HTTP502或504错误的域名和主机名）Error503：servicetemporarilyunavailable
　　HTTP错误503在源站Web服务器过载时发生。可能的原因有两种，可通过错误消息来辨别：错误的HTML响应正文中不包含cloudflare或cloudflarenginx。
　　解决方案：联系您的主机提供商，以核实是否针对您的源站Web服务器的请求实施了速率限制。错误的HTML响应正文中包含cloudflare或cloudflarenginx。
　　解决方案：Cloudflare数据中心中发生了连接问题。向Cloudflare支持提供以下信息：您的域名发生503错误的时间和时区观察到503错误的浏览器的www。example。comcdncgitrace输出（将www。example。com替换为您实际的域名和主机名）。Error520：webserverreturnsanunknownerror
　　当源站服务器向Cloudflare返回空白、未知或意外响应时，会发生520错误。
　　解决方案
　　在进一步调查520错误期间采用以下快速解决办法：将CloudflareDNS应用中的记录设为仅限DNS，或暂停Cloudflare。
　　联系您的主机提供商或站点管理员，请他们核查您的源站Web服务器日志中的崩溃并检查以下常见原因：源站Web服务器应用程序崩溃您的源站上未允许CloudflareIP。标头超过16KB（通常因为Cookie数量过多）源站Web服务器的空响应中缺少HTTP状态代码或响应正文缺少响应标头或源站Web服务器未返回正确的HTTP错误响应。在从上游读取响应标头时，上游过早地关闭了连接，这是我们在日志中可能注意到的一个常见错误。这表明源站Web服务器有问题，导致Cloudflare生成520错误。
　　520错误普遍发生于造成源站Web服务器崩溃的PHP应用程序。
　　如果在联系主机提供商或站点管理员后仍然出现520错误，请向Cloudflare支持提供以下信息：发生错误时所请求资源的完整URL520错误消息中的Cloudflarecfray来自http：www。example。comcdncgitrace时的输出（将www。example。com替换为您发生520错误时的您的域名和主机名）两个
　　HAR文件：一个在您网站上启用了Cloudflare时生成另一个在临时禁用Cloudflare后生成。Error521：webserverisdown
　　源站Web服务器拒绝来自Cloudflare的连接时，会发生521错误。源站上的安全解决方案可能阻止了来自某些CloudflareIP地址的合法连接。
　　521错误的两个最常见原因：源站Web服务器应用程序离线Cloudflare请求被阻止
　　解决方案
　　联系您的站点管理员或主机提供商以排除这些常见原因：确保您的源站Web服务器正常响应查看源站Web服务器错误日志，以确定Web服务器应用程序崩溃或中断。确认没有阻止CloudflareIP地址或对其施加速率限制在您的源站Web服务器的防火墙或其他安全软件中允许所有CloudflareIP范围确认您是否将SSLTLS模式设置为Full或Full（Strict），以及您是否安装了CloudflareOrigin证书查找Cloudflare社区的更多故障排除信息。Error522：connectiontimedout
　　Cloudflare联系源站Web服务器时超时会发生522错误。有两种不同的错误导致HTTP错误522，具体取决于Cloudflare和源站Web服务器之间发生超时的时间：在连接建立之前，源站Web服务器未在Cloudflare发送SYN后15秒内将SYNACK返回给Cloudflare。在连接建立之后，源站Web服务器未在90秒内确认（ACK）Cloudflare的资源请求。
　　如果源站Web服务器在连接建立之后确认（ACK）了资源请求，但没有及时发送响应，则发生HTTP524错误。
　　解决方案
　　联系您的主机提供商，从源站Web服务器上排查下列常见原因：（最常见）。htaccess、iptables或防火墙中阻止了CloudflareIP地址或对其设置了速率限制。确认您的主机提供商允许CloudflareIP地址。源站Web服务器过载或离线，因而丢弃了传入的请求。源站Web服务器上禁用了Keepalives功能。CloudflareDNS应用中的源站IP地址与主机提供商当前为您的源站Web服务器置备的IP地址不匹配。您的源站Web服务器上丢弃了数据包。
　　如果您使用的是CloudflarePages，请确认您已经设置了自定义域，并且您的CNAME记录指向您的自定义Pages域。如需了解如何设置自定义Pages域，请点击此处。
　　如果上述原因都未能促成解决方案，请向主机提供商或站点管理员索取以下信息，然后联系Cloudflare支持：从源站Web服务器到发生问题前最常连接您的源站Web服务器的CloudflareIP地址的MTR或traceroute结果。在源站Web服务器日志记录的IP中，找到一个可成功连接的IP。来自主机提供商调查的详细信息，如相关的日志或与主机提供商的对话。Error523：originisunreachable
　　当Cloudflare无法联系您的源站Web服务器时，会发生523错误。这通常在Cloudflare和源站Web服务器之间的网络设备没有通向源站IP地址的路由时发生。
　　解决方案联系您的主机提供商，在您的源站Web服务器上排查下列常见原因：确认您的CloudflareDNS应用中为A或AAAA记录列出了正确的源站IP地址。对源站与Cloudflare之间的互联网路由问题进行故障排除，或者对源站本身的问题进行故障排除。
　　如果主机提供商经常更改该您的源站Web服务器IP地址，请参考有关动态DNS更新的Cloudflare文档。
　　如果上述原因都未能促成解决方案，请向主机提供商或站点管理员索取以下信息：从源站Web服务器到发生问题前最常连接您的源站Web服务器的CloudflareIP地址的MTR或traceroute结果。从源站Web服务器日志查找一个可连接的CloudflareIP。如果您通过Cloudflare托管服务合作伙伴使用Railgun，请联系您的主机提供商来排查523错误。如果您自己管理Railgun安装，请提供以下信息：从Railgun服务器到源站Web服务器的traceroute结果。来自Railgun服务器的最新系统日志文件。Error524：atimeoutoccurred
　　524错误表明Cloudflare成功连接了源服务器，但源站Web服务器没有在默认的100秒连接超时结束前提供HTTP响应。如果源站服务器由于要做太多工作而花费太长时间（例如，大数据查询），或者因为服务器在争抢资源而无法及时返回任何数据，那么可能会发生这种情况。
　　解决方案
　　以下是我们建议的解决这一问题的方案：实施大型HTTP进程的状态轮询，以避免遇到该错误。联系您的主机提供商，从您的源站Web服务器上排查下列常见原因：源站Web服务器上长时间运行的进程。发生过载的源站Web服务器。
　　源站Web服务器上记录请求响应时间有助于辨别资源速度缓慢的原因。联系您的主机提供商或站点管理员，以协助调整日志格式，或者搜索适用于您的Web服务器品牌（如Apache或Nginx）的日志文档。Enterprise客户可以使用proxyreadtimeoutAPI端点将524超时延长到最长600秒。如果您经常运行需要超过100秒才能完成的HTTP请求（例如大量数据导出），请在CloudflareDNS应用中将这些进程移动到未由Cloudflare代理的子域后面。如果使用CloudflareRailgun的域发生错误524，请确保lan。timeout设置的值高于默认的30秒，再重启railgun服务。错误525：SSL握手失败
　　525错误表示Cloudflare与源站Web服务器之间的SSL握手失败。满足以下两个条件时会发生525错误：Cloudflare与源站Web服务器之间的SSL握手失败，以及CloudflareSSLTLS应用的概述选项卡中设置了Full或Full（Strict）SSL。
　　解决方案
　　联系您的主机提供商，从您的源站Web服务器上排查下列常见原因：未安装有效的SSL证书未开启443端口（或其他自定义安全端口）无SNI支持Cloudflare接受的加密套件与源站Web服务器支持的加密套件不匹配。
　　如果间歇性发生525错误，请查看源站Web服务器错误日志来确定原因。配置Apache以记录modssl错误。此外，nginx的标准错误日志中包含SSL错误，但可能需要提高日志级别。
　　其他检查检查您的源站服务器上是否安装了证书。您可以查看这篇文章，详细了解如何运行一些测试。如果您没有任何证书，你可以创建并安装免费的CloudflareOriginCA证书。使用OriginCA证书，您就加密Cloudflare与源站Web服务器之间的流量。检查服务器使用的密码套件以确保它们与Cloudflare支持的密码套件匹配。根据看到的525的时间戳检查服务器的错误日志，以确保有错误可能导致在SSL握手期间重置连接。Error526：invalidSSLcertificate
　　满足以下两个条件时会发生526错误：Cloudflare无法验证您的源站Web服务器上的SSL证书；CloudflareSSLTLS应用的概述选项卡中设置了FullSSL（Strict）SSL。
　　解决方案
　　在CloudflareSSLTLS应用的概述选项卡中将域的SSL设为Full而非Full（strict），这可能是一种快速修复方法。
　　请您服务器管理员或主机提供商核查源站Web服务器的SSL证书，并进行以下验证：证书没有到期证书没有撤销证书由证书颁发机构签名（而非自签名）所请求的域名或目标域名和主机名列在证书的CommonName或SubjectAlternativeName中您的源站Web服务器接受通过SSL端口443进行连接暂停Cloudflare并访问https：www。sslshopper。comsslchecker。htmlhostnamewww。example。com（将www。example。com替换为您的主机名和域名），以验源站SSL证书并无问题：
　　如果源站服务器使用自签名证书，请将域配置为使用FullSSL而非FullSSL（Strict）。请参考适用于您的源站的SSL推荐设置。527错误：RailgunListener至源站错误
　　527错误表示Cloudflare和源站的Railgun服务器（rglistener）之间发生连接中断。常见的原因包括：防火墙干扰Railgun服务器和Cloudflare之间网络故障或数据包丢失
　　如需其他详细信息来协助故障排除，请提高Railgun日志级别。
　　527错误的最常见原因包括：连接超时超过LAN超时连接遭拒TLSSSL相关错误
　　如果要联系Cloudflare支持，请提供以下来自RailgunListener的信息：railgun。conf文件的完整内容railgunnat。conf文件的完整内容内容详述观察到的错误的Railgun日志文件连接超时
　　下列Railgun日志错误表明RailgunListener和源站Web服务器之间存在连接故障：connectionfailed0。0。0。0：443example。com：dialtcp0。0。0。0：443：iotimeoutnoresponsefromorigin（timeout）0。0。0。0：80example。com
　　解决方案
　　联系您的主机提供商，以协助测试源站Web服务器和RailgunListener之间的连接问题。例如，运行netcat命令可以测试从RailgunListener到源站Web服务器的SERVERIP和PORT（80用于HTTP，或443用于HTTPS）的连接：ncvzSERVERIPPORT超过LAN超时
　　如果源站Web服务器未在30秒默认超时内向RailgunListener发送HTTP响应，则生成以下RailgunListener日志错误：connectionfailed0。0。0。0：443example。com：dialtcp0。0。0。0：443：iotimeout
　　可以通过railgun。conf文件的lan。timeout参数调整这一时间。
　　解决方案
　　提高railgun。conf中的lan。timeout限值，或检查Web服务器配置。联系您的主机提供商，以确认源站Web服务器是否过载。连接遭拒
　　当来自RailgunListener的请求遭到拒绝时，Railgun日志中会出现以下错误：Errorgettingpage：dialtcp0。0。0。0：80：connectionrefused
　　解决方案
　　允许RailgunListener的IP处于源站Web服务器的防火墙中。TLSSSL相关错误
　　如果TLS连接失败，Railgun日志中会出现以下错误：connectionfailed0。0。0。0：443example。com：remoteerror：handshakefailureconnectionfailed0。0。0。0：443example。com：dialtcp0。0。0。0：443：connectionrefusedconnectionfailed127。0。0。1：443www。example。com：x509：certificateisvalidforexample。com，www。example。com
　　解决方案
　　如果发生TLSSSL错误，请在源站Web服务器上检查并确保：已开启443端口源站Web服务器出示了SSL证书源站Web服务器的SSL证书的SAN或CommonName中包含请求的主机名或目标主机名在CloudflareSSLTLS应用的概述选项卡中将SSL设为Full或Full（Strict）
　　如果源站Web服务器SSL证书采用自签名，请在railgun。conf中设置validate。cert0。Error530
　　返回HTTP错误530时会同时显示1XXX错误。后续我会总结，以了解故障排除信息。