全部產品
Search
文件中心

CDN:回源常見問題

更新時間:Jun 13, 2026

回源指您通過用戶端請求訪問資源時,如果CDN節點上未緩衝該資源,或者您部署預熱任務給CDN節點時,CDN節點會回來源站點擷取資源。本文為您介紹關於回源的常見問題。

配置回源協議為HTTPS後,無法訪問網站,提示502報錯時如何解決?

  • 檢查來源站點是否支援HTTPS訪問:在瀏覽器中直接使用 https://來源站點網域名稱 訪問,確認來源站點能否正常響應。如果來源站點不支援HTTPS,請將回源協議改為HTTP。

  • 檢查回源連接埠是否與來源站點HTTPS監聽連接埠一致:預設回源連接埠為443,如果來源站點使用自訂HTTPS連接埠,請在静态协议跟随回源對話方塊中配置對應的HTTPS連接埠(1~65535)。

  • 檢查回源HOST和回源SNI配置:如果來源站點IP綁定了多個網域名稱,請配置回源SNI指明所請求的具體網域名稱,同時將回源HOST設定為來源站點網域名稱。

  • 檢查來源站點SSL認證有效性:如果來源站點SSL認證已到期或認證與網域名稱不匹配,CDN節點校正失敗會返回502錯誤。請更新來源站點SSL認證。

  • 更詳細的排查指南請參考配置回源協議文檔的「常見問題」章節。

來源站點配置HTTP到HTTPS跳轉後,CDN回源出現重新導向迴圈如何解決?

問題現象:網站訪問出現"重新導向次數過多"或"ERR_TOO_MANY_REDIRECTS"錯誤。

原因:來源站點配置了HTTP到HTTPS的強制跳轉(返回301),而CDN使用HTTP協議回源。CDN收到301響應後再次以HTTP回源,形成無限重新導向迴圈。

解決方案

  1. 將CDN回源連接埠修改為443,回源通訊協定設定為HTTPS。

  2. 如果來源站點有多網域名稱監聽,同時配置回源SNI和回源HOST為加速網域名稱或來源站點網域名稱。

  3. 執行重新導向次數過多的解決方案中的緩衝清理步驟。

CDN通過IP回源至配置了SSL認證且80重新導向到443的負載平衡(CLB)時,是否會有認證問題或影響?

若CDN回源使用CLB公網IP且CLB配置了80重新導向到443,建議將CDN的回源協議設為HTTP(回源到CLB的80連接埠),以避免認證校正問題。若必須使用HTTPS回源,需確保開啟回源SNI並配置認證Common Name白名單,否則可能因SNI缺失或認證網域名稱不匹配導致校正失敗。

Common Name白名單校正的是什嗎?

發生回源時,將校正CDN節點回源請求中SNI和來源站點返回認證的CommonName值,兩者需一致方可成功回源。

如果您未修改回源SNI,CDN節點回源請求攜帶的Host值預設是加速網域名稱,所以校正的是加速網域名稱的認證的Common Name。

如何在HTTPS回源時配置自訂連接埠?

  1. 登入CDN控制台

  2. 在左側導覽列,單擊域名管理

  3. 域名管理頁面,找到目標網域名稱,單擊操作列的管理

  4. 在指定網域名稱的左側導覽列,單擊回源配置

  5. 回源协议地區,開啟回源协议開關。

  6. 單擊修改配置

  7. 根據需要配置自訂連接埠即可。

CDN配置開啟HTTPS功能後回源時使用的協議是HTTP還是HTTPS?

CDN上配置HTTPS認證與回源協議無關,預設情況下回源協議以配置來源站點中設定的回源連接埠為準:

  • 回源連接埠設定為443:以HTTPS協議回源。

  • 回源連接埠設定為80或其他:以HTTP協議回源。

如果您需要指定回源協議,可根據需要配置回源協議

加速網域名稱啟用CDN後,來源站點80連接埠仍在監聽,是否需要保留?關閉後會不會影響CDN服務?

關閉來源站點80連接埠前,請確認以下兩點:

  • 該加速網域名稱的回源協議已設定為HTTPS(使用443連接埠)。

  • 來源站點上無其他業務進程或服務依賴80連接埠(如Web伺服器、HTTP跳轉等)。

如果回源協議仍為HTTP或"跟隨用戶端",關閉80連接埠將導致CDN回源失敗。您可以在域名管理 >目標加速網域名稱> 回源配置中確認當前回源協議。

配置回源協議為「跟隨」時,來源站點不支援HTTPS導致訪問失敗如何處理?

原因:回源通訊協定設定為「跟隨」時,用戶端使用HTTPS訪問CDN,CDN會以HTTPS協議回源。如果來源站點不支援HTTPS,回源請求失敗。

解決方案

  • 方式一:將回源協議從「跟隨」改為「HTTP」,CDN始終以HTTP協議回源。

  • 方式二:為來源站點配置SSL認證,確保來源站點支援HTTPS訪問。

詳細說明請參考配置回源協議文檔。

CDN訪問OSS資源提示You have no right to access this object because of bucket acl.錯誤如何解決?

OSS的Bucket被配置為私人模式(可以起到訪問鑒權的作用,避免非授權的請求盜刷流量),該情況下需要給加速網域名稱開啟OSS私人Bucket回源功能,可以解決該報錯,實現CDN加速OSS私人Bucket資源。

CDN訪問OSS資源提示This request is forbidden by kms.錯誤如何解決?

如果您的OSS Bucket中使用了Key Management Service(Key Management Service)進行加密,您需要為CDN的回源角色額外授予使用KMS密鑰的許可權,否則CDN將無法解密和訪問這些檔案,出現This request is forbidden by kms.報錯。

  1. 登入RAM控制台

  2. 在左側導覽列,選擇

  3. 角色名稱列表下,找到AliyunCDNAccessingPrivateOSSRole角色。

  4. 單擊新增授權授權主體會自動填入。

  5. 權限原則下選擇系統策略,搜尋AliyunKMSCryptoUserAccess,並單擊AliyunKMSCryptoUserAccess,將其添加到已選擇權限原則地區框中。

  6. 單擊確認新增授權,顯示已完成

  7. 單擊關閉

  8. 使用重新整理和預熱資源功能,待重新整理任務完成後,重新訪問資源。

如何使用STS實現跨帳號回源OSS私人Bucket?

預設情況下,CDN使用STS臨時安全性權杖的方式,只支援回源到同一個帳號下的OSS私人Bucket,如果您期望使用STS臨時安全性權杖實現跨帳號回源OSS私人Bucket,可以在OSS上添加Bucket授權策略來實現,配置方式如下:

  1. 登入私人Bucket所在的阿里雲帳號,進入OSS控制台

  2. 依次單擊Bucket 列表 > 目標Bucket。許可權控制 > Bucket 授權策略頁簽中單擊新增授權

    image

  3. 授權用戶選擇其他帳號,根據 CDN 回源 OSS 時使用的授權方式,在授權帳號中填寫對應格式的 ARN:

    • 直接 STS 授權:填寫 arn:sts:uid,其中 uid 為 CDN 所在帳號的帳號ID

    • 扮演角色(AssumeRole):填寫 arn:sts::{CDN帳號uID}:assumed-role/{CDN帳號角色role_name}/*,其中 {CDN帳號uID} 為 CDN 所在帳號的帳號 ID,{CDN帳號角色role_name} 為 CDN 帳號扮演的角色名稱。若 CDN 通過扮演角色方式回源 OSS,必須使用此格式,否則會報 403 錯誤。

    授權操作選擇簡單設定 > 唯讀(不包含ListObject操作),隨後單擊確定完成配置。

    image

  4. 添加成功之後,可以在Bucket 授權策略頁簽中看到授權資訊。

    image

CDN配置CNAME後回源失敗如何排查?

為加速網域名稱添加CNAME記錄後,如果CDN節點回源失敗,通常由DNS解析異常、來源站點配置問題或CDN回源參數設定不當導致,可按以下步驟排查:

  1. 驗證CNAME解析是否生效

    執行ping 加速網域名稱nslookup 加速網域名稱,如果返回結果包含.*.kunlun*.com,則說明CNAME解析已生效。如果解析結果仍為來源站點IP或未解析成功,請檢查DNS記錄配置是否正確。

  2. 檢查CNAME記錄類型和衝突

    CNAME記錄的類型必須為CNAME,如果配置為其他記錄類型會導致解析失敗。同一主機記錄不能同時存在CNAME記錄和其他類型的記錄,需要刪除衝突記錄後重新設定。

  3. 驗證來源站點可達性

    使用curl -I http://來源站點IP或網域名稱檢查來源站點是否能夠正常響應,確保來源站點服務正常運行且可被外部存取。

  4. 檢查來源站點回源IP白名單

    CDN節點使用特定IP段進行回源。如果來源站點配置了IP白名單或防火牆規則,需要將CDN回源IP段加入白名單,否則CDN回源請求會被來源站點拒絕。

  5. 檢查回源協議和連接埠配置

    確認CDN配置的回源協議(HTTP或HTTPS)與來源站點支援的協議一致,回源連接埠與來源站點實際監聽連接埠匹配。如果來源站點使用HTTPS且使用非標準連接埠,需要在CDN中配置自訂回源連接埠。

CDN加速網域名稱回應標頭顯示Server為AliyunOSS是否正常?

不正常。這說明請求未命中CDN節點,而是直接存取了OSS來源站點。請檢查並修正DNS解析配置,確保網域名稱只解析到CDN提供的CNAME記錄。

CDN回源返回5XX錯誤時,後續訪問是返回錯誤頁面還是重新向來源站點請求?

CDN預設不會緩衝5XX狀態代碼的請求。因此,再次發起請求時,CDN會重新向來源站點發起請求,而不是直接返回之前的錯誤頁面。