回源指您通過用戶端請求訪問資源時,如果CDN節點上未緩衝該資源,或者您部署預熱任務給CDN節點時,CDN節點會回來源站點擷取資源。本文為您介紹關於回源的常見問題。
配置回源協議為HTTPS後,無法訪問網站,提示502報錯時如何解決?
檢查來源站點是否支援HTTPS訪問:在瀏覽器中直接使用
https://來源站點網域名稱訪問,確認來源站點能否正常響應。如果來源站點不支援HTTPS,請將回源協議改為HTTP。檢查回源連接埠是否與來源站點HTTPS監聽連接埠一致:預設回源連接埠為443,如果來源站點使用自訂HTTPS連接埠,請在静态协议跟随回源對話方塊中配置對應的HTTPS連接埠(1~65535)。
檢查回源HOST和回源SNI配置:如果來源站點IP綁定了多個網域名稱,請配置回源SNI指明所請求的具體網域名稱,同時將回源HOST設定為來源站點網域名稱。
檢查來源站點SSL認證有效性:如果來源站點SSL認證已到期或認證與網域名稱不匹配,CDN節點校正失敗會返回502錯誤。請更新來源站點SSL認證。
更詳細的排查指南請參考配置回源協議文檔的「常見問題」章節。
來源站點配置HTTP到HTTPS跳轉後,CDN回源出現重新導向迴圈如何解決?
問題現象:網站訪問出現"重新導向次數過多"或"ERR_TOO_MANY_REDIRECTS"錯誤。
原因:來源站點配置了HTTP到HTTPS的強制跳轉(返回301),而CDN使用HTTP協議回源。CDN收到301響應後再次以HTTP回源,形成無限重新導向迴圈。
解決方案:
將CDN回源連接埠修改為443,回源通訊協定設定為HTTPS。
如果來源站點有多網域名稱監聽,同時配置回源SNI和回源HOST為加速網域名稱或來源站點網域名稱。
執行重新導向次數過多的解決方案中的緩衝清理步驟。
CDN通過IP回源至配置了SSL認證且80重新導向到443的負載平衡(CLB)時,是否會有認證問題或影響?
若CDN回源使用CLB公網IP且CLB配置了80重新導向到443,建議將CDN的回源協議設為HTTP(回源到CLB的80連接埠),以避免認證校正問題。若必須使用HTTPS回源,需確保開啟回源SNI並配置認證Common Name白名單,否則可能因SNI缺失或認證網域名稱不匹配導致校正失敗。
Common Name白名單校正的是什嗎?
發生回源時,將校正CDN節點回源請求中SNI和來源站點返回認證的CommonName值,兩者需一致方可成功回源。
如果您未修改回源SNI,CDN節點回源請求攜帶的Host值預設是加速網域名稱,所以校正的是加速網域名稱的認證的Common Name。
如何在HTTPS回源時配置自訂連接埠?
登入CDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,找到目標網域名稱,單擊操作列的管理。
在指定網域名稱的左側導覽列,單擊回源配置。
在回源协议地區,開啟回源协议開關。
單擊修改配置。
根據需要配置自訂連接埠即可。
CDN配置開啟HTTPS功能後回源時使用的協議是HTTP還是HTTPS?
在CDN上配置HTTPS認證與回源協議無關,預設情況下回源協議以配置來源站點中設定的回源連接埠為準:
回源連接埠設定為443:以HTTPS協議回源。
回源連接埠設定為80或其他:以HTTP協議回源。
如果您需要指定回源協議,可根據需要配置回源協議。
加速網域名稱啟用CDN後,來源站點80連接埠仍在監聽,是否需要保留?關閉後會不會影響CDN服務?
關閉來源站點80連接埠前,請確認以下兩點:
該加速網域名稱的回源協議已設定為HTTPS(使用443連接埠)。
來源站點上無其他業務進程或服務依賴80連接埠(如Web伺服器、HTTP跳轉等)。
如果回源協議仍為HTTP或"跟隨用戶端",關閉80連接埠將導致CDN回源失敗。您可以在域名管理 >目標加速網域名稱> 回源配置中確認當前回源協議。
配置回源協議為「跟隨」時,來源站點不支援HTTPS導致訪問失敗如何處理?
原因:回源通訊協定設定為「跟隨」時,用戶端使用HTTPS訪問CDN,CDN會以HTTPS協議回源。如果來源站點不支援HTTPS,回源請求失敗。
解決方案:
方式一:將回源協議從「跟隨」改為「HTTP」,CDN始終以HTTP協議回源。
方式二:為來源站點配置SSL認證,確保來源站點支援HTTPS訪問。
詳細說明請參考配置回源協議文檔。
CDN訪問OSS資源提示You have no right to access this object because of bucket acl.錯誤如何解決?
OSS的Bucket被配置為私人模式(可以起到訪問鑒權的作用,避免非授權的請求盜刷流量),該情況下需要給加速網域名稱開啟OSS私人Bucket回源功能,可以解決該報錯,實現CDN加速OSS私人Bucket資源。
CDN訪問OSS資源提示This request is forbidden by kms.錯誤如何解決?
如果您的OSS Bucket中使用了Key Management Service(Key Management Service)進行加密,您需要為CDN的回源角色額外授予使用KMS密鑰的許可權,否則CDN將無法解密和訪問這些檔案,出現This request is forbidden by kms.報錯。
如何使用STS實現跨帳號回源OSS私人Bucket?
預設情況下,CDN使用STS臨時安全性權杖的方式,只支援回源到同一個帳號下的OSS私人Bucket,如果您期望使用STS臨時安全性權杖實現跨帳號回源OSS私人Bucket,可以在OSS上添加Bucket授權策略來實現,配置方式如下:
登入私人Bucket所在的阿里雲帳號,進入OSS控制台。
依次單擊Bucket 列表 > 目標Bucket。在許可權控制 > Bucket 授權策略頁簽中單擊新增授權。

授權用戶選擇其他帳號,根據 CDN 回源 OSS 時使用的授權方式,在授權帳號中填寫對應格式的 ARN:
直接 STS 授權:填寫
arn:sts:uid,其中uid為 CDN 所在帳號的帳號ID。扮演角色(AssumeRole):填寫
arn:sts::{CDN帳號uID}:assumed-role/{CDN帳號角色role_name}/*,其中{CDN帳號uID}為 CDN 所在帳號的帳號 ID,{CDN帳號角色role_name}為 CDN 帳號扮演的角色名稱。若 CDN 通過扮演角色方式回源 OSS,必須使用此格式,否則會報 403 錯誤。
授權操作選擇簡單設定 > 唯讀(不包含ListObject操作),隨後單擊確定完成配置。

添加成功之後,可以在Bucket 授權策略頁簽中看到授權資訊。

CDN配置CNAME後回源失敗如何排查?
為加速網域名稱添加CNAME記錄後,如果CDN節點回源失敗,通常由DNS解析異常、來源站點配置問題或CDN回源參數設定不當導致,可按以下步驟排查:
驗證CNAME解析是否生效
執行
ping 加速網域名稱或nslookup 加速網域名稱,如果返回結果包含.*.kunlun*.com,則說明CNAME解析已生效。如果解析結果仍為來源站點IP或未解析成功,請檢查DNS記錄配置是否正確。檢查CNAME記錄類型和衝突
CNAME記錄的類型必須為CNAME,如果配置為其他記錄類型會導致解析失敗。同一主機記錄不能同時存在CNAME記錄和其他類型的記錄,需要刪除衝突記錄後重新設定。
驗證來源站點可達性
使用
curl -I http://來源站點IP或網域名稱檢查來源站點是否能夠正常響應,確保來源站點服務正常運行且可被外部存取。檢查來源站點回源IP白名單
CDN節點使用特定IP段進行回源。如果來源站點配置了IP白名單或防火牆規則,需要將CDN回源IP段加入白名單,否則CDN回源請求會被來源站點拒絕。
檢查回源協議和連接埠配置
確認CDN配置的回源協議(HTTP或HTTPS)與來源站點支援的協議一致,回源連接埠與來源站點實際監聽連接埠匹配。如果來源站點使用HTTPS且使用非標準連接埠,需要在CDN中配置自訂回源連接埠。
CDN加速網域名稱回應標頭顯示Server為AliyunOSS是否正常?
不正常。這說明請求未命中CDN節點,而是直接存取了OSS來源站點。請檢查並修正DNS解析配置,確保網域名稱只解析到CDN提供的CNAME記錄。
CDN回源返回5XX錯誤時,後續訪問是返回錯誤頁面還是重新向來源站點請求?
CDN預設不會緩衝5XX狀態代碼的請求。因此,再次發起請求時,CDN會重新向來源站點發起請求,而不是直接返回之前的錯誤頁面。