最近帮朋友排查了一起 CDN 回源失败的问题折腾了一上午才定位到原因今天把过程分享出来给大家避避坑。问题现象很简单用户访问网站时静态资源加载失败页面报 502 Bad GatewayCDN 后台显示大量回源失败请求。一开始怀疑是源站挂了但直接访问源站 IP页面是能正常打开的排除了源站宕机的可能。接着排查了几个常见点回源端口80/443 都是通的telnet 测试没问题证书配置HTTPS 证书是正常的没有过期或域名不匹配防火墙 / 安全组朋友说 “已经全放通了”我一开始也没太在意回源域名配置核对了一遍也没问题。折腾了半天没进展最后还是在源站的防火墙日志里找到了线索大量来自 CDN 节点 IP 的请求被拦截了。原来朋友的安全组里虽然开了端口但设置了 IP 白名单只放通了他自己的办公 IPCDN 节点的 IP 段根本不在白名单里所以回源请求直接被拒绝了。这个问题说起来简单但很容易被忽略尤其是当你以为 “已经放通了” 的时候。这里给大家提几个排查建议一定要确认 CDN 节点的 IP 段在源站防火墙 / 安全组的白名单里很多服务商的 IP 段是会更新的回源超时的情况别只看网络通不通还要看源站的 CPU、带宽负载高峰期也可能导致超时用 curl 命令模拟 CDN 节点的回源请求带上对应的 Host 头能更贴近真实场景查看 CDN 服务商提供的回源日志状态码和错误信息会直接指向问题点。这次踩坑让我意识到很多时候不是技术有多复杂而是细节没注意到。如果你也碰到类似问题不妨按这个思路排查一下。