在对大多数 5XX 错误进行故障排除时,正确的做法是首先与托管服务提供商或站点管理员联系,以进行故障排除并收集数据。
托管服务提供商所需的错误详细信息
联系您的托管服务提供商时,请向他们提供以下信息:
特定的 5XX 错误代码和消息。
发生 5XX 错误的时间和时区。
导致 HTTP 5XX 错误的 URL(例如:)。
在源站错误日志中并不总是能找到错误原因。检查 Cloudflare 和源 Web 服务器之间的所有负载均衡器、缓存、代理或防火墙的日志。
下面的每个错误描述中列出了要提供给托管服务提供商或站点管理员的其他详细信息。Cloudflare 自定义错误页面更改了本文中讨论的默认错误页面的外观。
错误分析
Zone Analytics 中提供了每个域的错误分析。Error Analytics 允许通过 HTTP 错误代码洞察整体错误,并提供诊断和解决问题所需的 URL、源 IP 地址和 Cloudflare 数据中心。错误分析基于 1% 的流量样本。
要查看错误分析,请执行以下操作:
登录到 Cloudflare 仪表板。
单击适合您站点的 Cloudflare 帐户,然后选择域。
接下来,单击“分析和日志”应用图标。
单击添加过滤器,选择 Edge 状态代码或源状态代码,然后选择要诊断的任何 5xx 错误代码。
错误 500:内部服务器错误
错误 500 通常表示源 Web 服务器存在问题。建立数据库连接时出错是源 Web 服务器生成的常见 HTTP 500 错误消息。请与您的托管服务提供商联系以解决。
分辨率
向托管服务提供商提供详细信息,以帮助解决问题。
但是,如果 500 错误在 HTML 响应正文中包含“cloudflare”或“cloudflare-nginx”,请向 Cloudflare 支持提供以下信息:
您的域名
发生 500 错误的时间和时区
从浏览器中观察到 500 错误的输出(替换为您的实际域和主机名)www.example.com/cdn-cgi/tracewww.example.com
如果您在访问网站时发现空白页或白页,请确认 临时暂停时是否出现问题 Cloudflare 并联系您的托管服务提供商寻求帮助。
错误 502 网关错误或错误 504 网关超时
当 Cloudflare 无法与您的源 Web 服务器建立联系时,会发生 HTTP 502 或 504 错误。
有两种可能的原因:
(最常见原因)502/504 来自源 Web 服务器
Cloudflare 的 502/504
502/504 来自源 Web 服务器
当您的源 Web 服务器响应标准 HTTP 502 错误网关或 504 网关超时错误时,Cloudflare 会返回 Cloudflare 品牌的 HTTP 502 或 504 错误:
分辨率
请与您的托管服务提供商联系,以解决源 Web 服务器上的以下常见原因:
确保源服务器响应生成 502 或 504 错误的访客 URL 中的主机名和域请求。
调查服务器负载过多、崩溃或网络故障。
识别超时或被阻止的应用程序或服务。
Cloudflare 的 502/504
源自 Cloudflare 的 502 或 504 错误如下所示:
如果错误未提及,请联系您的托管服务提供商,以获取有关来自您的来源的 502/504 错误的帮助。cloudflare
如果源服务器出现压缩问题,例如源服务器正在提供 gzip 编码的压缩内容但未更新标头,或者源服务器正在提供损坏的 gzip 压缩内容,则可能会返回此错误。 您可以尝试在源处禁用压缩,以确认这是否是错误的根本原因。content-length
否则,在某些情况下,给定的数据中心可能会观察到流量突然增加。 在这些情况下,我们的自动化流程会将流量从该位置转移到不同的数据中心,确保不会对我们的客户造成影响。 这些流量调整大多是无缝的,只需几秒钟。 不过,在此自动化过程中,某些客户端可能会观察到增加的延迟和 HTTP 502 错误。 您可以找到有关我们的自动流量管理工具的更多信息在这篇博文中打开外部链接.
分辨率
如果您仍需要我们的支持团队帮助您进一步调查,请向 Cloudflare 支持提供以下必需的详细信息,以避免延迟处理您的查询:
发生问题的时间和时区。
导致 HTTP 502 或 504 响应的 URL(例如:)。https://www.example.com/images/icons/image1.png
从浏览到 的输出。<YOUR_DOMAIN>/cdn-cgi/trace
错误 503:服务暂时不可用
当您的源 Web 服务器过载时,会出现 HTTP 错误 503。通过错误消息可以辨别出两种可能的原因:
Error 不包含 或 在 HTML 响应正文中。cloudflarecloudflare-nginx
解决方法:请与您的托管服务提供商联系,以验证他们是否对源 Web 服务器的请求进行速率限制。
错误包含 或 在 HTML 响应正文中。cloudflarecloudflare-nginx
解决方法:Cloudflare 数据中心出现连接问题。向 Cloudflare 支持提供以下信息:
您的域名
503 错误发生的时间和时区
从观察到 503 错误的浏览器输出(替换为您的实际域和主机名)www.example.com/cdn-cgi/tracewww.example.com
错误 520:Web 服务器返回未知错误
当源服务器向 Cloudflare 返回空的、未知的或意外的响应时,会发生错误 520。
分辨率
在进一步调查 520 错误时,一个快速的解决方法是 在 Cloudflare DNS 应用程序中记录仅限 DNS,或暂时暂停 Cloudflare。
请与托管服务提供商或站点管理员联系,并请求查看源 Web 服务器错误日志中的崩溃情况,并检查以下常见原因:
源站 Web 服务器应用程序崩溃
Cloudflare IP打开外部链接不允许在您的原产地
标头超过 16 KB(通常是由于 Cookie 过多)
来自源 Web 服务器的空响应,缺少 HTTP 状态代码或响应正文
缺少响应标头或源 Web 服务器未返回 正确的 HTTP 错误响应打开外部链接.
upstream prematurely closed connection while reading response header from upstream是我们可能会在日志中注意到的常见错误。这表明源 Web 服务器存在问题,导致 Cloudflare 生成 520 个错误。
520 错误在某些 PHP 应用程序中很普遍,这些应用程序会使 源 Web 服务器。
如果您的源 Web 服务器启用了 HTTP/2,请检查并确保 HTTP/2 配置正确。 Cloudflare 连接到宣布支持 HTTP/2 连接的服务器阿尔普恩打开外部链接. 如果源 Web 服务器接受 HTTP/2 连接,但随后不遵守或不支持该协议,则将返回 HTTP 错误 520。 您可以在 Cloudflare 仪表板上的“速度”-“>优化”-“>协议优化”下禁用“HTTP/2 到源”设置,并进一步检查您的源 Web 服务器配置。
如果在联系您的托管服务提供商或站点管理员后仍然存在 520 错误,请向 Cloudflare 支持提供以下信息:
发生错误时请求的资源的完整 URL
Cloudflare cf-ray from the 520 错误消息
输出自http://<YOUR_DOMAIN>/cdn-cgi/trace
两个 HAR 文件:
一个在您的网站上启用了 Cloudflare,并且
另一个暂时禁用了 Cloudflare。
错误 521:Web 服务器已关闭
当源 Web 服务器拒绝来自 Cloudflare 的连接时,会发生错误 521。您的来源安全解决方案可能会阻止来自某些的合法连接 Cloudflare IP 地址打开外部链接.
521 错误的两个最常见原因是:
脱机源站 Web 服务器应用程序
阻止的 Cloudflare 请求
分辨率
请与网站管理员或托管服务提供商联系,以消除以下常见原因:
确保您的源 Web 服务器具有响应性
查看源 Web 服务器错误日志以识别 Web 服务器应用程序崩溃或中断。
确认 Cloudflare IP 地址打开外部链接未被阻止或速率受限
允许全部 Cloudflare IP 范围打开外部链接在源站Web服务器的防火墙或其他安全软件中
确认 — 如果您已将 SSL/TLS 模式设置为完全或完全 (严格) — 您已安装 Cloudflare 源证书
查找有关 Cloudflare 社区打开外部链接.
错误 522:连接超时
当 Cloudflare 超时联系源 Web 服务器时,会出现错误 522。两种不同的超时会导致 HTTP 错误 522,具体取决于它们在 Cloudflare 和源 Web 服务器之间发生的时间:
在建立连接之前,源 Web 服务器不会在 Cloudflare 发送 SYN 后的 15 秒内向 Cloudflare 返回 SYN+ACK。
建立连接后,源 Web 服务器不会在 90 秒内确认 (ACK) Cloudflare 的资源请求。
分辨率
请与您的托管服务提供商联系,以检查源 Web 服务器的以下常见原因:
(最常见原因) Cloudflare IP 地址打开外部链接在 .htaccess、iptables 或防火墙中受到速率限制或阻止。确认您的托管服务提供商允许 Cloudflare IP 地址。
重载或脱机的源 Web 服务器会丢弃传入请求。
Keepalives(英语:Keepalives)打开外部链接在源 Web 服务器上禁用。
Cloudflare DNS 应用程序中的源 IP 地址与托管服务提供商当前配置到源 Web 服务器的 IP 地址不匹配。
数据包已丢弃在源 Web 服务器上。
如果您使用的是 Cloudflare Pages,请确认您设置了自定义域,并且您的 CNAME 记录是否指向您的自定义 Pages 域。
如果上述情况都无法解决问题,请在联系 Cloudflare 支持之前向您的托管服务提供商或站点管理员索取以下信息:
从源 Web 服务器到 Cloudflare IP 地址打开外部链接在问题发生之前,最常连接到您的源 Web 服务器。识别源 Web 服务器日志中记录的连接 Cloudflare IP。
来自托管服务提供商调查的详细信息,例如相关日志或与托管服务提供商的对话。
错误 523:无法访问源
当 Cloudflare 无法联系您的源 Web 服务器时,会发生错误 523。当 Cloudflare 和源 Web 服务器之间的网络设备没有指向源 IP 地址的路由时,通常会发生这种情况。
解决方法 请与您的托管服务提供商联系,以排除源 Web 服务器的以下常见原因:
确认 Cloudflare DNS 应用程序中 A 或 AAAA 记录的源 IP 地址正确无误。
解决源与 Cloudflare 之间或源本身之间的 Internet 路由问题。
如果上述情况都无法解决问题,请向托管服务提供商或站点管理员请求以下信息:
从源 Web 服务器到 Cloudflare IP 地址打开外部链接在问题发生之前,最常连接到您的源 Web 服务器。从源 Web 服务器的日志中识别连接的 Cloudflare IP。
错误 524:发生超时
错误 524 通常表示 Cloudflare 已成功连接到源 Web 服务器,但源服务器在默认的 100 秒代理读取超时之前未提供 HTTP 响应。如果源服务器花费的时间太长,因为它有太多的工作要做 - 例如,大型数据查询,或者因为服务器正在为资源而苦苦挣扎并且无法及时返回任何数据,则可能会发生这种情况。
错误 524 还可能表示 Cloudflare 成功连接到源 Web 服务器以写入数据,但在 30 秒代理写入超时之前未完成写入。
如果源 Web 服务器出现,则会出现 524 在连接完成后确认 (ACK) 资源请求 已建立,但没有及时发送响应。
分辨率
以下是我们建议解决此问题的选项:
实现大型 HTTP 进程的状态轮询,以避免出现此错误。
请与您的托管服务提供商联系,以排除源 Web 服务器的以下常见原因:
源站 Web 服务器上长时间运行的进程。
重载的源 Web 服务器。
在源 Web 服务器上记录请求响应时间有助于识别 资源缓慢的原因。请与托管服务提供商或网站联系 管理员在调整日志格式或搜索 您的 Web 服务器品牌的相关日志记录文档,例如阿帕奇打开外部链接或Nginx的打开外部链接.
企业客户可以使用proxy_read_timeout API 端点打开 API 文档链接.如果您的内容可以缓存,您也可以选择使用缓存规则,并在 Cloudflare 控制面板中选择该设置。Proxy Read Timeout
如果超时发生在写入请求上,则无法调整 30 秒的代理写入超时。
如果您经常运行需要 100 秒以上才能完成的 HTTP 请求(例如大型数据导出),请将这些进程移动到 Cloudflare DNS 应用程序中未代理的子域(灰色云)后面。
请注意,您可能会发现您设置的超时与返回错误 524 的实际时间之间存在 1 秒的差异。 这是意料之中的,这是由于当前的实施工作Pingora,我们的新代理打开外部链接. 作为解决方法,您可以简单地将超时设置为 1 秒(例如,121 秒而不是 120 秒)。
错误 525:SSL 握手失败
525 错误表示 Cloudflare 与源 Web 服务器之间的 SSL 握手失败。当满足以下两个条件时,将发生错误 525:
这 SSL握手打开外部链接Cloudflare 和源 Web 服务器之间发生故障,并且
完全或完全(严格)SSL 在 Cloudflare SSL/TLS 应用程序的“概述”选项卡中设置。
如果您的托管服务提供商经常更改您的源 Web 服务器的 IP 地址,请参阅 Cloudflare 关于动态 DNS 的文档 更新。
分辨率
请与您的托管服务提供商联系,以排除源 Web 服务器的以下常见原因:
未安装有效的SSL证书
端口 443(或其他自定义安全端口)未打开
不SNI公司支持
Cloudflare 向源提供的密码套件与源 Web 服务器支持的密码套件不匹配
如果间歇性发生 525 错误,请查看源站 Web 错误 日志以确定原因。将 Apache 配置为日志mod_ssl 错误打开外部链接. 此外,nginx 在其标准错误日志中包含 SSL 错误,但可能 可能需要日志增加 水平打开外部链接.
其他检查
检查源服务器上是否安装了证书。您可以查看此文章,了解有关如何运行某些测试的更多详细信息。如果您没有任何证书,您可以创建并安装我们的免费 Cloudflare 源 CA 证书。使用源 CA 证书可以加密 Cloudflare 和源 Web 服务器之间的流量。
查看您的服务器正在使用的密码套件,以确保它们与 Cloudflare 支持的套件相匹配。
根据您看到的时间戳 525 检查服务器的错误日志,以确保存在可能导致在 SSL 握手期间重置连接的错误。
错误 526:SSL 证书无效
错误 526
当满足以下两个条件时,将发生错误 526:
Cloudflare 无法验证源 Web 服务器上的 SSL 证书,并且
完整 SSL(严格) SSL 在 Cloudflare SSL/TLS 应用程序的“概述”选项卡中设置。
分辨率
为了获得可能的快速修复,请将 SSL 设置为“完全”而不是“完全” (严格)在 Cloudflare SSL/TLS 应用程序的“概述”选项卡中 域。
请求服务器管理员或托管提供商查看源 Web 服务器的 SSL 证书,并验证:
证书未过期
证书未被吊销
证书由 证书颁发机构打开外部链接(非自签名)
请求的域名或目标域名和主机名位于证书的“公用名”或“使用者备用名称”中
您的源 Web 服务器接受通过端口 SSL 端口 443 进行的连接
暂时暂停 Cloudflare 并访问 https://www.sslshopper.com/ssl-checker.html#hostname=www.example.com打开外部链接(替换为您的主机名和域)以验证源 SSL 证书是否存在问题:www.example.com
如果源站使用自签名证书,请将域配置为使用全 SSL,而不是全 SSL(严格)。请参阅针对您的源的推荐 SSL 设置。
零信任上下文中的错误 526
使用 Cloudflare Gateway 时,在以下情况下可能会返回 HTTP 错误 526:
从源到网关提供不受信任的证书。如果满足以下任一条件,网关将认为证书不受信任:
服务器证书颁发者未知或不受服务信任。
服务器证书被吊销,并且未通过 CRL 检查。
服务器证书的证书链中至少有一个过期的证书。
证书上的公用名与您尝试访问的 URL 不匹配。
证书上的公用名包含无效字符(如下划线)。网关用途无聊SSL打开外部链接验证证书。Chrome的验证逻辑打开外部链接允许不符合 RFC 1305 的证书,这就是为什么当您关闭 WARP 时网站可能会加载的原因。
从网关到源的连接不安全。网关不信任以下源:
仅提供不安全的密码套件(例如 RC4、RC4-MD5 或 3DES)。您可以使用SSL 服务器测试工具打开外部链接检查源支持哪些密码。
不支持符合 FIPS 的密码(如果已启用 FIPS 合规性模式)。要加载页面,您可以禁用 FIPS 模式或为此主机创建“不检查”策略(这会禁用此源的 FIPS 合规性)。
将所有 HTTPS 请求重定向到 HTTP。
Workers 上下文中的错误 526
对 Cloudflare 区域之外任何未由 Cloudflare 代理的主机名发出的 Workers 子请求始终使用完全(严格)SSL 模式发出,即使 Workers 区域是以其他方式配置的。
因此,源处需要有效的 SSL 证书。
错误 530
返回 HTTP 错误 530,并显示随附的 1XXX 错误。搜索特定的 1XXX 错误以获取故障排除信息。
在中国启用负载均衡将导致错误。530
