高防 CDN 节点切换引发业务中断时,核心应急方案是修改 DNS 解析绕过 CDN 直连源站。需注意,这并非在 CDN 控制台配置“回源规则”,而是临时将域名解析指向源站 IP,操作前务必评估源站抗攻击能力。
核心方案:紧急情况下通过修改 DNS 记录或本地 hosts 绕过 CDN 直连源站,但需确保源站具备独立防护能力。
- 适用场景:CDN 节点大面积故障且无法快速修复,业务急需恢复
- 前置准备:确认源站真实 IP、备份当前 DNS 记录、检查源站防火墙策略
- 验收标准:业务访问恢复正常,源站未遭受直接攻击,监控指标无异常
第一步:源站可达性验证
在修改全局 DNS 前,必须在本地验证源站 IP 是否存活且服务正常。使用 curl 命令模拟请求,携带 Host 头以避免源站虚拟主机配置错误:
curl -v -H "Host: www.example.com" http://<源站 IP>
若返回 200 OK 且内容正常,说明源站服务可用。若连接超时或拒绝,需先排查源站安全组或服务状态。
第二步:DNS 解析切换实操
登录 DNS 服务商控制台(如阿里云云解析、腾讯云 DNSPod),按以下步骤操作:
- 找到故障域名对应的解析记录列表。
- 定位类型为 CNAME 的记录(通常指向 CDN 厂商提供的域名)。
- 点击修改,将记录类型改为 A 记录。
- 记录值填写源站真实 IP 地址,TTL 建议设置为最小值(如 60 秒)以便后续快速回切。
- 保存生效,并使用
nslookup www.example.com确认解析已变更。
注意:全局 DNS 生效受本地缓存及运营商递归 DNS 缓存影响,完全生效可能需要几分钟到几小时。
第三步:源站紧急防护配置
直连源站会暴露真实 IP,若源站原本依赖 CDN 防护,此时极易遭受 DDoS 攻击。务必立即检查云服务器安全组:
- 入方向规则:仅放行业务必要端口(如 80/443),禁止 ICMP(Ping)及其他管理端口对外公开。
- IP 白名单:若业务允许,建议仅放行已知办公 IP 或上游信任 IP。
- 独立 WAF:若源站无防护,建议临时接入云厂商提供的独立 WAF 实例。
第四步:生效验证与监控
切换后需确认流量不再经过 CDN。使用 curl 查看响应头:
curl -I http://www.example.com
检查 Server 或 Via 字段,若显示源站标识(如 Nginx/Apache)而非 CDN 厂商标识,说明切换成功。同时密切监控源站带宽、CPU 及连接数,防止流量激增导致源站过载。
常见风险与回切建议
1. IP 暴露风险:一旦源站 IP 暴露,后续即便切回 CDN,攻击者仍可能直接攻击源站。业务稳定后建议更换源站 IP。
2. SSL 证书问题:直连源站时,确保证书链完整且未绑定 CDN 特定域名,避免 HTTPS 握手失败。
3. 回切操作:待 CDN 节点稳定后,将 DNS 记录改回 CNAME 类型,并观察业务日志确认错误率下降。
4. 控制台操作误区:不建议直接在 CDN 控制台“禁用域名”,这可能导致配置丢失。优先通过 DNS 切换流量,CDN 控制台仅用于查看节点健康状态。