蓝易云CDN:高防cdn用法

高防CDN的“用法”，本质是把你的域名业务做成一条可控的流量入口：正常用户走加速与缓存，异常流量在边缘被清洗、限速、拦截，源站只负责“产出内容”。下面按落地顺序给你一套可直接照做的打法 ✅🙂

1）接入前准备：先把“源站可控性”做扎实

你需要明确三件事：

• 源站信息：IP/端口/协议（HTTP或HTTPS）、回源Host、是否支持WebSocket/HTTP/3
• 证书：HTTPS证书（或由平台托管）
• 源站保护目标：做到源站不对公网裸奔（至少后续要能限制只允许CDN回源）

2）控制台接入：域名 → 回源 → 策略三步走

1. 添加站点：填写域名、选择回源方式（IP/源站域名）
2. 选择加速：静态资源（图片/CSS/JS）优先缓存；动态接口设置“不缓存或短缓存”
3. 开启防护：DDoS清洗 + CC策略 + 基础WAF（按业务逐步加严，不要一上来“全拦”）

3）最关键的策略：缓存与防护要“分层治理”

图片站/下载站常见坑是：攻击流量打在“可缓存资源”上，导致带宽飙升。你的策略要做到：

• 静态资源：长缓存 + 命中率优先（减少回源）
• 动态接口：严格限速 + 规则更细（减少并发拖垮源站）
• 异常行为：在边缘直接处置（返回4xx/挑战/限速），别让它回源

4）建议直接照抄的“原理解释表”（Classic Editor可用）

5）接入后自检：用命令把链路“验收”掉（每条命令都解释）

A. 验证DNS是否已切到CDN

dig +short 你的域名

解释：输出的IP应为CDN节点（或平台给你的解析结果）。如果还是源站IP，说明解析没生效或本地DNS缓存未刷新。

nslookup 你的域名

解释：用于快速确认“当前解析到哪里”，同时能看到使用的是哪个DNS服务器，便于排查“只有部分地区没生效”的情况。

B. 验证访问是否命中CDN缓存（看响应头）

curl -I https://你的域名/某个图片.jpg

解释：-I只取响应头。你要关注是否存在缓存命中标识（不同平台字段不同），以及是否是200/304等正常状态；若每次都回源，命中率会很难看，带宽也容易被拉爆。

C. 测试链路耗时：定位慢在“连接/回包/总耗时”哪一步

curl -o /dev/null -s -w 'connect=%{time_connect} starttransfer=%{time_starttransfer} total=%{time_total}\n' https://你的域名/

解释：

• time_connect：握手建连耗时（网络层/节点质量）
• time_starttransfer：首包时间（回源、计算、队列拥塞都会影响）
• time_total：总耗时（包含下载传输）
  如果首包高，优先查回源慢/源站忙/CC排队。

D. 源站侧快速看“是不是被打爆/被慢请求拖死”

tail -f /var/log/nginx/access.log

解释：实时观察源站是否出现异常激增、特定URL被刷、响应码大量异常（例如499/5xx）。一旦源站日志“突然暴涨”，多半是回源压力或绕过访问。

6）两条“铁律”，能直接减少80%的事故

• 铁律1：把静态与动态分策略，别用一套规则管天下。否则要么误伤用户，要么防不住攻击。
• 铁律2：务必做源站访问收口（只允许CDN回源）。不收口就等于“门口装了防盗门，窗户却敞开”。

如果你告诉我：你的业务是“图片站/下载站/接口站/混合站”、是否开HTTP/3、以及最常见的异常状态码（比如499、502、504），我可以把“缓存规则 + CC阈值 + 源站收口方案”按你业务直接给到可落地的一套配置建议。