阿里云镜像回源异常解决指南（424报错）

## 前言

宝塔在商业化的进程中渐行渐远，存在诸多问题，如强制收集手机号、部署速度极慢、响应迟缓、UI 界面陈旧，且 BUG 层出不穷。甚至连宝塔官方自己的 demo 都惨遭黑客攻击，如今，我已难以看到宝塔的任何优势。

因此，我从宝塔切换至 1panel，摆脱了宝塔。::aru:despise::

1Panel，作为一款新兴的开源运维面板，在 GitHub 上的 star 数量呈现出断崖式上升的态势，同时频繁发布新的版本（releases）。这无疑是对其卓越实用性的最佳证明。

在这个属于 Docker 的时代，当我使用 1panel 面板时，也遭遇了不少难题。比如，在完成所有数据迁移后，出现了 424 无法访问资源的问题。

[scode type="blue" size=""] 此处仅记录我在遇到该问题时回源失败的原因。[/scode]

## 问题描述

控制台 CDN 报错 424，存储桶镜像回源提示 MirrorFailed，Error status : 502 from mirror host, should return 200 OK. 但浏览器却可以正常访问源站。

## 解决过程

首先，我查询了 424 报错的含义，基本可以确定是源站的问题。

[collapse status="false" title="424错误"]

**Mirroring failed, please check your mirror configuration**

* 问题原因：配置的回源地址无法访问、回源地址不存在请求的文件等。
* 解决方案：请参见[概述](https://www.alibabacloud.com/help/zh/oss/back-to-origin-rules-overview#concept-ukn-3tf-vdb)排查回源地址是否有效

---

**Read body from mirror host failed, please check your mirror host**

* 问题原因：无法从镜像源站读取数据。
* 解决方案：请检查是否能正常访问镜像回源地址中的文件。

---

**Bytes read is not equal to expected**

* 问题原因：从镜像源站读取的数据缺失或无效。
* 解决方案：请检查源站是否能向OSS正常发送数据。

---

**MD5 in header() is not equal to MD5 calculated**

* 问题原因：回源文件的MD5值与Content-MD5值不匹配，OSS不保存回源文件。
* 解决方案：请检查是否因源站服务和网络通讯异常，导致了回源文件的MD5值与Content-MD5值不匹配。

---

**The object you specified already exists and can not be overwritten**

* 问题原因：文件已存在且不可被覆盖。
* 解决方案：不支持覆盖同名文件。请通过[GetBucket (ListObjects)](https://www.alibabacloud.com/help/zh/oss/developer-reference/listobjects#reference-iwr-xlv-tdb)检查已存在的文件。

---

**The object you specified is immutable**

* 问题原因：Bucket处于被保护状态时，无法向该Bucket写入文件。
* 解决方案：确保回源文件写入的Bucket未处于合规保留策略的保护状态。请通过[GetBucketWorm](https://www.alibabacloud.com/help/zh/oss/developer-reference/getbucketworm#reference-2537016)获取Bucket的保护状态。

---

**Meta is too large**

* 问题原因：用户自定义元数据超出限值。
* 解决方案：一个Object可以有多个自定义元数据，但所有的自定义元数据总大小不能超过8 KB。

---

**Mirror request is rejected by QoS**

* 问题原因：每秒请求数QPS（Query Per Second）超出限值。
* 解决方案：对于镜像回源，中国各地域默认QPS为2000、流量为2 Gbit/s；海外各地域默认QPS为1000、流量为1 Gbit/s。如您的业务有更大的QPS需求，请联系技术支持。

---

**Error status : 0 from mirror host, should return 200 OK**

* 问题原因：源站拒绝了回源请求。
* 解决方案：关闭源站防火墙或宝塔的拦截策略。

[/collapse]

由于在将运维面板切换为 1panel 后就无法访问资源，我的思考方向基本指向了源站。

可能的原因只有这个了 ——“Error status : 0 from mirror host, should return 200 OK”，即源站的**拦截策略设置**存在问题。

我逐步关闭了 1panel 面板的所有防火墙，但问题**依旧存在**。

在搜索问题时，我发现了这两篇文章：[记录阿里云CDN加速报502错误问题，我的解决方案](https://bbs.fit2cloud.com/t/topic/2021)，[阿里云虚拟主机搭建多网站情况下，cdn实现分别配置](https://www.ruletree.club/archives/1598/)，这似乎和我的问题有所联系。

我分析过后，认为这是CDN没有设置**回源SNI**，导致抛出错误424。

这意味着在给 1panel 面板添加 ssl 证书后，源站现在拥有多个域名。当 CDN 节点被访问返回 404 后，它**不知道与源站的哪个域名握手**以下载资源，从而导致了 424 错误的抛出。

[scode type="share" size="simple"]

![回源SNI原理](https://www.isajuna.com/usr/uploads/2024/08/625013431.webp)

当源站 IP 绑定了多个域名，且回源协议为 HTTPS 时，需通过配置回源 SNI 指明所请求的**具体域名**，源站根据配置的 SNI 名称返回**对应域名**的 SSL 证书，以确保正常回源。

回源 SNI 的工作流程如下：

1. 当 CDN 节点以 HTTPS 协议访问源站时，需要在 SNI 中指定访问的具体域名（如：isjauna.com）。
2. 源站接收到请求后，根据 SNI 中记录的域名，返回对应域名的证书（即 isjauna.com 的证书）。
3. CDN 节点收到证书，与服务器端建立安全连接。

[什么是SNI以及如何配置回源SNI\_CDN(CDN)-阿里云帮助中心 (aliyun.com)](https://help.aliyun.com/zh/cdn/user-guide/configure-sni)

[/scode]

在配置回源 SNI 后，问题成功得以解决。

具体操作方法如下：

[scode type="share" size="simple"]1. 登录[CDN控制台(阿里云)](https://cdn.console.aliyun.com/)。
2. 在左侧导航栏，单击 “域名管理”。
3. 在域名管理页面，找到目标域名，单击操作列的 “管理”。
4. 在指定域名的左侧导航栏，单击 “回源配置”。
5. 在配置页签下找到 “回源 SNI”，单击 “修改配置”。
6. 在回源 SNI 对话框中，打开回源 SNI 开关，输入您希望客户端从哪个域名获取资源（例如：isjauna.com）。
[/scode]

前言

因此，我从宝塔切换至 1panel，摆脱了宝塔。

在这个属于 Docker 的时代，当我使用 1panel 面板时，也遭遇了不少难题。比如，在完成所有数据迁移后，出现了 424 无法访问资源的问题。

此处仅记录我在遇到该问题时回源失败的原因。

问题描述

控制台 CDN 报错 424，存储桶镜像回源提示 MirrorFailed，Error status : 502 from mirror host, should return 200 OK. 但浏览器却可以正常访问源站。

解决过程

首先，我查询了 424 报错的含义，基本可以确定是源站的问题。

424错误

Mirroring failed, please check your mirror configuration

问题原因：配置的回源地址无法访问、回源地址不存在请求的文件等。
解决方案：请参见概述排查回源地址是否有效

Read body from mirror host failed, please check your mirror host

问题原因：无法从镜像源站读取数据。
解决方案：请检查是否能正常访问镜像回源地址中的文件。

Bytes read is not equal to expected

问题原因：从镜像源站读取的数据缺失或无效。
解决方案：请检查源站是否能向OSS正常发送数据。

MD5 in header() is not equal to MD5 calculated

问题原因：回源文件的MD5值与Content-MD5值不匹配，OSS不保存回源文件。
解决方案：请检查是否因源站服务和网络通讯异常，导致了回源文件的MD5值与Content-MD5值不匹配。

The object you specified already exists and can not be overwritten

问题原因：文件已存在且不可被覆盖。
解决方案：不支持覆盖同名文件。请通过GetBucket (ListObjects)检查已存在的文件。

The object you specified is immutable

问题原因：Bucket处于被保护状态时，无法向该Bucket写入文件。
解决方案：确保回源文件写入的Bucket未处于合规保留策略的保护状态。请通过GetBucketWorm获取Bucket的保护状态。

Meta is too large

问题原因：用户自定义元数据超出限值。
解决方案：一个Object可以有多个自定义元数据，但所有的自定义元数据总大小不能超过8 KB。

Mirror request is rejected by QoS

问题原因：每秒请求数QPS（Query Per Second）超出限值。
解决方案：对于镜像回源，中国各地域默认QPS为2000、流量为2 Gbit/s；海外各地域默认QPS为1000、流量为1 Gbit/s。如您的业务有更大的QPS需求，请联系技术支持。

Error status : 0 from mirror host, should return 200 OK

问题原因：源站拒绝了回源请求。
解决方案：关闭源站防火墙或宝塔的拦截策略。

由于在将运维面板切换为 1panel 后就无法访问资源，我的思考方向基本指向了源站。

可能的原因只有这个了 ——“Error status : 0 from mirror host, should return 200 OK”，即源站的拦截策略设置存在问题。

我逐步关闭了 1panel 面板的所有防火墙，但问题依旧存在。

在搜索问题时，我发现了这两篇文章：记录阿里云CDN加速报502错误问题，我的解决方案，阿里云虚拟主机搭建多网站情况下，cdn实现分别配置，这似乎和我的问题有所联系。

我分析过后，认为这是CDN没有设置回源SNI，导致抛出错误424。

这意味着在给 1panel 面板添加 ssl 证书后，源站现在拥有多个域名。当 CDN 节点被访问返回 404 后，它不知道与源站的哪个域名握手以下载资源，从而导致了 424 错误的抛出。

在配置回源 SNI 后，问题成功得以解决。

具体操作方法如下：

最后修改：2024 年 10 月 05 日

阿里云镜像回源异常解决指南（424报错）

https://www.isajuna.com/archives/424/

作者

朱茱

发布时间

2024-08-29

许可协议

 CC BY-NC-SA 4.0

阿里云镜像回源异常解决指南（424报错）

前言

问题描述

解决过程

阿里云镜像回源异常解决指南（424报错）

作者

发布时间

许可协议

CodePrettify for Typecho - 代码高亮插件

玩游戏开心才是最重要的，难道不是吗？

永远年轻，永远热泪盈眶

人们都沉迷于绚丽的设计——致博客过度美化

十二画

CodePrettify for Typecho - 代码高亮插件

决定，永不后悔致少年的自己

您走的那天晚上，天地都为之沸腾

给你的博客添加网页小游戏丨恐龙快跑

Markdown & handsome语法指南

阿里云镜像回源异常解决指南（424报错）