Ошибка 520/521/522/523/524 Cloudflare: что значит и как исправить

12 минут чтения
Средний рейтинг статьи — 4.7

Ошибки Cloudflare 520, 521, 522, 523, 524 часто вызывают путаницу: пользователь видит страницу Cloudflare, а команда не сразу понимает, что именно сломалось — origin-сервер, сеть, firewall или таймауты.

В отличие от классических HTTP-кодов, Cloudflare-ошибки 52x описывают проблемы на пути между Cloudflare и вашим origin. Это делает диагностику специфичной: нужно проверять не только приложение, но и edge-настройки, сетевую доступность и политику безопасности.

Ниже — практическое руководство по каждому коду: cloudflare 520, ошибка 522, ошибка 524 и соседним сценариям.

Как читать ошибки Cloudflare 52x

Общая логика:

  • клиент и Cloudflare могут работать нормально
  • сбой возникает на участке Cloudflare и origin
  • результат — страница 52x

Перед разбором конкретного кода полезно проверить:

  1. Доступен ли origin напрямую (без Cloudflare)
  2. Не блокирует ли origin IP-диапазоны Cloudflare
  3. Совпадают ли DNS-записи с фактическим origin
  4. Нет ли всплеска latency или перегрузки backend

Ошибки 520-524: разбор по кодам

520: unknown error на origin

520 означает, что origin вернул неожиданный или пустой ответ, который Cloudflare не смог интерпретировать корректно.

Частые причины:

  • application crash при обработке запроса
  • пустой ответ от origin
  • нестандартные/битые заголовки
  • резкий обрыв соединения

Что проверить:

  • логи веб-сервера и приложения
  • наличие нестандартных header-манипуляций
  • корректность HTTP-ответа (status line, headers, body)

521: web server is down

521 — Cloudflare не может установить TCP-соединение с origin, обычно connection refused.

Причины:

  • веб-сервер не запущен
  • origin слушает другой порт
  • firewall блокирует Cloudflare
  • сервис упал после релиза

Проверки:

ss -tulpen | rg ":80|:443"
systemctl status nginx

Плюс:

  • проверьте allowlist IP Cloudflare
  • убедитесь, что origin отвечает на 80/443

522: connection timed out

Ошибка 522 возникает, когда Cloudflare установил соединение, но origin не ответил вовремя.

Типичные причины:

  • высокая нагрузка на origin
  • медленные SQL и блокировки
  • проблемы сети между Cloudflare и origin
  • слишком долгий handshake/TLS negotiation

Что делать:

  • проверить CPU/RAM/IO и p95/p99 latency
  • найти медленные endpoint и запросы к БД
  • проверить route/firewall на потерю пакетов
  • убедиться, что origin не перегружен бот-трафиком

523: origin is unreachable

523 означает, что Cloudflare не может маршрутизировать трафик к origin-хосту.

Частые причины:

  • неверная DNS A/AAAA запись
  • origin IP изменился, DNS не обновлен
  • сетевой маршрут недоступен

Проверки:

dig your-domain.com +short
traceroute <origin-ip>

Проверьте, что DNS указывает на актуальный и доступный IP.

524: a timeout occurred

Ошибка 524 похожа на 522, но чаще относится к ситуации, когда TCP-соединение установлено, а запрос обрабатывается слишком долго и Cloudflare завершает ожидание.

Классический сценарий:

  • endpoint выполняет тяжелую синхронную операцию
  • ответ формируется дольше лимита Cloudflare
  • клиент получает 524

Что помогает:

  • вынести тяжелые операции в async (очередь + polling)
  • оптимизировать SQL/внешние вызовы
  • кэшировать дорогие вычисления
  • разделить быстрые и тяжелые маршруты

Универсальный чеклист диагностики 52x

  1. Проверить доступность origin напрямую.
  2. Сопоставить время ошибки с логами Nginx/App.
  3. Проверить firewall и блокировки IP Cloudflare.
  4. Проверить DNS и актуальность origin IP.
  5. Проанализировать latency, загрузку и таймауты.
  6. Проверить недавние релизы и изменения конфигурации.

Этот порядок закрывает большинство сценариев для 520/521/522/523/524.

Профилактика Cloudflare-ошибок

1) Готовность origin к пикам

  • autoscaling или запас по ресурсам
  • ограничение concurrency
  • cache-first стратегия для горячих URL

2) Безопасные сетевые политики

  • корректный allowlist для Cloudflare
  • контроль изменений firewall через IaC
  • регулярная проверка открытых портов

3) Контроль DNS

  • управление DNS через versioned-процессы
  • проверка после смены origin
  • короткий TTL на период миграций

4) Разделение быстрых и тяжелых задач

  • тяжелые операции переводить в async-пайплайн
  • длинные запросы не держать в синхронном HTTP

CTA: мониторинг Cloudflare + origin в Statuser

Основная проблема 52x — вы часто узнаете о них, когда уже упала конверсия. Лучше ловить деградацию заранее.

В Statuser можно:

  • мониторить ключевые URL как обычным HTTP-check, так и через разные регионы
  • быстро видеть всплески 52x/5xx
  • получать уведомления в Telegram, Slack и email
  • хранить историю сбоев для postmortem и улучшений

Настройте мониторинг, чтобы ошибка 522 и ошибка 524 не становились сюрпризом: https://statuser.cloud.

Итог

Cloudflare-ошибки 520/521/522/523/524 — это сигналы о проблеме между edge и origin. Быстрая диагностика строится на трех вещах: логи, сеть, таймауты.

На практике чаще всего спрашивают, чем отличаются 522 и 524: оба связаны с timeout, но в любом случае проверять нужно latency origin, сетевой путь и согласованность таймаутов. Для системной картины полезно сопоставлять эти кейсы с 502, 503, 504 и общим гидом по HTTP-кодам.

Если добавить регулярный мониторинг доступности и latency, большинство таких инцидентов обнаруживаются до того, как их заметят пользователи.

12 минут чтения
Средний рейтинг статьи — 4.7

Настроить мониторинг за 30 секунд

Надежные оповещения о даунтаймах. Без ложных срабатываний

Начать мониторинг