迁移案例讲述从腾讯cdn切换到高防cdn的流程与注意要点

1.

准备与清点（资产盘点）

- 清单：列出所有域名、子域名、CNAME记录、SSL证书、缓存策略、URL签名、HTTP头依赖和回源IP。
- 风险评估：标注高流量/高风险域名与业务低峰窗。
- 备份：导出腾讯CDN配置快照、证书备份、现有WAF/防护规则。

2.

选择高防CDN并签约（能力确认）

- 能力核验：确认对方支持高防BGP、多弹性防护、带宽/连接峰值、清洗门槛及SLA。
- 功能比对：缓存键、压缩、HTTP2/3、长连接、回源加密、原站真IP透传。
- 合同/应急：预留应急联系方式、流量计费、切换支持窗口。

3.

在高防CDN上创建服务与域名接入

- 新建域名：在控制台添加域名，选择接入方式（CNAME接入或托管DNS）。
- 设置回源：填写源站IP/域名，开启回源端口与协议（HTTP/HTTPS）。
- 缓存与规则：配置缓存规则、路径避开缓存、URL签名、Cookie/Query串处理。

4.

回源与安全设置（白名单与鉴权）

- 回源白名单：将高防CDN出口IP段添加到源站防火墙/负载均衡白名单。
- 请求头：确认高防CDN是否会带X-Forwarded-For或X-Real-IP并配置源站解析。
- 防护策略：在高防侧启用WAF、CC防护、速率限制与黑名单。

5.

SSL证书与HTTPS配置

- 证书方式：选择自有证书上载或由高防CDN代发（ACME/托管）。
- SNI验证：多域名需开启SNI并绑定对应证书，验证证书链完整。
- 回源加密：建议启用回源HTTPS并校验证书，避免中间被降级。

6.

测试环境与预切流量验证

- 本地验证：使用dig / nslookup 查看CNAME，curl -I -H "Host: example.com" http://高防CNAME验证响应头。
- 回源日志：在源站查看访问来源IP，确认为高防出口IP且请求头正常。
- 性能检测：进行并发压测、页面加载时间与缓存命中率检查。

7.

DNS切换策略（灰度与回滚）

- 降低TTL：提前72小时把域名TTL调到60-300秒。
- 灰度切换：按域/子域分批或使用权重DNS将部分流量导向高防，观察一段时间。
- 回滚预案：保留腾讯CDN配置与旧CNAME，记录切换时间点，发现问题立即恢复旧CNAME。

8.

全量切换与清理缓存

- 切换步骤：将域名CNAME指向高防提供的域名（或修改托管DNS记录）。
- 缓存刷新：在高防与腾讯端分别清理缓存，确保内容一致性。
- 验证项：检查HTTPS、生效的WAF规则、真实IP、日志接收与监控告警是否正常。

9.

切换后监控与回收资源

- 监控项：流量、清洗事件、错误率、回源负载、缓存命中率与安全告警。
- 优化：根据监控调整缓存策略、压缩、CDN节点优先级。
- 下线旧服务：确认稳定后再解除腾讯CDN域名绑定并回收不再使用的资源。

10.

Q1：切换时如何保证证书无缝过渡？（问）

- 答：提前准备证书并在高防端绑定自有证书或申请代发，保证新证书与旧证书在切换窗口同时有效。设置回源HTTPS并启用SNI，切换前在测试域名上验证证书链与域名匹配。

11.

Q2：若切换后访问异常如何快速回滚？（问）

- 答：切换前将TTL降到低值；出现异常时立即将DNS CNAME指回腾讯CDN的原记录，或用权重/灰度回退，同时通告运维调整WAF规则并查看回源日志定位问题。

12.

Q3：如何校验高防CDN是否成功透传真实IP？（问）

- 答：在源站记录并查看访问日志中的X-Forwarded-For或X-Real-IP字段；可用curl并打印请求头；并对比请求源IP与高防提供的出口IP段是否一致。