迁移到台湾中华电信cn2 后 应如何调整DNS与CDN配置以优化体验

1.

迁移前的准备工作

- 确认新链路与服务提供商（台湾中华电信 CN2）的网络接入时间、IP 段、BGP 信息与联系人。
- 列出当前所有对外域名（A/AAAA/CNAME/MX/TXT），以及对应的 CDN 服务与源站 IP/域名。
- 在变更前做好回滚计划：记录旧的 DNS 值、TTL、CDN 配置快照、备份证书等。

2.

降低 TTL，便于快速切换

- 在 DNS 托管面板将计划切换的记录（通常是根域/www）TTL 降到 60-300 秒。
- 对于 MX、重要服务可先不改；仅对访问流量关键记录先降 TTL。
- 等待至少两个 TTL 周期（例如 10 分钟到 1 小时）以确保全网同步。

3.

在 CDN 控制台配置台湾优选策略

- 如果使用全球 CDN，检查是否支持按省/城市/ASN/运营商做流量策略（Geo steering 或 POP steering）。
- 在 CDN 的路由规则中优先选择台湾/中华电信 PoP（或在自定义规则中添加 ASN=Chunghwa Telecom 的条件）。
- 如果 CDN 支持“源站推拽/回源策略”，为台湾用户设置最近的回源路径。

4.

修改 DNS 记录（A/AAAA/CNAME 实操）

- 示例：若原来 www.example.com 指向 CDN CNAME，确认 CDN 为台湾 PoP 提供了正确 CNAME（如 www.example.cdnprovider.net）。
- 若直接指向源站（A 记录），把 A 记录指向由中华电信分配的新 IP。修改后用 dig 验证：dig @8.8.8.8 www.example.com +short。
- 提交修改后用多个公共解析器（8.8.8.8、1.1.1.1、114.114.114.114）检查分布情况。

5.

调整 CNAME 与 HostHeader（CDN 源站配置）

- 在 CDN 面板确认源站域名（Origin Host）为你真实对外暴露的域名，避免因 Host mismatch 导致 502/403。
- 若需要在源站上虚拟主机生效，确保源站接收 CDN 的 Host header（通常设置为目标域名）。
- 更新 SSL 配置：若 CDN 使用 SNI 与自签证书，确保源站证书与 SNI 匹配（可用 openssl s_client -connect origin:443 -servername example.com 测试）。

6.

健康检查与负载均衡配置

- 在 DNS/负载均衡器配置健康检查（HTTP 200/HTTPS with valid cert），端点建议用 /healthz 或自定义检测路径。
- 配置故障转移策略：当台湾链路或 PoP 出现问题时回退到机房/其它运营商或直接回源的策略。
- 对于有多源站或多 CDN 的场景，使用 GSLB 或 GeoDNS 结合健康检查做智能切换。

7.

缓存策略与边缘规则优化

- 在 CDN 设置合理的缓存规则：静态资源（图片、JS/CSS）长缓存（max-age 7d-30d），HTML 可短缓存或启用缓存分级。
- 使用边缘缓存规则根据 Cookie、Query String、User-Agent 做缓存分离。避免不必要的忽略缓存导致回源压力。
- 启用压缩（Gzip/Brotli）、图片 WebP/AVIF 转换和 HTTP/2 或 HTTP/3（QUIC）支持以提升台湾线路体验。

8.

DNS 高级：Anycast、Geo-DNS 与 DNSSEC

- 若 DNS 服务支持 Anycast 与全球解析节点，确保提供台湾附近节点解析以减少解析时延。
- 配置 Geo-DNS（有地理路由的 DNS 提供商）将台湾/东亚请求定向到中华电信链路或对应 CDN 域名。
- 若启用 DNSSEC，提前准备好密钥并在切换时同步签名，避免解析失败。

9.

切换后的验证命令与步骤

- DNS：使用 dig +trace、dig @114.114.114.114 www.example.com，检查 CNAME 链与最终 A/AAAA。
- 路由：traceroute 或 mtr 到域名，确认走的是中华电信 CN2 路径（可以通过第几跳的 ASN/节点判断）。
- 应用层：curl -I -H "Host: www.example.com" http://CDN-edge-ip 或 curl --resolve www.example.com:443:EDGE_IP https://www.example.com -v 检查证书与响应头。

10.

缓存清理与回源验证

- 在 DNS 切换完成并验证边缘流量后，按需在 CDN 控制台执行缓存刷新（按路径或按目录），避免用户看到老资源。
- 使用带有随机参数的请求或带时间戳的测试，验证是否是边缘缓存返回或源返回（通过响应头 X-Cache/X-Served-By 等）。

11.

监控、日志与用户体验测量

- 启用边缘与源站访问日志（访问量、错误率、回源率），持续 48-72 小时观察突发增长或 5xx。
- 部署合成监控（WebPageTest、Pingdom、合成脚本）从台湾不同 ISP 做检测，记录 TTFB、完整加载时间与丢包。
- 设置告警阈值（错误率、响应时间、回源 QPS），并与中华电信/CDN 支持建立快速沟通通道。

12.

回滚与后期优化建议

- 若出现严重问题，按照预先记录的旧 DNS 与 TTL 回滚；由于 TTL 较低，回滚通常在几分钟内生效。
- 切换稳定后将 TTL 慢慢提升（例如回到 600-3600 秒）以减少解析负担。
- 定期评估：中国大陆/台湾/全球用户的分布，考虑对不同区域用不同 CDN 或自定义路由策略。

13.

常见故障与排查步骤

- 情形：用户在台湾能访问但中国大陆访问慢或无法访问。排查：检查 Geo-DNS、是否误把中国流量导到台湾链路；用 dig+trace、traceroute 比较两地路径。
- 情形：证书不匹配或 526/525。排查：openssl s_client 检查 SNI 与证书；确认 CDN 与源站证书链完整。
- 情形：缓存未命中率高导致回源压力。排查：检查 Cache-Control、Query String 配置与边缘规则。

14.

操作示例：dig 与 curl 快速命令清单

- dig 示例：dig @8.8.8.8 www.example.com +short；dig +trace www.example.com。
- traceroute：traceroute -n www.example.com 或 mtr -rwzbc100 www.example.com。
- curl 验证：curl -I -H "Host: www.example.com" https://EDGE_IP/；openssl s_client -connect EDGE_IP:443 -servername www.example.com。

15.

问：迁移到中华电信 CN2 后，DNS 最好把 TTL 设为多少？

- 答：迁移期间建议先将关键记录 TTL 降到 60-300 秒便于快速回滚；切换稳定后逐步提升到 600-3600 秒以减轻解析负担。

16.

问：CDN 如何优先使用台湾 PoP？

- 答：在 CDN 面板启用 Geo/POP steering 或自定义路由规则，按客户端地理位置或 ASN（中华电信）将流量引导到台湾 PoP；必要时配合 GeoDNS 做更细粒度控制。

17.

问：切换后如何验证用户真正走的是 CN2 路径？

- 答：使用多点 traceroute/mtr 对比台湾与其它地区的路由，观察经由的 ASN 与节点是否属于中华电信；结合 CDN 的边缘日志、X-Forwarded-For/X-Cache 响应头确认流量到达的 PoP。

来源：迁移到台湾中华电信cn2 后 应如何调整DNS与CDN配置以优化体验