Cloudflare 522 Connection timed outのとき、最初の30分でやること

Cloudflare 522（Connection timed out）を、接続前（SYN+ACK）/接続後（ACK）/遮断/取り違えで30分切り分ける。

著者: 川原更新: 2026-05-18障害対応 RSS

Xで共有 Facebook LinkedIn

料金相談

Cloudflareで 522 Connection timed out が出たときは、まず「Cloudflare → オリジン（サーバー）への通信が、確立できない/確立後に詰まる」のどちらかとして扱うのが最短です。

522は “アプリが遅い” というより オリジンへの到達やTCPレベルの応答が返らない 寄りで、524（HTTP応答が遅い）と初動が変わります。

最初に結論（先にやる順番）

最初の30分は「直す」より「詰まっている地点を確定する」を優先します。

522で確定（Cloudflare側のエラー番号・発生URL・発生率）
影響範囲を固定（全員/一部地域/一部URL/自分だけ）
“接続前” か “接続後” かを分ける（SYN+ACKが返らない / つながった後にACKが返らない）
拒否/遮断を先に潰す（Firewall/WAF/allowlist/Rate limit）
最短の切り戻し（直前のオリジン/ネットワーク/DNS/Cloudflare設定変更）

1. 522で確定する（推理禁止）

ブラウザのエラー画面に 522 が出ているか
Cloudflareダッシュボードの Events / Analytics で、522が増えているか
可能なら curl -I <URL> を複数回実行し、再現率 を把握する

ポイント:

524/521 と混同しない（初動が変わります）
522は「CloudflareがオリジンへTCP接続できない/維持できない」側の疑いが強いです

2. 影響範囲を固定する（最優先）

別端末（スマホ/PC）で同じURLを見る
別回線（モバイル回線）で見る
別リージョン（VPNなどが使えるなら）で見る
別URL（トップだけ/サブページだけ/特定パスだけ）で傾向を見る

判断の目安:

全員・全ページで522: オリジン停止/ネットワーク/Firewall/allowlistを優先
一部パスだけ522: 特定ホスト/LB/リバプロ/アプリの入り口で詰まっている疑い
自分だけ522: ローカルDNS/キャッシュ/ブラウザ拡張/ネットワークの可能性も残す

3. “接続前” と “接続後” を分ける（初動が変わる）

522は大きく2パターンに分かれます。

3-1. 接続前: SYN+ACK が返らない

Cloudflareがオリジンへ接続（TCPハンドシェイク）しようとしても、オリジンが SYN+ACKを返せない/返していない 状態です。

ありがちな原因:

オリジンが落ちている/過負荷で新規接続を受けられない
Firewall/セキュリティグループでCloudflareからの接続が落とされている
オリジンのポートが閉じている/リバプロがLISTENしていない
DNSが別オリジンを指している（A/AAAAの取り違え）

3-2. 接続後: つながったのに ACK が返らない

TCP接続は確立するものの、Cloudflareが送ったリクエストに対して ACKが返らない（途中で詰まる/ドロップされる）状態です。

ありがちな原因:

オリジン側の接続数枯渇（accept backlog / fd枯渇 / conntrack枯渇）
LB/リバプロ/セキュリティ製品でのレート制限・誤検知
ネットワーク経路の不安定（NAT/ファイアウォール/ホスティング側）

4. “拒否/遮断” を先に潰す（最頻出）

オリジンが生きているのに522が出るときは、Firewall/WAFなどで Cloudflareからのアクセスが遮断 されているケースが多いです。

チェックリスト:

直前にFirewall/セキュリティグループ/リバプロ設定を変えていないか
オリジンが Cloudflare IPレンジ を許可しているか（許可/拒否ルールの確認）
“Bot対策” “Geoブロック” “Rate limit” で誤爆していないか
80/443 の到達性（ポート/プロトコル/終端位置）が一致しているか

止血の優先順位:

一時的に 許可ルールを広げる（復旧優先）→ 収束後に最小化

5. DNS取り違え（オリジンを指していない）

DNSが別オリジンを指してしまっていると、522になり得ます。

直前にDNSを触っていないか（A/AAAA/CNAMEの変更、移管、TTL）
“本番” のつもりが “別環境” を指していないか（stg向けIPなど）
IPv6（AAAA）が残っており、片方だけ違うオリジンを指していないか

6. “今すぐ復旧” のための切り戻し候補（最初の30分の範囲）

原因特定に時間がかかるときは、復旧優先の切り戻しを先に検討します。

直前のオリジン変更（デプロイ/設定/スケール）を戻す
直前のFirewall/セキュリティグループ変更を戻す
直前のDNS変更を戻す（切り戻しが安全な場合）
直前のCloudflare設定変更（Rules/WAF/SSL/TLS）を戻す（安全な範囲で）

相談する（SiteOps）

状況が複合していて切り分けが進まない場合は、相談だけ先に進めるのも有効です。

川原

SiteOps編集チームの公開窓口として、検索、アクセス、収益データをもとにした運営判断の知見をまとめています。

著者情報

Cloudflare 502 Bad Gatewayが出たとき、最初の30分でやること障害対応更新: 2026-05-18 Cloudflare 504 Gateway Timeoutが出たとき、最初の30分でやること障害対応更新: 2026-05-18 Cloudflare 520（Web server returned an unknown error）が出たとき、最初の30分でやること障害対応更新: 2026-05-18

次にやること

複数サイトの検索、アクセス、収益データをまとめて見直すなら、SiteOpsのダッシュボードでサイト別に確認できます。

料金を見る相談したい / お問い合わせ

記事一覧

Cloudflare 522 Connection timed outのとき、最初の30分でやること

Cloudflare 522（Connection timed out）を、接続前（SYN+ACK）/接続後（ACK）/遮断/取り違えで30分切り分ける。

著者: 川原更新: 2026-05-18障害対応 RSS

Xで共有 Facebook LinkedIn

料金相談

522は “アプリが遅い” というより オリジンへの到達やTCPレベルの応答が返らない 寄りで、524（HTTP応答が遅い）と初動が変わります。

最初に結論（先にやる順番）

最初の30分は「直す」より「詰まっている地点を確定する」を優先します。

522で確定（Cloudflare側のエラー番号・発生URL・発生率）
影響範囲を固定（全員/一部地域/一部URL/自分だけ）
“接続前” か “接続後” かを分ける（SYN+ACKが返らない / つながった後にACKが返らない）
拒否/遮断を先に潰す（Firewall/WAF/allowlist/Rate limit）
最短の切り戻し（直前のオリジン/ネットワーク/DNS/Cloudflare設定変更）

1. 522で確定する（推理禁止）

ブラウザのエラー画面に 522 が出ているか
Cloudflareダッシュボードの Events / Analytics で、522が増えているか
可能なら curl -I <URL> を複数回実行し、再現率 を把握する

ポイント:

524/521 と混同しない（初動が変わります）
522は「CloudflareがオリジンへTCP接続できない/維持できない」側の疑いが強いです

2. 影響範囲を固定する（最優先）

別端末（スマホ/PC）で同じURLを見る
別回線（モバイル回線）で見る
別リージョン（VPNなどが使えるなら）で見る
別URL（トップだけ/サブページだけ/特定パスだけ）で傾向を見る

判断の目安:

全員・全ページで522: オリジン停止/ネットワーク/Firewall/allowlistを優先
一部パスだけ522: 特定ホスト/LB/リバプロ/アプリの入り口で詰まっている疑い
自分だけ522: ローカルDNS/キャッシュ/ブラウザ拡張/ネットワークの可能性も残す

3. “接続前” と “接続後” を分ける（初動が変わる）

522は大きく2パターンに分かれます。

3-1. 接続前: SYN+ACK が返らない

Cloudflareがオリジンへ接続（TCPハンドシェイク）しようとしても、オリジンが SYN+ACKを返せない/返していない 状態です。

ありがちな原因:

オリジンが落ちている/過負荷で新規接続を受けられない
Firewall/セキュリティグループでCloudflareからの接続が落とされている
オリジンのポートが閉じている/リバプロがLISTENしていない
DNSが別オリジンを指している（A/AAAAの取り違え）

3-2. 接続後: つながったのに ACK が返らない

TCP接続は確立するものの、Cloudflareが送ったリクエストに対して ACKが返らない（途中で詰まる/ドロップされる）状態です。

ありがちな原因:

オリジン側の接続数枯渇（accept backlog / fd枯渇 / conntrack枯渇）
LB/リバプロ/セキュリティ製品でのレート制限・誤検知
ネットワーク経路の不安定（NAT/ファイアウォール/ホスティング側）

4. “拒否/遮断” を先に潰す（最頻出）

オリジンが生きているのに522が出るときは、Firewall/WAFなどで Cloudflareからのアクセスが遮断 されているケースが多いです。

チェックリスト:

直前にFirewall/セキュリティグループ/リバプロ設定を変えていないか
オリジンが Cloudflare IPレンジ を許可しているか（許可/拒否ルールの確認）
“Bot対策” “Geoブロック” “Rate limit” で誤爆していないか
80/443 の到達性（ポート/プロトコル/終端位置）が一致しているか

止血の優先順位:

一時的に 許可ルールを広げる（復旧優先）→ 収束後に最小化

5. DNS取り違え（オリジンを指していない）

DNSが別オリジンを指してしまっていると、522になり得ます。

直前にDNSを触っていないか（A/AAAA/CNAMEの変更、移管、TTL）
“本番” のつもりが “別環境” を指していないか（stg向けIPなど）
IPv6（AAAA）が残っており、片方だけ違うオリジンを指していないか

6. “今すぐ復旧” のための切り戻し候補（最初の30分の範囲）

原因特定に時間がかかるときは、復旧優先の切り戻しを先に検討します。

直前のオリジン変更（デプロイ/設定/スケール）を戻す
直前のFirewall/セキュリティグループ変更を戻す
直前のDNS変更を戻す（切り戻しが安全な場合）
直前のCloudflare設定変更（Rules/WAF/SSL/TLS）を戻す（安全な範囲で）

相談する（SiteOps）

状況が複合していて切り分けが進まない場合は、相談だけ先に進めるのも有効です。

川原

SiteOps編集チームの公開窓口として、検索、アクセス、収益データをもとにした運営判断の知見をまとめています。

著者情報

次にやること

複数サイトの検索、アクセス、収益データをまとめて見直すなら、SiteOpsのダッシュボードでサイト別に確認できます。

料金を見る相談したい / お問い合わせ

Cloudflare 522 Connection timed outのとき、最初の30分でやること

最初に結論（先にやる順番）

1. 522で確定する（推理禁止）

2. 影響範囲を固定する（最優先）

3. “接続前” と “接続後” を分ける（初動が変わる）

3-1. 接続前: SYN+ACK が返らない

3-2. 接続後: つながったのに ACK が返らない

4. “拒否/遮断” を先に潰す（最頻出）

5. DNS取り違え（オリジンを指していない）

6. “今すぐ復旧” のための切り戻し候補（最初の30分の範囲）

相談する（SiteOps）

関連

川原

関連記事

次にやること

Cloudflare 522 Connection timed outのとき、最初の30分でやること

最初に結論（先にやる順番）

1. 522で確定する（推理禁止）

2. 影響範囲を固定する（最優先）

3. “接続前” と “接続後” を分ける（初動が変わる）

3-1. 接続前: SYN+ACK が返らない

3-2. 接続後: つながったのに ACK が返らない

4. “拒否/遮断” を先に潰す（最頻出）

5. DNS取り違え（オリジンを指していない）

6. “今すぐ復旧” のための切り戻し候補（最初の30分の範囲）

相談する（SiteOps）

関連

川原

関連記事

次にやること