SiteOps
トップメディアダッシュボード更新履歴
記事一覧

Cloudflare 522 Connection timed outのとき、最初の30分でやること

Cloudflare 522(Connection timed out)を、接続前(SYN+ACK)/接続後(ACK)/遮断/取り違えで30分切り分ける。

著者: 川原更新: 2026-05-18障害対応RSS
Xで共有FacebookLinkedIn
料金相談

Cloudflareで 522 Connection timed out が出たときは、まず「Cloudflare → オリジン(サーバー)への通信が、確立できない/確立後に詰まる」のどちらかとして扱うのが最短です。

522は “アプリが遅い” というより オリジンへの到達やTCPレベルの応答が返らない 寄りで、524(HTTP応答が遅い)と初動が変わります。

関連:

  • /media/cloudflare-521-web-server-down-first-30-minutes
  • /media/cloudflare-524-timeout-first-30-minutes
  • /media/cloudflare-525-ssl-handshake-failed-first-30-minutes
  • /media/cloudflare-526-invalid-ssl-certificate-first-30-minutes
  • /media/search-console-server-error-5xx-first-30-minutes

最初に結論(先にやる順番)

最初の30分は「直す」より「詰まっている地点を確定する」を優先します。

  1. 522で確定(Cloudflare側のエラー番号・発生URL・発生率)
  2. 影響範囲を固定(全員/一部地域/一部URL/自分だけ)
  3. “接続前” か “接続後” かを分ける(SYN+ACKが返らない / つながった後にACKが返らない)
  4. 拒否/遮断を先に潰す(Firewall/WAF/allowlist/Rate limit)
  5. 最短の切り戻し(直前のオリジン/ネットワーク/DNS/Cloudflare設定変更)

1. 522で確定する(推理禁止)

  • ブラウザのエラー画面に 522 が出ているか
  • Cloudflareダッシュボードの Events / Analytics で、522が増えているか
  • 可能なら curl -I <URL> を複数回実行し、再現率 を把握する

ポイント:

  • 524/521 と混同しない(初動が変わります)
  • 522は「CloudflareがオリジンへTCP接続できない/維持できない」側の疑いが強いです

2. 影響範囲を固定する(最優先)

  • 別端末(スマホ/PC)で同じURLを見る
  • 別回線(モバイル回線)で見る
  • 別リージョン(VPNなどが使えるなら)で見る
  • 別URL(トップだけ/サブページだけ/特定パスだけ)で傾向を見る

判断の目安:

  • 全員・全ページで522: オリジン停止/ネットワーク/Firewall/allowlistを優先
  • 一部パスだけ522: 特定ホスト/LB/リバプロ/アプリの入り口で詰まっている疑い
  • 自分だけ522: ローカルDNS/キャッシュ/ブラウザ拡張/ネットワークの可能性も残す

3. “接続前” と “接続後” を分ける(初動が変わる)

522は大きく2パターンに分かれます。

3-1. 接続前: SYN+ACK が返らない

Cloudflareがオリジンへ接続(TCPハンドシェイク)しようとしても、オリジンが SYN+ACKを返せない/返していない 状態です。

ありがちな原因:

  • オリジンが落ちている/過負荷で新規接続を受けられない
  • Firewall/セキュリティグループでCloudflareからの接続が落とされている
  • オリジンのポートが閉じている/リバプロがLISTENしていない
  • DNSが別オリジンを指している(A/AAAAの取り違え)

3-2. 接続後: つながったのに ACK が返らない

TCP接続は確立するものの、Cloudflareが送ったリクエストに対して ACKが返らない(途中で詰まる/ドロップされる)状態です。

ありがちな原因:

  • オリジン側の接続数枯渇(accept backlog / fd枯渇 / conntrack枯渇)
  • LB/リバプロ/セキュリティ製品でのレート制限・誤検知
  • ネットワーク経路の不安定(NAT/ファイアウォール/ホスティング側)

4. “拒否/遮断” を先に潰す(最頻出)

オリジンが生きているのに522が出るときは、Firewall/WAFなどで Cloudflareからのアクセスが遮断 されているケースが多いです。

チェックリスト:

  • 直前にFirewall/セキュリティグループ/リバプロ設定を変えていないか
  • オリジンが Cloudflare IPレンジ を許可しているか(許可/拒否ルールの確認)
  • “Bot対策” “Geoブロック” “Rate limit” で誤爆していないか
  • 80/443 の到達性(ポート/プロトコル/終端位置)が一致しているか

止血の優先順位:

  • 一時的に 許可ルールを広げる(復旧優先)→ 収束後に最小化

5. DNS取り違え(オリジンを指していない)

DNSが別オリジンを指してしまっていると、522になり得ます。

  • 直前にDNSを触っていないか(A/AAAA/CNAMEの変更、移管、TTL)
  • “本番” のつもりが “別環境” を指していないか(stg向けIPなど)
  • IPv6(AAAA)が残っており、片方だけ違うオリジンを指していないか

6. “今すぐ復旧” のための切り戻し候補(最初の30分の範囲)

原因特定に時間がかかるときは、復旧優先の切り戻しを先に検討します。

  • 直前のオリジン変更(デプロイ/設定/スケール)を戻す
  • 直前のFirewall/セキュリティグループ変更を戻す
  • 直前のDNS変更を戻す(切り戻しが安全な場合)
  • 直前のCloudflare設定変更(Rules/WAF/SSL/TLS)を戻す(安全な範囲で)

相談する(SiteOps)

状況が複合していて切り分けが進まない場合は、相談だけ先に進めるのも有効です。

  • 料金・導入の概要を見る
  • 相談する

関連

  • /media/cloudflare-521-web-server-down-first-30-minutes
  • /media/cloudflare-524-timeout-first-30-minutes
  • /media/cloudflare-525-ssl-handshake-failed-first-30-minutes
  • /media/cloudflare-526-invalid-ssl-certificate-first-30-minutes

この記事を書いた人

川原

SiteOps編集チームの公開窓口として、検索、アクセス、収益データをもとにした運営判断の知見をまとめています。

著者情報

関連記事

Cloudflare 502 Bad Gatewayが出たとき、最初の30分でやること障害対応更新: 2026-05-18Cloudflare 504 Gateway Timeoutが出たとき、最初の30分でやること障害対応更新: 2026-05-18Cloudflare 520(Web server returned an unknown error)が出たとき、最初の30分でやること障害対応更新: 2026-05-18
前の記事Cloudflare 521(Web server is down)が出たとき、最初の30分でやること次の記事Cloudflare 523(Origin is unreachable)が出たとき、最初の30分でやること

次にやること

複数サイトの検索、アクセス、収益データをまとめて見直すなら、SiteOpsのダッシュボードでサイト別に確認できます。

料金を見る相談したい / お問い合わせ