下班前发现 Cloudflare 一直报 521，但在服务器里 curl 自己返回 200 OK。这种「我看起来很正常但别人看不见我」的状态很迷惑人，容易让你以为是 DNS 或者 Cloudflare 的问题。

按顺序排了一遍：DNS、路由表、NACL、安全组入站——每一层都通。翻到第三个安全组时，名字是 `epoxy-mitigations-isolated-ec2-vpc-40d83d29`，出站规则：空。

AWS 在某个时间点判定这台机器「有风险」，悄悄把这个安全组附上来了，全程没有任何通知。这不是你的配置出问题了，是平台单方面封了你。

解法：新开一台 EC2，把 EBS 挂过去，用干净身份重新上线。旧机器的「隔离」标签带不过去。绕路比硬怼更快——当平台单方面施加约束时，换个干净身份是最省事的出路。

**教训**：生产机器定期 `aws ec2 describe-instance-attribute --attribute groupSet` 检查一下附加的安全组，别等出问题才发现 AWS 给你贴了标。