两个前阿里 P9の争论,阿里云经典网络真的是互通的?

2017-02-27 20:41:12 +08:00
 TheCure

事情的起因是这样的,一家公司说在阿里云的 redis 被干了...因为限制了公网访问但是没限制好阿里云的内网访问加上没授权被干了...

于是左耳朵耗子和云舒这两位前阿里 P9 就开始争执起来

这两个人的描述大相径庭,肯定有一个人是水比 (逃

于是左耳朵耗子又发了一篇文章

http://weibo.com/ttarticle/p/show?id=2309404079443999097225

这篇文章还是写的很模糊的, 个别地方应该也有问题,呵呵

不过过了几天又发了一篇文章

http://weibo.com/ttarticle/p/show?id=2309404079841686247162

这篇文章讲的要明了了一些,下面是我的感想

  • 安全组只能设置一个网段的(别说针对 IP,会累死的), 但是内网网段可以共用的,你开了一个 CIDR 的,有可能把别人也放进来,什么,独享网段?...
  • 安全组通过 iptables 来做,在一个 P2P 的网络里用 iptables 这种单点的有限制的玩意来限制流量,阿里云的开发运维辛苦了...这个摊子不好收拾

现在来看, VPC 才是解决问题的正道,不过阿里云的存量问题不好迁移到 VPC 吧

15693 次点击
所在节点    云计算
33 条回复
appleorchard2000
2017-02-27 21:25:53 +08:00
参考一下 openstack 就完了。很多人搞不清什么叫租户隔离。另我第一次使用阿里云,第一反应也是,操蛋的大内网。
littlehz
2017-02-27 22:47:30 +08:00
经典网络是大内网,没有租户隔离,默认配置了安全组(本质上是云厂商的 iptables ),安全组默认是不允许互访。但是物理上的大内网互通,人为懒开放了内网,或者稍微出点 BUG ,或者自己的机器一多配错 IP ,那就别的租户可以内网连接过来了。
chnyang
2017-02-27 22:47:58 +08:00
所以你的结论是?到底谁是水 b ?在线等 急
kaneg
2017-02-27 22:54:45 +08:00
按照阿里的文档是说内网默认是不通的,除非做以下设定:
1. 置于同一安全组
2. 显示允许对方 ip
所以理论上没有设置过以上的内网是安全的。但实际上是否有超出文档所说范围就不得而知了
Antidictator
2017-02-27 23:00:44 +08:00
@chnyang 23333 ,老哥稳
echo1937
2017-02-27 23:10:05 +08:00
yexm0
2017-02-27 23:14:26 +08:00
新开通的用户只能选专有网络了.
https://help.aliyun.com/noticelist/articleid/20216496.html
songofhawk
2017-02-28 07:58:28 +08:00
意料之外,情理之中。阿里从那么早开始做云计算,而且面临抢市场的压力, sdn 做不好也是可以理解的。现在被爆出问题,开始改进,也算是件好事
timothyye
2017-02-28 08:19:59 +08:00
是个大内网,我司 redis 就被干过……
19zero
2017-02-28 10:14:30 +08:00
默认不互通,耗子扫出来的那些端口都是用户自己改了安全组(或许是出于方便的目的),个人认为这锅不应该服务商来背,况且阿里云不也有 VPC 么
silentime
2017-02-28 11:00:24 +08:00
现在知道为啥阿里 redis 要默认设密码了。。。
19zero
2017-02-28 11:34:39 +08:00
xia0pia0
2017-02-28 11:38:18 +08:00
经典网络就是个大内网,里面虽然分了不少网段,但是网段之间(至少有部分)是互通的,不信可以根据分配的内网 ip 跟掩码,试验下访问别的网段机器。这个是很早之前就验证过的事了,是不是偷偷改掉又没发声明就不清楚了。很多人根据“租户隔离”的经验,就被坑了,这个锅是用户没用 VPC 的?阿里云怎么自己没声明?
c0878
2017-02-28 11:53:26 +08:00
阿里云昨天晚上发公告给我 提醒设置经典网络内网 IP 段限制 租户隔离是没错 架不住用户设置允许 0.0.0.0/0
chenqh
2017-02-28 12:15:01 +08:00
@c0878 那估计是以为在机房这样配置没问题呀
billowqiu
2017-02-28 12:18:18 +08:00
@silentime 有道理,哈哈
chenqh
2017-02-28 12:21:52 +08:00
@c0878 内网不可以 0000 ?那 vpc 可以吗?机房可以吗?
ETiV
2017-02-28 12:36:16 +08:00
这个问题 我之前还看过阿里云文档
里面说了同机房 可以跨账号互通

所以我都是安全组全开 机器上配 iptables
watzds
2017-02-28 12:47:10 +08:00
云舒新文章 404 了…
cherrybob
2017-02-28 12:57:35 +08:00
云舒?呵呵

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343633

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX