Domanda
La porta del servizio backend non consente agli utenti di accedervi direttamente, come 80, 443:3389, ecc., e consente l'accesso solo tramite il bilanciatore di carico SLB di Alibaba Cloud. Poiché ECS utilizza SLB per l'inoltro e il carico della rete pubblica, gli utenti non devono accedere all'indirizzo pubblico ECS, quindi le regole dei gruppi di sicurezza sono configurate per bloccare l'accesso diretto all'indirizzo ECS.
Soluzione:
Il blocco di indirizzi IP del bilanciatore di carico 100.64.0.0/10 (100.64.0.0/10 è l'indirizzo riservato di Alibaba Cloud, e altri utenti non possono essere assegnati a questo blocco di rete, quindi non vi è rischio di sicurezza) e il blocco di indirizzi IP di Anti-Pro non rappresentano un rischio di sicurezza.
Indirizzo di riferimento:
Il login del link ipertestuale è visibile.
Il login del link ipertestuale è visibile.
Allora l'indirizzo IP che inizia con 100.64 corrisponde al blocco indirizzi è 100.64.0.0/10, l'intervallo di indirizzi è 100.64.0.0~100.127.255.255, contenente un totale di 4.194.304 indirizzi IP, questo indirizzo riservato è usato anche per l'intranet, ma questa intranet non è una intranet generale bensì un NAT di carrier-grade, e la traduzione corrispondente in inglese è "carrier-grade NAT". Ulteriori ricerche hanno rivelato che l'RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) di aprile 2012 utilizza il blocco di indirizzi 100.64.0.0/10 (Shared Address Space) per gli ISP operatori:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Nota:Devi permettere agli SLB di accedere prima all'ECS (priorità 1), e poi creare una regola generica (priorità 2) per negare altre connessioni.
|
Pubblicato su 18/07/2020 17:36:52
|
|
|
|
