Popyt
Port backendowy nie pozwala użytkownikom na bezpośredni dostęp, np. 80, 443:3389 itp., i umożliwia dostęp wyłącznie przez równoważnik obciążenia SLB Alibaba Cloud. Ponieważ ECS używa SLB do publicznego przekazywania i obciążania sieci, użytkownicy nie muszą uzyskiwać dostępu do publicznego adresu sieci ECS, dlatego reguły grupy bezpieczeństwa są skonfigurowane tak, aby blokować bezpośredni dostęp do adresu ECS.
Rozwiązanie:
Blok adresów IP w load balancerze, 100.64.0.0/10 (100.64.0.0/10 to zarezerwowany adres Alibaba Cloud, a inni użytkownicy nie mogą być przypisani do tego bloku sieciowego, więc nie ma ryzyka bezpieczeństwa) oraz blok adresów IP Anti-Pro nie stanowią zagrożenia bezpieczeństwa.
Adres referencyjny:
Logowanie do linku jest widoczne.
Logowanie do linku jest widoczne.
Wtedy adres IP zaczynający się od 100.64 odpowiada blokowi adresowemu 100.64.0.0/10, zakres adresowy to 100.64.0.0~100.127.255.255, zawierający łącznie 4 194 304 adresów IP, ten zarezerwowany adres jest również używany dla intranetu, ale ten intranet nie jest ogólnym intranetem, lecz NAT klasy carrier, a odpowiadające tłumaczenie na język angielski to "carrier-grade NAT". Dalsze poszukiwania wykazały, że RFC 6598 (IANA – zarezerwowany prefiks IPv4 dla przestrzeni adresowej współdzielonej przestrzeni) z kwietnia 2012 roku używa bloku adresowego 100.64.0.0/10 (Shared Address Space) dla operatorów ISP:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Nuta:Najpierw musisz pozwolić SLB na dostęp do ECS (priorytet 1), a następnie stworzyć ogólną regułę (priorytet 2), która odmawia innych połączeń.
|
Opublikowano 18.07.2020 17:36:52
|
|
|
|
