Cerere
Portul de servicii backend nu permite utilizatorilor să aibă acces direct la el, cum ar fi 80, 443:3389 etc., și permite accesul doar prin SLB load balancer al Alibaba Cloud. Deoarece ECS folosește SLB pentru redirecționarea și încărcarea rețelei publice, utilizatorii nu trebuie să acceseze adresa publică ECS, astfel că regulile grupurilor de securitate sunt configurate pentru a bloca accesul direct la adresa ECS.
Soluție:
Blocul de adrese IP al load balancer-ului, 100.64.0.0/10 (100.64.0.0/10 este adresa rezervată a Alibaba Cloud, iar alți utilizatori nu pot fi alocați acestui bloc de rețea, deci nu există risc de securitate) și blocul de adrese IP al Anti-Pro nu reprezintă un risc de securitate.
Adresă de referință:
Autentificarea cu hyperlink este vizibilă.
Autentificarea cu hyperlink este vizibilă.
Atunci adresa IP care începe cu 100.64 corespunde blocului de adrese este 100.64.0.0/10, intervalul de adrese este 100.64.0.0~100.127.255.255, conținând un total de 4.194.304 adrese IP, această adresă rezervată este folosită și pentru intranet, dar acest intranet nu este un intranet general, ci un NAT de grad carrier, iar traducerea corespunzătoare în engleză este "carrier-grade NAT". O căutare suplimentară a arătat că RFC 6598 (prefixul IPv4 rezervat IANA pentru spațiu de adrese partajat) din aprilie 2012 folosește blocul de adrese 100.64.0.0/10 (spațiu de adrese partajat) pentru furnizorii de servicii de internet (ISP):
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Notă:Trebuie să permiți SLB-urilor să acceseze mai întâi ECS (prioritate 1), apoi să creezi o regulă generică (prioritate 2) pentru a refuza alte conexiuni.
|
Postat pe 18.07.2020 17:36:52
|
|
|
|
