povpraševanje
Backend servisni port uporabnikom ne omogoča neposrednega dostopa, kot so 80, 443:3389 itd., in omogoča dostop le prek Alibaba Cloud SLB load balancerja. Ker ECS uporablja SLB za javno posredovanje in obremenitev omrežja, uporabniki ne potrebujejo dostopa do javnega omrežnega naslova ECS, zato so pravila varnostne skupine konfigurirana tako, da uporabnikom preprečijo neposreden dostop do ECS naslova.
Rešitev:
IP naslovni blok uravnoteževalnika obremenitve, 100.64.0.0/10 (100.64.0.0/10 je rezervirani naslov Alibaba Cloud, drugih uporabnikov ni mogoče dodeliti temu omrežnemu bloku, zato ni varnostnega tveganja) in IP naslovni blok Anti-Pro ne predstavljata varnostnega tveganja.
Referenčni naslov:
Prijava do hiperpovezave je vidna.
Prijava do hiperpovezave je vidna.
IP naslov, ki se začne s 100.64, ustreza naslovnemu bloku 100.64.0.0/10, naslovni razpon je 100.64.0.0~100.127.255.255, skupaj 4.194.304 IP naslovov, ta rezervirani naslov pa se uporablja tudi za intranet, vendar ta intranet ni splošni intranet, temveč nosilni NAT, ustrezni prevod v angleščini pa je "carrier-grade NAT". Nadaljnje iskanje je razkrilo, da RFC 6598 (IANA-Reserved IPv4 Prefix for Shared Address Space) iz aprila 2012 uporablja naslovni blok 100.64.0.0/10 (Shared Address Space) za operaterje:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Opomba:SLB-jem morate najprej dovoliti dostop do ECS (prioriteta 1), nato pa ustvariti splošno pravilo (prioriteta 2) za zavrnitev drugih povezav.
|
Objavljeno na 18. 07. 2020 17:36:52
|
|
|
|
