Talep
Arka uç hizmet portu, kullanıcıların doğrudan erişmesini sağlamaz, örneğin 80, 443:3389 vb., ve sadece Alibaba Cloud'un SLB yük dengeleyicisi üzerinden erişim sağlar. ECS, kamu ağ iletimi ve yüklemesi için SLB kullandığından, kullanıcıların ECS genel ağ adresine erişmesi gerekmez, bu nedenle güvenlik grubu kuralları kullanıcıların ECS adresine doğrudan erişmesini engelleyecek şekilde yapılandırılır.
Çözüm:
Yük dengeleyicinin IP adres bloğu, 100.64.0.0/10 (100.64.0.0/10, Alibaba Cloud'un ayrılmış adresidir ve diğer kullanıcılar bu ağ bloğuna atanamaz bu nedenle güvenlik riski yoktur) ve Anti-Pro'nun IP adres bloğu bir güvenlik riski değildir.
Referans adresi:
Bağlantı girişi görünür.
Bağlantı girişi görünür.
Sonra 100.64 ile başlayan IP adresi adres bloğuna karşılık gelir ve adres bloğu 100.64.0.0/10'dur, adres aralığı 100.64.0.0~100.127.255.255'dir ve toplamda 4.194.304 IP adresi içerir; bu ayrılmış adres intranet için de kullanılır, ancak bu intranet genel intranet değil, taşıyıcı sınıfı bir NAT'tır ve İngilizce'deki karşılık gelen çeviri "carrier-grade NAT"tir. Daha fazla araştırma, Nisan 2012 tarihli RFC 6598'in (IANA-Reserved IPv4 Prefix for Shared Address Space) operatör ISP'ler için 100.64.0.0/10 (Paylaşılan Adres Alanı) adres bloğunu kullandığını ortaya koydu:
NetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
OriginAS:
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET-100-0-0-0-0
NetType: IANA Special Use 
Not:SLB'lerin önce ECS'ye erişmesine izin vermeniz (öncelik 1), ardından diğer bağlantıları reddetmek için genel bir kural (öncelik 2) oluşturmanız gerekir.
|
Yayınlandı 18.07.2020 17:36:52
|
|
|
|
