阿里云
1024开发者盛宴之Java专家问答专场
发表主题 回复主题
  • 751阅读
  • 2回复

[云安全技术和产品专区 ]9月4日阿里云官方说我ecs禁了slb的内网IP

级别: 码农
发帖
166
云币
256
@YvOoTyb  
9月4日阿里官方说我ecs禁了slb的内网IP uxn)R#?  
K`}{0@ilCw  
+ Y.1)i}  
SLB健康检查源地址相关通知 psh^MX)Q  
2018-09-04 5cr(S~Q;  
我们评估发现您SLB后端的ECS或者ECS HTTP服务设置了访问控制,未对SLB的访问IP段放行。为了确保您对外服务的可用性,请您检查看是否已将100.64.0.0/10这个地址段添加到您相关SLB的后端ECS的访问控制白名单,并请检查ECS的HTTP服务设置以确保此网段所有地址的访问HTTP服务能正常工作。 72W,FU~OD  
相关问题参考: A*h{Lsx;  
问:如果我不在后端ECS上添加这个地址段,会出现什么问题? aIy*pmpD=  
答:将会出现对这个ECS做健康检查时不通,健康检查一直异常,而服务不可用。 iq#b#PYA  
问:如何在后端ECS上添加白名单? h-a!q7]l  
答:利用iptables可以进行白名单的添加。 zr v]  
问:如何放开HTTP服务的访问控制? h+.{2^x  
答:使用的HTTP的服务软件不同,配置不同,典型的HTTP Server软件tomcat和nginx都提供了对应的IP访问控制功能,需要检查它们的配置。 #qU-j/Qf  
Bm$"WbOq*R  
A$0H .F>  
5FVndMM#y  
F+ <Z<q  
疑点1 "eWk#/  
我2个slb后端绑的是同一台ecs,阿里云官方说,仅其中一台slb提示ecs禁了slb内网ip.另一台slb没有提示ecs禁了slb内网ip。这不是笑话吗?我2个slb后端绑的是同一台ecs,居然一个slb正常,另一个slb被禁! GY3 Wj  
疑点2 l:;PXy6)  
阿里云官方评估标准:尝试使用新旧两个不同网段负载均衡IP的代理, 使用http访问配置的http 服务端口,获取http返回码,一个正常返回,一个连接超时。 e<7.y#L  
由于受网络状况和ECS当时运行状况影响,评估结果也不能保证100%正确,但一般出问题可能性不大。 XLk<*0t p  
如果您已经确定后端服务器没有其他阻碍100.64.0.0/10这个地址段的规则,则可以放心继续使用。 ?PA$Ur21lw  
1sE?YJP-  
4EI7W,y  
以上是阿里云官方答复 ?SQE5Z  
这种评测根本不可能受ECS当时运行状况影响!!!就算受影响他不可能一直永远是连接超时状态!!!! 即然出现了连接超时,阿里云官方居然告诉我一般出问题可能性不大?都超时了,阿里云官方居然说不会出问题????!!!!阿里云官方仔细查了吗?会不会是阿里云官方检测系统(新负载均衡IP)出了问题(阿里云官方检测别人的,他们别人的超时的多不多,从而判断是不是阿里云官方检测系统出错了,大家有没有出现这个情况及时回贴共同讨论下解决办法)   +cJy._pi!  
可气的是:阿里云官方评测连接都超时了,还在回复里告诉我“但一般出问题可能性不大”“则可以放心继续使用”这样严重误导我的字眼。这字眼是暗示我不要较真了?是阿里云检测系统出了点小错误(但我又怕不是这种暗示,导致我网站打不开!) +;BAV  
c$ S{^IQ  
3uU]kD^  
9月4日阿里云官方说我ecs禁了slb的内网IP,我马上就着急了,马上查了,和开多个工单和阿里云沟通的结果,已证实的是: 2n><RZ/9  
1 )M=ioE8`h  
slb仿问ecs不走安全组,所以ecs安全组禁了slb内网IP的可能性排除 Dih6mTP{  
2 0tIS Xu-  
iptables -L -n -v ^2d!*W|  
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) Vt^3iX{!  
pkts bytes target     prot opt in     out     source               destination         #Lsnr.80  
}7fZ[J3  
~vLW.:  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) M)*\a/6?{  
pkts bytes target     prot opt in     out     source               destination         NW~z&8L  
Z UKf`m[  
j.a`N2]WE  
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) g&dPd7  
pkts bytes target     prot opt in     out     source               destination   ,h|qi[7  
这是ecs iptables 结果,所以也排除了iptables禁了slb内网IP (%iRaw7hp  
3 )%rg?lI  
web应用自身的拦截名单,apache网站的.htaccess配置文件中可以设置屏蔽某些IP地址访问网站,ECS上有配置安全软件,等等其他拦截了slb内网IP a{!QOX%K  
这些更不可能,我ecs没这些东西,我是原生态的阿里云linux 所以这些禁了slb内网IP的可能性也排除了(另外用膝盖想想,都能想得出来,谁没事会禁内网IP?就算安全软件也不会禁内网IP吧?) a`Gx=8  
_'4A|-9  
_X ~87  
疑点3 gVeEdo`$<  
问:如果我不在后端ECS上添加这个地址段,会出现什么问题? jq'!UN{  
答:将会出现对这个ECS做健康检查时不通,健康检查一直异常,而服务不可用。 nEzf.[+9/  
R1&unm0  
Cs2;z:O]  
我slb和ecs配置好后,多年来,一直就没有动过配置了,而且我自己没有发现打不开网站的时候,阿里云公告里我看写的字样一直是 健康检查时不通,从而服务不可用(知字未提网友仿问slb.slb转发ecs能不能转发成功)这个公告为什么过分强调的是健康检查?而不是直接网友仿问slb就不能用了?不会这个公告仅针对健康检查吧?(公告写的不清不楚的!) k6`6Mjbc  
[m^+,%m5]  
R+g z<H.Q  
总结: 1[_mEtM:]B  
阿里云官方那意思是让我凑合着用!但我担心打不开我的网站啊?所以发贴和大家讨论一下?看看有什么办法,我这边能自查的都查了 2VW}9O  
NM)k/?fA  
kyR*D1N&)  
-}K<ni6  
级别: 码农
发帖
166
云币
256
只看该作者 沙发  发表于: 09-07
在我的不懈努力下,质问了无数的阿里云一线客服,终于出来了个领导,在对话的过程中搞清楚原因了:原来是ecs安全组默认会封掉所有内网IP,但slb的IP不会经过安全组,所以以前一直没有事,但是最近slb增加了一些新的IP,这些新的slb的IP会经过安全组,所以被拦截了(因为ecs安全组默认是封掉所有内网IP的)。是阿里云官方忘了把slb的新IP放进ecs安全组里默认放行,导致的,这样的话,肯定大部分测试都没有通过啊,然后这么多测试没通过阿里云不自己先排查错误原因,居然发公告让用户自己查,结果我浪费了几天时间,现在搞清楚了,阿里云下次测试时要用点心啊,这么低级的错误也能出!吓我一跳(而且在对话过程中,那堆一线阿里云客服一直在“误导”我(往错误路线上引我),总把"责任"往我身上推,让我自己找原因,好在我聪明,坚持了一下,找到原因了)(而且吧后来阿里云好像自己也查出原因来了,直接告诉我没事,不用管了(但是我担心我站打不开啊,才一直强问),但不告诉我原因,是我强问下,才告诉我是这个原因的!)
级别: 码农
发帖
166
云币
256
只看该作者 板凳  发表于: 09-07
解答疑点1 N&@}/wzZ  
我那2个slb绑定的同一台ecs 1台slb是http方式,另一台是tcp方式。原来他们仅测试的是http方式,所以tcp方式的另一台slb显示正常 B=|cS;bM$3  
解答疑点2 +S Jd@y@fR  
负载均衡旧内网IP会跳过ecs安全组所以测试正常 #Fyuf,hw4  
新增加的负载均衡新内网IP不会跳过ecs安全组(ecs安全组默认封掉所有内网IP)所以连接超时。因为之前的阿里云一线客服直接明确告诉我的是slb仿问ecs是不经过ecs安组的,所以我也没有往安全组那里想!误导了我很久!而且负载均衡增加新内网IP这么大的变化,居然在公告里知字未提,如果提了,会引起我点警觉!往新内网IP被拦截那边想想,之前一直不知阿里云增加了新的负载均衡内网IP(仔细想想slb增加内网IP这事理论上不告诉我好像也正常) K\|FQ^#UYm  
解答疑点3 V)}rEX   
阿里云9月4日那个公告,整篇文字读完给我的感觉就是在说 slb健康检查的事,其实还真就是个slb健康检查,就不能写得清楚点,吓人一跳,而且整个公告没提ecs安全组会拦截新增加的slb内网IP的事,可能发公告时阿里云真的不知道ecs安全组默认会拦截slb新增加内网IP,可能阿里云的项目太多了,每个项目之间有哪些关联,可能阿里云自己都忘了,才出来这样的乌龙事件。而且出了这样的测试错误,阿里云居然没先内部自查一下,直接发公告让用户查,吓用户。而且在对话最后的过程中好像阿里云已经找到原因了,但不明确告诉我原因(可能因为出了这么低级的错误,怕没面子担负责吧),直接告诉我“没事不用管了”,如果那时可以及时告诉我原因,我可能都不会发这个贴子了,因为可能问题早就解决了
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个