V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
TheCure
V2EX  ›  云计算

两个前阿里 P9の争论,阿里云经典网络真的是互通的?

  •  1
     
  •   TheCure · 2017-02-27 20:41:12 +08:00 · 15692 次点击
    这是一个创建于 2855 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情的起因是这样的,一家公司说在阿里云的 redis 被干了...因为限制了公网访问但是没限制好阿里云的内网访问加上没授权被干了...

    于是左耳朵耗子和云舒这两位前阿里 P9 就开始争执起来

    这两个人的描述大相径庭,肯定有一个人是水比 (逃

    于是左耳朵耗子又发了一篇文章

    http://weibo.com/ttarticle/p/show?id=2309404079443999097225

    这篇文章还是写的很模糊的, 个别地方应该也有问题,呵呵

    不过过了几天又发了一篇文章

    http://weibo.com/ttarticle/p/show?id=2309404079841686247162

    这篇文章讲的要明了了一些,下面是我的感想

    • 安全组只能设置一个网段的(别说针对 IP,会累死的), 但是内网网段可以共用的,你开了一个 CIDR 的,有可能把别人也放进来,什么,独享网段?...
    • 安全组通过 iptables 来做,在一个 P2P 的网络里用 iptables 这种单点的有限制的玩意来限制流量,阿里云的开发运维辛苦了...这个摊子不好收拾

    现在来看, VPC 才是解决问题的正道,不过阿里云的存量问题不好迁移到 VPC 吧

    第 1 条附言  ·  2017-02-28 11:46:57 +08:00
    云舒的新文章
    http://weibo.com/ttarticle/p/show?id=2309404080084758708032

    1. CAM 表说成交换机 ACM 表么,笔误,可以理解
    2.VPC 的隔离应该比迁移更重要一点, 优先级问题,没啥
    3.聚石塔居然是一个 tenant,不同的客户放在一个 tenant 里,淘宝真是心大,难道聚石塔不是多个租户么..
    4.自动配置 iptables 挺好,不过要在所有关联的机器上都改动,想想就酸爽.其实 openflow 也差不多,都是在 P2P 的 VTEP 上限制.好歹北向接口完善.

    其实阿里这个主要也是因为起步早, 我上大学那会 VXLAN+OPENFLOW 还是很牛比的课题呢..
    大内网暴露的问题确实是客观存在的.并且存量问题很难解决,看看阿里云怎么解决了
    第 2 条附言  ·  2017-02-28 11:48:09 +08:00
    1. 他说的 CAM 表可能指的是交换机的 ACM 表
    第 3 条附言  ·  2017-02-28 13:15:08 +08:00
    33 条回复    2017-03-01 14:21:44 +08:00
    appleorchard2000
        1
    appleorchard2000  
       2017-02-27 21:25:53 +08:00 via Android
    参考一下 openstack 就完了。很多人搞不清什么叫租户隔离。另我第一次使用阿里云,第一反应也是,操蛋的大内网。
    littlehz
        2
    littlehz  
       2017-02-27 22:47:30 +08:00   ❤️ 1
    经典网络是大内网,没有租户隔离,默认配置了安全组(本质上是云厂商的 iptables ),安全组默认是不允许互访。但是物理上的大内网互通,人为懒开放了内网,或者稍微出点 BUG ,或者自己的机器一多配错 IP ,那就别的租户可以内网连接过来了。
    chnyang
        3
    chnyang  
       2017-02-27 22:47:58 +08:00 via Android   ❤️ 2
    所以你的结论是?到底谁是水 b ?在线等 急
    kaneg
        4
    kaneg  
       2017-02-27 22:54:45 +08:00 via iPhone
    按照阿里的文档是说内网默认是不通的,除非做以下设定:
    1. 置于同一安全组
    2. 显示允许对方 ip
    所以理论上没有设置过以上的内网是安全的。但实际上是否有超出文档所说范围就不得而知了
    Antidictator
        5
    Antidictator  
       2017-02-27 23:00:44 +08:00 via Android
    @chnyang 23333 ,老哥稳
    echo1937
        6
    echo1937  
       2017-02-27 23:10:05 +08:00
    yexm0
        7
    yexm0  
       2017-02-27 23:14:26 +08:00
    新开通的用户只能选专有网络了.
    https://help.aliyun.com/noticelist/articleid/20216496.html
    songofhawk
        8
    songofhawk  
       2017-02-28 07:58:28 +08:00 via Android
    意料之外,情理之中。阿里从那么早开始做云计算,而且面临抢市场的压力, sdn 做不好也是可以理解的。现在被爆出问题,开始改进,也算是件好事
    timothyye
        9
    timothyye  
       2017-02-28 08:19:59 +08:00 via Android
    是个大内网,我司 redis 就被干过……
    19zero
        10
    19zero  
       2017-02-28 10:14:30 +08:00
    默认不互通,耗子扫出来的那些端口都是用户自己改了安全组(或许是出于方便的目的),个人认为这锅不应该服务商来背,况且阿里云不也有 VPC 么
    silentime
        11
    silentime  
       2017-02-28 11:00:24 +08:00
    现在知道为啥阿里 redis 要默认设密码了。。。
    19zero
        12
    19zero  
       2017-02-28 11:34:39 +08:00
    xia0pia0
        13
    xia0pia0  
       2017-02-28 11:38:18 +08:00
    经典网络就是个大内网,里面虽然分了不少网段,但是网段之间(至少有部分)是互通的,不信可以根据分配的内网 ip 跟掩码,试验下访问别的网段机器。这个是很早之前就验证过的事了,是不是偷偷改掉又没发声明就不清楚了。很多人根据“租户隔离”的经验,就被坑了,这个锅是用户没用 VPC 的?阿里云怎么自己没声明?
    c0878
        14
    c0878  
       2017-02-28 11:53:26 +08:00
    阿里云昨天晚上发公告给我 提醒设置经典网络内网 IP 段限制 租户隔离是没错 架不住用户设置允许 0.0.0.0/0
    chenqh
        15
    chenqh  
       2017-02-28 12:15:01 +08:00 via iPhone
    @c0878 那估计是以为在机房这样配置没问题呀
    billowqiu
        16
    billowqiu  
       2017-02-28 12:18:18 +08:00
    @silentime 有道理,哈哈
    chenqh
        17
    chenqh  
       2017-02-28 12:21:52 +08:00 via iPhone
    @c0878 内网不可以 0000 ?那 vpc 可以吗?机房可以吗?
    ETiV
        18
    ETiV  
       2017-02-28 12:36:16 +08:00 via iPhone
    这个问题 我之前还看过阿里云文档
    里面说了同机房 可以跨账号互通

    所以我都是安全组全开 机器上配 iptables
    watzds
        19
    watzds  
       2017-02-28 12:47:10 +08:00 via Android
    云舒新文章 404 了…
    cherrybob
        20
    cherrybob  
       2017-02-28 12:57:35 +08:00
    云舒?呵呵
    ivvei
        21
    ivvei  
       2017-02-28 12:59:46 +08:00
    云舒的文章 404 ,看不到。耗子这个看起来说得还是很中肯的。
    jasontse
        22
    jasontse  
       2017-02-28 13:23:31 +08:00 via iPad
    所以,本期节目的问题是: 到底是交换机的什么表。
    A: CAM 表
    B: ACM 表
    C: MAC 表
    jjx
        23
    jjx  
       2017-02-28 13:34:10 +08:00 via Android
    那默认的到底是安全不安全的呢,有没有明确的结论!没有专职运维的我头大了,又要开发又要搞安全,原以为阿里云回省心点呢
    XiaoFaye
        24
    XiaoFaye  
       2017-02-28 13:36:48 +08:00
    感觉阿里云就是骗骗国内的人赚点钱的。。。
    19zero
        25
    19zero  
       2017-02-28 13:53:04 +08:00
    @jjx 我觉得写得很明白了,阿里与给你设置了缺省是隔离的,你可以为了方便而手动调成开放状态,但这样产生的风险当然需要自己来承担了。阿里云也说了,推荐使用 VPC ,估计经典网络里还有大量存量用户吧。
    ly710
        26
    ly710  
       2017-02-28 14:05:23 +08:00
    我就想知道云舒和道哥谁更屌一点?
    chenqh
        27
    chenqh  
       2017-02-28 15:02:05 +08:00
    @jjx VPC 估计好点,经典网络现在看来就是个大局域网
    jjx
        28
    jjx  
       2017-02-28 15:04:34 +08:00
    @chenqh

    昨天我看一下, 没找到现有 ecs 改经典网络到 vpc 的选项
    FreeDog
        29
    FreeDog  
       2017-02-28 16:38:20 +08:00
    @jjx 不可更改,除非建立镜像然后重建。即使客服可以改,也是销毁原来的再新建一个
    mingyun
        30
    mingyun  
       2017-02-28 22:04:38 +08:00
    还是 v2 备份好,想删也删不了
    wdlth
        31
    wdlth  
       2017-02-28 22:05:08 +08:00
    可以从别的地域 Ping 和 Traceroute 另一个地域的内网网关……
    timothyye
        32
    timothyye  
       2017-03-01 08:16:53 +08:00 via Android
    先前用惯了 aws ,一直以为阿里云也类似,默认该账号下的主机会在 vpc 里面,于是给内网加了所有 ip 能访问的规则,结果发现这才是安全隐患…… 一台 redis 服务器被搞了,安装了挖矿程序。后来清理掉,顺便去掉了内网规则。
    Devmingwang
        33
    Devmingwang  
       2017-03-01 14:21:44 +08:00 via Android
    阿里云那邮件,最近一天发 8 遍。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3490 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 10:55 · PVG 18:55 · LAX 02:55 · JFK 05:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.