这是一个创建于 2804 天前的主题,其中的信息可能已经有所发展或是发生改变。
事情的起因是这样的,一家公司说在阿里云的 redis 被干了...因为限制了公网访问但是没限制好阿里云的内网访问加上没授权被干了...
于是左耳朵耗子和云舒这两位前阿里 P9 就开始争执起来
这两个人的描述大相径庭,肯定有一个人是水比 (逃
于是左耳朵耗子又发了一篇文章
http://weibo.com/ttarticle/p/show?id=2309404079443999097225
这篇文章还是写的很模糊的, 个别地方应该也有问题,呵呵
不过过了几天又发了一篇文章
http://weibo.com/ttarticle/p/show?id=2309404079841686247162
这篇文章讲的要明了了一些,下面是我的感想
- 安全组只能设置一个网段的(别说针对 IP,会累死的), 但是内网网段可以共用的,你开了一个 CIDR 的,有可能把别人也放进来,什么,独享网段?...
- 安全组通过 iptables 来做,在一个 P2P 的网络里用 iptables 这种单点的有限制的玩意来限制流量,阿里云的开发运维辛苦了...这个摊子不好收拾
现在来看, VPC 才是解决问题的正道,不过阿里云的存量问题不好迁移到 VPC 吧
第 1 条附言 · 2017-02-28 11:46:57 +08:00
云舒的新文章
http://weibo.com/ttarticle/p/show?id=2309404080084758708032
1. CAM 表说成交换机 ACM 表么,笔误,可以理解
2.VPC 的隔离应该比迁移更重要一点, 优先级问题,没啥
3.聚石塔居然是一个 tenant,不同的客户放在一个 tenant 里,淘宝真是心大,难道聚石塔不是多个租户么..
4.自动配置 iptables 挺好,不过要在所有关联的机器上都改动,想想就酸爽.其实 openflow 也差不多,都是在 P2P 的 VTEP 上限制.好歹北向接口完善.
其实阿里这个主要也是因为起步早, 我上大学那会 VXLAN+OPENFLOW 还是很牛比的课题呢..
大内网暴露的问题确实是客观存在的.并且存量问题很难解决,看看阿里云怎么解决了
http://weibo.com/ttarticle/p/show?id=2309404080084758708032
1. CAM 表说成交换机 ACM 表么,笔误,可以理解
2.VPC 的隔离应该比迁移更重要一点, 优先级问题,没啥
3.聚石塔居然是一个 tenant,不同的客户放在一个 tenant 里,淘宝真是心大,难道聚石塔不是多个租户么..
4.自动配置 iptables 挺好,不过要在所有关联的机器上都改动,想想就酸爽.其实 openflow 也差不多,都是在 P2P 的 VTEP 上限制.好歹北向接口完善.
其实阿里这个主要也是因为起步早, 我上大学那会 VXLAN+OPENFLOW 还是很牛比的课题呢..
大内网暴露的问题确实是客观存在的.并且存量问题很难解决,看看阿里云怎么解决了
第 2 条附言 · 2017-02-28 11:48:09 +08:00
1. 他说的 CAM 表可能指的是交换机的 ACM 表
第 3 条附言 · 2017-02-28 13:15:08 +08:00
 |
1
appleorchard2000 2017-02-27 21:25:53 +08:00 via Android
参考一下 openstack 就完了。很多人搞不清什么叫租户隔离。另我第一次使用阿里云,第一反应也是,操蛋的大内网。
|
 |
2
littlehz 2017-02-27 22:47:30 +08:00  1
经典网络是大内网,没有租户隔离,默认配置了安全组(本质上是云厂商的 iptables ),安全组默认是不允许互访。但是物理上的大内网互通,人为懒开放了内网,或者稍微出点 BUG ,或者自己的机器一多配错 IP ,那就别的租户可以内网连接过来了。
|
 |
3
chnyang 2017-02-27 22:47:58 +08:00 via Android 2
所以你的结论是?到底谁是水 b ?在线等 急
|
 |
4
kaneg 2017-02-27 22:54:45 +08:00 via iPhone
按照阿里的文档是说内网默认是不通的,除非做以下设定:
1. 置于同一安全组 2. 显示允许对方 ip 所以理论上没有设置过以上的内网是安全的。但实际上是否有超出文档所说范围就不得而知了 |
 |
5
Antidictator 2017-02-27 23:00:44 +08:00 via Android
@chnyang 23333 ,老哥稳
|
 |
6
echo1937 2017-02-27 23:10:05 +08:00
 |
 |
7
yexm0 2017-02-27 23:14:26 +08:00
新开通的用户只能选专有网络了.
https://help.aliyun.com/noticelist/articleid/20216496.html |
 |
8
songofhawk 2017-02-28 07:58:28 +08:00 via Android
意料之外,情理之中。阿里从那么早开始做云计算,而且面临抢市场的压力, sdn 做不好也是可以理解的。现在被爆出问题,开始改进,也算是件好事
|
 |
9
timothyye 2017-02-28 08:19:59 +08:00 via Android
是个大内网,我司 redis 就被干过……
|
 |
10
19zero 2017-02-28 10:14:30 +08:00
默认不互通,耗子扫出来的那些端口都是用户自己改了安全组(或许是出于方便的目的),个人认为这锅不应该服务商来背,况且阿里云不也有 VPC 么
|
 |
11
silentime 2017-02-28 11:00:24 +08:00
现在知道为啥阿里 redis 要默认设密码了。。。
|
|
12
19zero 2017-02-28 11:34:39 +08:00
|
 |
13
xia0pia0 2017-02-28 11:38:18 +08:00
经典网络就是个大内网,里面虽然分了不少网段,但是网段之间(至少有部分)是互通的,不信可以根据分配的内网 ip 跟掩码,试验下访问别的网段机器。这个是很早之前就验证过的事了,是不是偷偷改掉又没发声明就不清楚了。很多人根据“租户隔离”的经验,就被坑了,这个锅是用户没用 VPC 的?阿里云怎么自己没声明?
|
 |
14
c0878 2017-02-28 11:53:26 +08:00
阿里云昨天晚上发公告给我 提醒设置经典网络内网 IP 段限制 租户隔离是没错 架不住用户设置允许 0.0.0.0/0
|
 |
18
ETiV 2017-02-28 12:36:16 +08:00 via iPhone
这个问题 我之前还看过阿里云文档
里面说了同机房 可以跨账号互通 所以我都是安全组全开 机器上配 iptables |
 |
19
watzds 2017-02-28 12:47:10 +08:00 via Android
云舒新文章 404 了…
|
 |
20
cherrybob 2017-02-28 12:57:35 +08:00
云舒?呵呵
|
 |
21
ivvei 2017-02-28 12:59:46 +08:00
云舒的文章 404 ,看不到。耗子这个看起来说得还是很中肯的。
|
 |
22
jasontse 2017-02-28 13:23:31 +08:00 via iPad
所以,本期节目的问题是: 到底是交换机的什么表。
A: CAM 表 B: ACM 表 C: MAC 表 |
 |
23
jjx 2017-02-28 13:34:10 +08:00 via Android
那默认的到底是安全不安全的呢,有没有明确的结论!没有专职运维的我头大了,又要开发又要搞安全,原以为阿里云回省心点呢
|
 |
24
XiaoFaye 2017-02-28 13:36:48 +08:00
感觉阿里云就是骗骗国内的人赚点钱的。。。
|
|
25
19zero 2017-02-28 13:53:04 +08:00
@jjx 我觉得写得很明白了,阿里与给你设置了缺省是隔离的,你可以为了方便而手动调成开放状态,但这样产生的风险当然需要自己来承担了。阿里云也说了,推荐使用 VPC ,估计经典网络里还有大量存量用户吧。
|
 |
26
ly710 2017-02-28 14:05:23 +08:00
我就想知道云舒和道哥谁更屌一点?
|
 |
30
mingyun 2017-02-28 22:04:38 +08:00
还是 v2 备份好,想删也删不了
|
 |
31
wdlth 2017-02-28 22:05:08 +08:00
可以从别的地域 Ping 和 Traceroute 另一个地域的内网网关……
|
|
32
timothyye 2017-03-01 08:16:53 +08:00 via Android
先前用惯了 aws ,一直以为阿里云也类似,默认该账号下的主机会在 vpc 里面,于是给内网加了所有 ip 能访问的规则,结果发现这才是安全隐患…… 一台 redis 服务器被搞了,安装了挖矿程序。后来清理掉,顺便去掉了内网规则。
|
 |
33
Devmingwang 2017-03-01 14:21:44 +08:00 via Android
阿里云那邮件,最近一天发 8 遍。。。
|
Select Language