站务联系
本文作者陈皓,微博@左鼻子耗子,博客:
昨天写了一篇《科普一下公有云的网路》(见后半部份),今天收到了阿里云官方的回复,并还动用了一些微博上的IT圈的号来转这个“澄清”。
【澄清】1.文章存在事实错误,阿里云经典网络网段默认不互通;2.经典网络下,用户只有在设置安全规则开放过多合同跟过大CIDR局域如0.0.0.0/0的状况下才会被访问;3.新用户可优先选择阿里云VPC;4.经典网络存量服务器向VPC迁移功能正在公测;5.正确设置手册:O网页链接
(注:其实,阿里云和一些用户并没有认真阅读我的文章,如果认真阅读了都会发觉阿里云官方是在映证我之前的文章的大部分的观点的)
我本身想促使更成熟更为安全的VPC解决方案的,但发觉阿里云官方的这个言论相当的欺骗用户,似乎还是想使用户信任阿里云的经典网络。既然这么,我认为我十分有必要写下这一篇文章来更为具体地说明一下这个事。
2013年的阿里云
2013年,我在阿里店家业务部做聚石塔,聚石塔的底层是阿里云。当时,聚石塔的安全问题太严重,有很多店家跟卖家的业务数据泄露,所以,成立了一个专门负责安全的小组。阿里安全部委也专宗派人来强力支持。
当时有一个巨大的安全问题是——阿里云的网段多个住户竟然是通的。我团队的一个花名叫焦义的老师做了一个那样的检测——用自己的钱在阿里云上开了一台机器,然后随意访问聚石塔里的用户的机器,当时做这个检测的时侯,阿里安全部委的Suddy、商家业务部的安全负责人沧竹,都在身旁。
这个事情,由我跟玄难提给了当初负责聚石塔阿里云的产品总监许玉勤,经过了历时几个月的勾通,最终阿里云没有解决这个事,所以,只能由聚石塔来解决。于是我们就给聚石塔的住户设置安全组,因为底层支持的很不好,所以设置的太死,而用户又须要在自己的集群中互相通讯,所以,当时的解决方案是,需要用户申请,我们才开了3000-3100的端口范围。(当时这个项目我在聚石塔做了好几个月,扯皮无数,所以我记忆特别深)
注:当时的阿里云是不使用户编辑安全组的,内网是全互通的。如果我没有记错,到了我快要离开阿里的时侯(2015年)才使用户可以编辑安全组的。
(上面的事主要是回复——阿里云的网段是不是经常都是默认不通的这个问题)
我不是做安全的,我是做硬件的,我相信VPC比安全组更安全这个事,安全的朋友也不反对吧。
注:我都离开阿里了,还在为阿里提建议找Bug,作为阿里云,你们应当谢谢我才对!经典网络还有什么风险
