关于租户内网是否隔离，大神打架了

租户

打架

隔离

关于

34 条回复 • 2017-02-28 09:11:52 +08:00

1

goodryb

2017-02-26 10:05:16 +08:00

不给链接怎么看

2

bianchensz

2017-02-26 10:15:40 +08:00

不明觉厉占个楼

3

Keyes

2017-02-26 10:20:46 +08:00 via iPhone

属于家务事

4

ZiLong

2017-02-26 11:13:59 +08:00

求链接

5

HmyBmny

2017-02-26 11:30:15 +08:00 via Android

@goodryb 这明显是微博嘛

6

RE

2017-02-26 12:40:28 +08:00 via iPhone

阿里云有租户隔离？？？

7

fy

2017-02-26 12:55:58 +08:00

不明觉厉，我只关心最下面那文章

8

ywgx

2017-02-26 13:27:10 +08:00

“@哨兵机器人：阿里云经典网络，同一地区本质是物理相通的，一般企业设置内网 10.0.0.0/8 允许的话，整个大区域都是互通的; redis 基本配置要素，最小权限访问，只开放给需要访问的源 IP 机器，模版控制防火墙配置，同时把 /root/.ssh/ 文件夹锁定，禁止写入，一旦有文件写，即可报警总之我们这边就是这样处理的 https://zybuluo.com/ywgx/note/371858 "

9

ayanamist

2017-02-26 14:08:39 +08:00 via Android

没啥好打架的，看过内网章博士对耗子的评价，就知道到底谁在做实事了。硬要说谁是大神的话，只能说有一个是嘴炮大神了。

10

slixurd

2017-02-26 14:13:53 +08:00

@ayanamist 求详细...
感觉陈皓是现在少数几个会写技术文章的人之一了...
其他要么写得没几个人看得懂,要么万年入门级别....

11

phpinfo

2017-02-26 14:40:07 +08:00

连鸟哥都开始喷耗子哥了

12

cooka

2017-02-26 14:57:02 +08:00 via Android

@ayanamist 章博士的文章是照妖镜吗？要么就直接贴出来。
从我使用经历
阿里云的 vpc 设计推翻了不止一次吧？即使现在的架构水平，跟 5 年前的 aws 恐怕也是不能比的。
另外，阿里云盾宣传那么厉害，但是对 redis 这样的漏洞没有应对措施，对新手来说基本是放任的

13

wdlth

2017-02-26 15:02:48 +08:00

阿里定义网络没有一千万不敢乱用……

14

WinG

2017-02-26 15:10:51 +08:00

@ayanamist 请明说

15

jasontse

2017-02-26 15:54:16 +08:00 via iPad

阿里云的 IP 一年一换我就感觉阿里的网络架构设计有问题

16

ayanamist

2017-02-26 16:18:58 +08:00 via Android

公司内网属于机密，贴出来直接开除，任何公司都是如此；章博士当然不是照妖镜，但却是耗子的老板，我觉得应该分量够了。
阿里云本身怎么设计我不评价，也和我说的话没啥关系，嘴上喷喷谁都会并不需要水平。

17

fytriht

2017-02-26 16:25:19 +08:00

1

@ayanamist 是这篇文章吗？
“左耳朵耗子的主管， LVS 项目作者章文嵩博士在内网发的对左耳朵耗子工作业绩的评价” https://commondatastorage.googleapis.com/letscorp_archive/archives/90263

18

changwei

2017-02-26 16:54:52 +08:00 via Android

本来一个区域下内网就是互相访问的，不然你买的 rds 和 ecs 怎么互联？

19

tabris17

2017-02-26 16:56:42 +08:00

谁的锅？不是我。扔给运维吧

20

baoguok

2017-02-26 17:03:26 +08:00

阿里云有隔离，非自己的主机无法通过内网访问

21

shiny

2017-02-26 17:06:12 +08:00

几年前经典内网下不同账号之间的 ecs 是无法互访的。

22

mengskysama

2017-02-26 17:19:46 +08:00 via iPhone

怎么这么巧，我们公司内网裸奔 redis 也被比特币干了。

23

goodryb

2017-02-26 20:36:26 +08:00

下意识的看了下微博发送的时间， 2017 年 2 月 24 日，还在拿四年前的思维看现在的阿里云，真是可笑

不管是经典网络还是 VPC ，租户隔离早就完成了，不信的自己买个机器测试去

24

8bit

2017-02-26 20:46:21 +08:00

@fytriht 老板指出了没完成任务的结果以及他说出的原因，然而看 @fytriht 贴的文章，然而这原因并不单纯

25

realpg

PRO

2017-02-26 23:00:30 +08:00

@RE #6
默认安全组规则内网是不允许任何互访的公网是 allow all 的
貌似手贱的写了个 allow 10.0.0.0/8 all port 的规则然后喊内网互通危险的逻辑我是搞不懂

反正不隔离的特性对我很重要，内网授权服务器类应用，所有客户都是不同账号

手动开了个例外以后然后喊不安全的实在搞不懂脑袋被啥挤了

26

julyclyde

2017-02-26 23:14:12 +08:00

@changwei rds 不是“另一个租户”，而是“公共设施”

27

vela

2017-02-26 23:29:18 +08:00

看贴一愣一愣的，简直有如宫斗戏。

28

Jaylee

2017-02-27 00:29:19 +08:00

@ayanamist http://zhihu.com/question/30778071/answer/49487237

29

Jaylee

2017-02-27 00:31:23 +08:00

@ayanamist 那个回答貌似还有你的回复

30

HLT

2017-02-27 01:27:52 +08:00

租户隔离不是很早就搞了么

31

cooka

2017-02-27 11:43:31 +08:00

@ayanamist
```
阿里云本身怎么设计我不评价，也和我说的话没啥关系，嘴上喷喷谁都会并不需要水平。
```

我们毕竟是阿里云用户, 遇到了阿里云的问题, 提出了问题, 想了解一些现状和避免的措施.
你完全可以去内网好好了解一下阿里云的问题, 然后出来科普反驳, 而不是用内网的权威文出来指责某些阿里的"叛徒".

32

ayanamist

2017-02-27 15:45:52 +08:00

@cooka 关于 VPC 隔离这件事本身，已经有官方文章了 http://weibo.com/1644971875/ExrHG5VlO 术业有专攻，我不搞这个，没能力做这个科普。
我评论的只是标题里“大神打架了”这个而已。

33

cooka

2017-02-27 22:41:51 +08:00

@ayanamist 文章讨论的是阿里云用户的隔离, 左耳也回了一篇 http://weibo.com/ttarticle/p/show?id=2309404079841686247162
vpc 的确是网络隔离的目前最优的方案, 但是阿里云这么大的经典网络存量用户当前的确是不安全的, 文中的漏洞相比我 2015 年用阿里云时了解的, 感觉阿里云基本上没有做什么(经典网络)安全上的改进.
所以标题下贴图的内容是真的.

34

ayanamist

2017-02-28 09:11:52 +08:00

@cooka 我再次重申不讨论这个事，我也是门外汉。但就上面某个网友贴的链接，耗子在阿里云时主动**不参与**VPC 项目，现在来喷这个，感觉非常的呵呵。有功夫喷人，不如花时间做事。问题这么多，就是缺人做事啊。他在的时候不吱声不做事，走了到处喷，到底是大神还是大婶，自己判断吧。