9月4日阿里云官方说我ecs禁了slb的内网IP
9月4日阿里云官方说我ecs禁了slb的内网IP
SLB健康检查源地址相关通知
2018-09-04
我们评估发现您SLB后端的ECS或者ECS HTTP服务设置了访问控制,未对SLB的访问IP段放行。为了确保您对外服务的可用性,请您检查看是否已将100.64.0.0/10这个地址段添加到您相关SLB的后端ECS的访问控制白名单,并请检查ECS的HTTP服务设置以确保此网段所有地址的访问HTTP服务能正常工作。
相关问题参考:
问:如果我不在后端ECS上添加这个地址段,会出现什么问题?
答:将会出现对这个ECS做健康检查时不通,健康检查一直异常,而服务不可用。
问:如何在后端ECS上添加白名单?
答:利用iptables可以进行白名单的添加。
问:如何放开HTTP服务的访问控制?
答:使用的HTTP的服务软件不同,配置不同,典型的HTTP Server软件tomcat和nginx都提供了对应的IP访问控制功能,需要检查它们的配置。
疑点1
我2个slb后端绑的是同一台ecs,阿里云官方说,仅其中一台slb提示ecs禁了slb内网ip.另一台slb没有提示ecs禁了slb内网ip。这不是笑话吗?我2个slb后端绑的是同一台ecs,居然一个slb正常,另一个slb被禁!
疑点2
阿里云官方评估标准:尝试使用新旧两个不同网段负载均衡IP的代理, 使用http访问配置的http 服务端口,获取http返回码,一个正常返回,一个连接超时。
由于受网络状况和ECS当时运行状况影响,评估结果也不能保证100%正确,但一般出问题可能性不大。
如果您已经确定后端服务器没有其他阻碍100.64.0.0/10这个地址段的规则,则可以放心继续使用。
以上是阿里云官方答复
这种评测根本不可能受ECS当时运行状况影响!!!就算受影响他不可能一直永远是连接超时状态!!!! 即然出现了连接超时,阿里云官方居然告诉我一般出问题可能性不大?都超时了,阿里云官方居然说不会出问题????!!!!阿里云官方仔细查了吗?会不会是阿里云官方检测系统(新负载均衡IP)出了问题(阿里云官方检测别人的,他们别人的超时的多不多,从而判断是不是阿里云官方检测系统出错了,大家有没有出现这个情况及时回贴共同讨论下解决办法)
可气的是:阿里云官方评测连接都超时了,还在回复里告诉我“但一般出问题可能性不大”“则可以放心继续使用”这样严重误导我的字眼。这字眼是暗示我不要较真了?是阿里云检测系统出了点小错误(但我又怕不是这种暗示,导致我网站打不开!)
9月4日阿里云官方说我ecs禁了slb的内网IP,我马上就着急了,马上自查了,和开多个工单和阿里云沟通的结果,已证实的是:
1
slb仿问ecs不走安全组,所以ecs安全组禁了slb内网IP的可能性排除
2
iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
这是ecs iptables 结果,所以也排除了iptables禁了slb内网IP
3
web应用自身的拦截名单,apache网站的.htaccess配置文件中可以设置屏蔽某些IP地址访问网站,ECS上有配置安全软件,等等其他拦截了slb内网IP
这些更不可能,我ecs没这些东西,我是原生态的阿里云linux 所以这些禁了slb内网IP的可能性也排除了(另外用膝盖想想,都能想得出来,谁没事会禁内网IP?就算安全软件也不会禁内网IP吧?)
疑点3
问:如果我不在后端ECS上添加这个地址段,会出现什么问题?
答:将会出现对这个ECS做健康检查时不通,健康检查一直异常,而服务不可用。
我slb和ecs配置好后,多年来,一直就没有动过配置了,而且我自己没有发现打不开网站的时候,阿里云公告里我看写的字样一直是 健康检查时不通,从而服务不可用(知字未提网友仿问slb.slb转发ecs能不能转发成功)这个公告为什么过分强调的是健康检查?而不是直接网友仿问slb就不能用了?不会这个公告仅针对健康检查吧?(公告写的不清不楚的!)
总结:
阿里云官方那意思是让我凑合着用!但我担心打不开我的网站啊?所以发贴和大家讨论一下?看看有什么办法,我这边能自查的都查了
写回答
-
在我的不懈努力下,质问了无数的阿里云一线客服,终于出来了个领导,在对话的过程中搞清楚原因了:原来是ecs安全组默认会封掉所有内网IP,但slb的IP不会经过安全组,所以以前一直没有事,但是最近slb增加了一些新的IP,这些新的slb的IP会经过安全组,所以被拦截了(因为ecs安全组默认是封掉所有内网IP的)。是阿里云官方忘了把slb的新IP放进ecs安全组里默认放行,导致的,这样的话,肯定大部分测试都没有通过啊,然后这么多测试没通过阿里云不自己先排查错误原因,居然发公告让用户自己查,结果我浪费了几天时间,现在搞清楚了,阿里云下次测试时要用点心啊,这么低级的错误也能出!吓我一跳(而且在对话过程中,那堆一线阿里云客服一直在“误导”我(往错误路线上引我),总把"责任"往我身上推,让我自己找原因,好在我聪明,坚持了一下,找到原因了)(而且吧后来阿里云好像自己也查出原因来了,直接告诉我没事,不用管了(但是我担心我站打不开啊,才一直强问),但不告诉我原因,是我强问下,才告诉我是这个原因的!)-------------------------
解答疑点1
我那2个slb绑定的同一台ecs 1台slb是http方式,另一台是tcp方式。原来他们仅测试的是http方式,所以tcp方式的另一台slb显示正常
解答疑点2
负载均衡旧内网IP会跳过ecs安全组所以测试正常
新增加的负载均衡新内网IP不会跳过ecs安全组(ecs安全组默认封掉所有内网IP)所以连接超时。因为之前的阿里云一线客服直接明确告诉我的是slb仿问ecs是不经过ecs安组的,所以我也没有往安全组那里想!误导了我很久!而且负载均衡增加新内网IP这么大的变化,居然在公告里知字未提,如果提了,会引起我点警觉!往新内网IP被拦截那边想想,之前一直不知阿里云增加了新的负载均衡内网IP(仔细想想slb增加内网IP这事理论上不告诉我好像也正常)
解答疑点3
阿里云9月4日那个公告,整篇文字读完给我的感觉就是在说 slb健康检查的事,其实还真就是个slb健康检查,就不能写得清楚点,吓人一跳,而且整个公告没提ecs安全组会拦截新增加的slb内网IP的事,可能发公告时阿里云真的不知道ecs安全组默认会拦截slb新增加内网IP,可能阿里云的项目太多了,每个项目之间有哪些关联,可能阿里云自己都忘了,才出来这样的乌龙事件。而且出了这样的测试错误,阿里云居然没先内部自查一下,直接发公告让用户查,吓用户。而且在对话最后的过程中好像阿里云已经找到原因了,但不明确告诉我原因(可能因为出了这么低级的错误,怕没面子担负责吧),直接告诉我“没事不用管了”,如果那时可以及时告诉我原因,我可能都不会发这个贴子了,因为可能问题早就解决了2018-09-07 16:35:52赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
