如何评价@左耳朵耗子 的《关于阿里云经典网络的问题》？ 第1页

这个，的确是这样，好几年前就这样了，怎么今天才有人发现……因为我以前在某国企的某公有云的时候也是这样的……

实际上在某公有云的时候这是个很无奈的选择，当时的技术本来是高级网络，也就是多租户物理隔离，但是物理隔离的方式是使用VLAN，要知道VLAN的数量只有4094个（0和4095是保留的），真正能保留给用户的也就一两千，而公有云许多用户只订一台机器，如果真的每个用户给一个隔离网络的话VLAN分分钟就不够用了，最后业务那边想出来的办法就是一个VLAN放50台虚拟机，一个人订的都在一个VLAN里，但是可能多个用户会被放到同一个VLAN里面去。

而且不幸的是连安全组隔离都没有……

（当时也提供VPC，VPC就是单个用户独立VLAN）

实际上安全组这个技术并不安全，它仅仅是通过网桥上加iptables过滤的方式进行3层隔离，但实际上各个虚拟机之间二层仍然是互通的，也就是说各个虚拟机之间可以互相响应ARP，那就是说如果一个人故意将别人的IP配在自己的虚拟机上，即使三层流量收不到，也完全有可能干扰别人的虚拟机的使用。再加一些细致的ARP过滤规则有可能能改善，但只要不是彻底的物理隔离，实际上就是有隐患的。

在现在这个时代，实际上VXLAN隔离技术已经相当成熟了，没有以前VLAN数量的问题，而且隔离的成本其实很低廉，如果配合SDN技术的话管理上也非常灵活。我觉得各个公有云商应该考虑将架构完全迁移到SDN上面去，抛弃以前的经典架构。在SDN结构下面实际上VPC还是非VPC成本是完全一致的。

既然说到SDN，最后强推一波开源控制器VLCP

如果你有一个这样优秀的控制器，一般来说你只要随便调一调API虚拟网就通了

2.经典网络下，用户只有在设置安全规则开放过多协议和过大CIDR网段如0.0.0.0/0的情况下才能被访问；

我勒个去……………………

简单翻译一下就是，你家的防盗门只能在你家内部可以被徒手拆掉。

抱歉，门在任何情况下都不能被拆掉！这是门的设计问题！

也就是说，不同账号之间的虚拟机隔离性，应当是强制性规则，而不是默认规则。所谓强制性规则，就是不可覆盖，不可撤销，不可修改的规则。

======================================================

事实上如果说耗子爆出来的这个事情还能说是阿里云的管理不善的话，这个问题下面阿里云员工的爆料则让人更加的不寒而栗了……

1、原本是隔离的。

2、后来有用户要求打通，就提单子打通了。

3、后来产品就决定把这个功能让用户设置了……

这已经不是管理不善的问题了，而是这个公司从头到尾从上到下没有半点安全意识，安监合规部门纯属摆设，产品部门不学无术…………

讲真，托管在这种云，明天他一个大客户有个什么需求借用一下我的数据库啊，共用一下负载均衡器啊，用他提供的DNS啊诸如此类……

这种云服务真真是个笑话…… 可控NMB，鬼知道你家产品经理哪天多个什么想法…………

坐等洗地党来解释这是业界惯例……你家服务器资源智能缩水都是业界惯例了，内网不小心打通了算什么对吧……再说了用户手贱怪我咯……