ECS
政务云ECS的EIP/公网IP 默认不对外提供服务(网络边界实现ACL阻断),政务云环境中 ECS 的公网IP 仅用于访问互联网资源的路由作用,比如,您购买了一台政务云ECS绑定了一个公网地址,这时,从购买的ECS机器上,是可以访问淘宝、百度等互联网资源的,但是,即便您的ECS启动了HTTP服务绑定了公网地址的80端口,其他人从外部访问这个公网IP是访问不到的,因为产品做了限制。
EIP 直接对外服务被掐断。如果要对外提供服务,可以通过公网 SLB来实现。
SLB
政务云 SLB 也有特殊之处。公共云的SLB公网地址几乎可以开放任意端口到互联网,但是政务云分为两种模式,来面对不同的安全诉求。
白名单
政务云整体采用的是白名单机制,也就是说,对于所有公网 SLB 实例,在网络边界设置了ACL,只允许SLB的某几个端口被互联网访问。如果有用户的SLB 实例的其他端口想对外开放服务,需提交工单提交需求,经过政务云业务方和安全审核并通过后,由阿里云网络工程师做 ACL 变更,允许这几个 VIP SLB地址对外开放指定端口。
黑名单
为了更轻型的客户策略,政务云同样也可以为一些安全轻量级用户采取黑名单机制:安全列举一些会被经常攻击、渗透的服务端口,在集群上线时,网络ACL禁止这些端口开放在政务云SLB的公网地址段上。所以,当您在使用政务云SLB的时候,如果发现有些服务端口不通,很可能就是这些规则所导致的。
OSS
内网OSS
遵循政务行业的“指引”等规范,政务云 OSS 在设计之初,没有提供互联网下载/上传服务,也就说,政务云的用户的OSS bucket 只能在私网范围内被访问。通过政务云的ECS私网访问,或者是政务云用户的云下服务器通过专线来访问,互联网或者公共云用户的机器是不能访问的。
也就是说,如果您是一个政务云用户,您的OSS只能政务云私网访问,公共云ECS的私网到政务云OSS的私网主动访问是阻止的,但是政务云的ECS却可以主动发起到公共云 OSS的私网访问。
公网OSS