为保障政务云产品使用的安全性,用户无法直接通过互联网环境访问政务云内网环境中的业务。以ECS、OSS为例,您无法在互联网环境中直接访问ECS上的应用或者存储在OSS中的文件,如下图所示。

ECS

政务云ECS的EIP/公网IP 默认不对外提供服务(网络边界实现ACL阻断),政务云环境中 ECS 的公网IP 仅用于访问互联网资源的路由作用,比如,您购买了一台政务云ECS绑定了一个公网地址,这时,从购买的ECS机器上,是可以访问淘宝、百度等互联网资源的,但是,即便您的ECS启动了http服务绑定了公网地址的80端口,其他人从外部访问这个公网IP是访问不到的,因为产品做了限制。

EIP 直接对外服务被掐断。如果要对外提供服务,可以通过公网 SLB来实现。

SLB

政务云 SLB 也有特殊之处。公共云的SLB公网地址几乎可以开放任意端口到互联网,但是政务云分为两种模式,来面对不同的安全诉求。

白名单

政务云整体采用的是白名单机制,也就是说,对于所有公网 SLB 实例,在网络边界设置了ACL,只允许SLB的某几个端口被互联网访问。如果有用户的SLB 实例的其他端口想对外开放服务,需提交工单提交需求,经过政务云业务方和安全审核并通过后,由阿里云网络工程师做 ACL 变更,允许这几个 VIP SLB地址对外开放指定端口。

黑名单

为了更轻型的客户策略,政务云同样也可以为一些安全轻量级用户采取黑名单机制:安全列举一些会被经常攻击、渗透的服务端口,在集群上线时,网络ACL禁止这些端口开放在政务云SLB的公网地址段上。所以,当您在使用政务云SLB的时候,如果发现有些服务端口不通,很可能就是这些规则所导致的。

OSS

内网OSS

遵循政务行业的“指引”等规范,政务云 OSS 在设计之初,没有提供互联网下载/上传服务,也就说,政务云的用户的OSS bucket 只能在私网范围内被访问。通过政务云的ECS私网访问,或者是政务云用户的云下服务器通过专线来访问,互联网或者公共云用户的机器是不能访问的。

也就是说,如果您是一个政务云用户,您的OSS只能政务云私网访问,公共云ECS的私网到政务云OSS的私网主动访问是阻止的,但是政务云的ECS却可以主动发起到公共云 OSS的私网访问。

公网OSS

如果政务云OSS一定要对外提供服务,需要用户创建一个公网SLB,SLB挂载的若干台 ECS,在ECS上配置OSS的反向代理,负责把OSS 访问请求转发到后端 OSS实例,
说明 此场景下OSS的访问非常不安全,使用时请务必根据您的业务场景设置好ECS上往内部OSS代理的安全策略,否则可能会出现OSS访问安全事件。