【公有云】阿里云 Endpoint 安全组设置导致访问偶发超时

之前的文章通过AWS Endpoint service & Endpoint 实现跨VPC请求收敛描述了如何通过 AWS Endpoint service & Endpoints 实现跨VPC请求的收敛。

最近我们进行了一次多云改造,阿里云也要承担一部分业务,因此我们需要在阿里云'复制'在AWS做过的PROD-PCI请求收敛工作。

好在阿里云很多云产品的设计很大程度借鉴了AWS,因此'复制'工作不需要重新规划,只需要调整细节即可。

在 Endpoints 和 Endpoints Service 交付给到客户后,在测试过程中客户发现偶发的请求超时,我们通过从服务本地发起请求等方式排除了一些潜在的原因。在和阿里云的同学沟通后,有以下分析。


背景

1)同一region内两个VPC互通,通过PrivateLink实现

2)在Endpoint(PROD VPC)上绑定了一个安全组,该安全组入向允许特定网段的80,443;出向允许0.0.0.0/0 80,443

3)以下链路偶发超时:Client(PROD VPC) -> Endpoint(PROD VPC)-> Endpoint Service(PCI VPC) -> NLB(PCI VPC) -> Service(PCI VPC)

解释

ep安全组出向配置了 0.0.0.0 /80 443的访问控制,ep在回包的时候命中不了这规则,目标是客户端的IP和TCP高位端口,底层ep的转发设备是多台的, 偶发能通原因是,回包hash到了有session的ep设备上,不经过安全组校验,直接转发。

即:

1)ep的安全组出入向都作用在发起请求的client

2)ep有多个'物理'实例,回包如果走不同的ep底层转发设备就需要校验出向规则,导致回包被拒绝(偶发失败的原因);如果走同一ep底层转发设备,由于同一session,不校验出向规则(偶发成功的原因)

参考下图理解:

相关推荐
IpdataCloud1 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
Database_Cool_3 小时前
AI 应用数据底座首选:阿里云 PolarDB 为大模型 RAG 提供一体化支撑
数据库·阿里云
JerrySir5 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳5 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
xd1855785556 小时前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙
白帽小阳7 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
qetfw8 小时前
CentOS 7 配置 iptables 防火墙
安全
磐链科技8 小时前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
胖胖雕9 小时前
利用阿里云与docker部署Certimate
阿里云·docker·云计算
数据知道10 小时前
HTTP/HTTPS 安全深度剖析:抓包、解密与证书陷阱
安全·http·https·mitmproxy·抓包解密