980 阿裏雲技術社區[雲棲]

基於阿裏的Node全棧之路（六）專有網絡VPC的應用

本來打算繼續講講前後端分離的，但是因為我準備的自開發的博客還沒做好，所以還是放到後麵幾篇文章上好了。

這一篇文章，主要想介紹一下一種網絡安全的應用。我也希望有高人能一起交流下這種方式的弱點。

如果用過阿裏雲容器服務的同學應該都知道，容器的載體還是用鏡像生成的的服務器，而這些鏡像是阿裏自己搞的，所以會有所滯後，所以很多時候，會遇到像圖中這種情況，而這些漏洞的升級，又逼得你不得不天天維護，因為這種漏洞出現的概率好高。

我們除了天天去檢查漏洞外，還有沒有其它的辦法能夠去處理這些問題呢？做個檢查漏洞的，一有漏洞自動補全？那不是和阿裏要做的這個東西一樣嗎？購買阿裏的服務吧，我作為一個個人開發者，那是能省就省的，而且，我認為最好的防禦就是不被發現。

經曆過負載均衡和OSS這些阿裏雲實用的功能後。我覺得在阿裏雲，應該是要能夠找到解決的辦法的，在經過一段時間的研究，我的新的方案出來了，其實很簡單，就是隔離一切！

這裏對專有網絡隔離的原理進行一些簡單解釋，簡單的說，阿裏雲docker專有在創建服務器和維護的時候，打開docker訪問外網的接口，同時也隻是通過代理的方式進行訪問，在不需要外網的環境下，關閉外網，這樣極大的提高了安全性。

還是和以前一樣的，在開始介紹這種方案之前，我們做個前期的準備工作，這裏用到的技術：

專有網絡：顧名思義，就是局域網，外部完全不能訪問這個網絡。
彈性公網IP：也就是購買一個公網IP，可以掛載在想要訪問網絡的ECS上。

提醒：

阿裏雲容器服務沒有完全支持專有網絡，這點阿裏雲上也有說明（見下圖），當你的容器完全創建在專有網絡的時候，如果不能訪問外網，一些阿裏雲和外部工具在docker初始化的時候會不被安裝。所以這裏要提醒大家，創建專有網絡下的容器前，先部署好專有網絡的環境。

步驟：
1. 購買不帶公網IP的ECS。購買可配置公網EIP，並綁定到該ECS上。（端口專有網絡連接公網的時候，隻需要解綁公網EIP就可以了）
2. 創建專有網絡

3. 創建交換機

4. 按照阿裏雲的VPC通過有公網IP的ECS訪問外網的配置文檔，進行配置，得到如下結果。

5. 基於此專有網絡，購買容器所需要的ECS，並不配置公網IP，或者直接在容器服務內創建ECS，並選擇不保留公網EIP。
6. 創建集群，此時因為專有網絡可以通過上述綁定好公網EIP訪問外網，所以創建的集群成功，如果創建集群後，集群管理節點失敗，或者阿裏雲的監控安裝失敗，都是因為專有網絡無法訪問外網導致，這時，需要查看專有網絡是否不能訪問外網。