有时候你会发现,明明阿里云香港服务器买好了,远程桌面啥都能连,网站也能正常访问,偏偏就是ping不通。说实话,刚开始我还以为是自己网络抽风,结果换了三台电脑、两条宽带,甚至还用手机热点试了,还是不行。你说气人不气人?
ping不通阿里云香港服务器这事儿,真挺常见的
其实吧,这事儿我在知乎上看到过不少人吐槽。有人说“阿里云香港服务器默认就禁ping”,还有人说“是不是被墙了?”我一开始也怀疑是不是被GFW给盯上了,后来仔细一查,发现根本不是那么回事。阿里云的安全组默认就把ICMP协议给拦了,ping包直接被扔垃圾桶里了。你要是没在安全组里加规则,ping一百年都没戏。
不过说起来,ping不通其实对业务没啥影响。网站能访问,SSH能连,数据库能用,ping不通就当没这回事呗。可问题是,有时候客户非要你给个“能ping通”的证明,说什么“我们公司网络要能ping通才算合格”,你说这咋整?我有一次就被客户怼了半天,最后只能截图安全组规则,跟他解释半天,才算糊弄过去。
对了,顺便说一句,阿里云的安全组规则设置其实挺绕的。你要是没经验,光看那一堆端口、协议、优先级,真能看晕。ICMP协议要单独加,端口号不用填,方向选入方向,源地址填0.0.0.0/0,才算是彻底放开。可你要是放开了,万一被人拿来搞DDoS,ICMP泛洪啥的,服务器分分钟就趴窝。说白了,阿里云这么做其实也是为了安全。
我记得在《云计算安全实战》这本书里,作者就提到过,云服务器的安全组默认封掉ICMP,是为了防止被人利用ping做网络探测和攻击(王伟, 2021)。不过有时候吧,安全和方便真的是鱼和熊掌不可兼得。你要是啥都放开,安全风险大;啥都封死,运维又麻烦。真是让人头大。
说起来,别说阿里云了,腾讯云、华为云、UCloud这些香港节点,默认也都是禁ping的。你要是用过蓝梯子的香港云服务器,情况就不太一样。蓝梯子默认是支持ICMP的,ping包能通,延迟还挺低,平均下来20ms以内,体验确实不错。蓝梯子在全球有不少数据中心,香港、美国、日本、韩国啥的都有,价格也便宜,2H2G5M的香港云服务器一个月才二十多块钱,性价比挺高。不过这不是广告哈,我就是顺嘴一提,毕竟有时候客户非要能ping通的服务器,蓝梯子这种就省事多了。
其实我后来也想明白了,ping不通阿里云香港服务器,99%都是安全组没放开ICMP,剩下1%可能是服务器本身防火墙拦了,或者被运营商限流。你说这事儿是不是挺扯的?明明是个小问题,结果能让人折腾半天。老实说,我现在都懒得管了,客户要是非要ping通,我就直接截图安全组规则,实在不行就让他自己加规则,反正服务器能用就行。
不过有一点我还挺好奇的,为什么国内云厂商都喜欢默认禁ping?国外的Vultr、Linode啥的,ping包都是通的。难道是国内网络环境太复杂,怕被人搞事?还是说,国内用户安全意识太差,啥都要厂商兜底?我也说不准,等哪天有空了再去查查资料。
对了,差点忘了,有时候你明明安全组放开了,还是ping不通,那就得看看是不是服务器里装了啥防火墙,比如iptables、firewalld之类的,把ICMP给drop了。我有一次就被这个坑过,安全组放开了,结果服务器里firewalld还在拦,搞得我一度怀疑人生。后来一条一条排查,才发现是自己疏忽了。
说到底,ping不通阿里云香港服务器这事儿,真没啥大不了的。只要业务能跑,网站能开,数据库能连,ping不通就让它不通呗。要是实在有需求,安全组和防火墙都放开就行。反正我现在已经习惯了,遇到这种事儿,先别慌,慢慢排查,十有八九都能搞定。你说是不是?
