V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
stevenhawking
V2EX  ›  程序员

公布一个很 2 的 IDC: qingcloud (青云)

  •  9
     
  •   stevenhawking · 78 天前 · 9184 次点击
    这是一个创建于 78 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情经过是这样的。

    有个境外的域名叫做 nip.io ,会自动解析 xxx.xxx.xxx.xxx.nip.ioxxx.xxx.xxx.xxx (IP),

    然后我买青云服务器后,他们备案系统就抽风的检测到 xxx.xxx.xxx.xxx.nip.io,我从来没有用过 nip ,然后他们就勒令我停止解析。

    可问题是 nip.io 根本不是我的域名,我如何停止?

    然后今天,他们把我服务器封了,

    没错,封了服务器。

    服务器本来买的配置蛮高的,两台 4CPU 8G 。

    就这样不待见企业客户。你行,青云

    第 1 条附言  ·  77 天前
    目前还有一家 IDC 也采用这种策略:Ucloud ,大家当心了
    96 条回复    2022-04-24 06:56:56 +08:00
    FrankAdler
        1
    FrankAdler  
       78 天前 via iPhone   ❤️ 6
    那随便买个域名解析过去不是可以把青云的客户全部害死?
    stevenhawking
        2
    stevenhawking  
    OP
       78 天前
    照他们逻辑,

    理论上任何人注册一个 domain-no-icp.com ,然后 CNAME 到 `www.qingcloudcom` ,他们自己的官网也得封,

    青云,请问是这样吧?别双标哦(手动狗头
    neptuno
        3
    neptuno  
       78 天前 via iPhone   ❤️ 1
    之前用阿里云的时候,我也想过这个问题。但阿里云是不会封的
    ChangeTheWorld
        4
    ChangeTheWorld  
       78 天前   ❤️ 3
    那还不拿国内的 DNS 把青云的 IP 段都用 nip.io 解析一遍,青云要都封了就厉害了,楼主你发现盲点了
    stevenhawking
        5
    stevenhawking  
    OP
       78 天前   ❤️ 2
    @neptuno 因为阿里云的工程师和技术,有脑子
    EscYezi
        6
    EscYezi  
       78 天前 via iPhone   ❤️ 1
    这贴应该发到全球工单系统🐶
    stevenhawking
        7
    stevenhawking  
    OP
       78 天前   ❤️ 14
    @EscYezi 不,我的目的不是为了解决问题,而是为了解决这种劣等 IDC
    hemingway
        8
    hemingway  
       78 天前
    这个操作有些迷啊
    weak
        9
    weak  
       78 天前 via iPhone   ❤️ 2
    原来你不是唯一的受害者,我大学时买过他的服务器,你猜怎么着?买完订单不见了,服务器没了,钱已经付了,工单根本没人理
    Exdui
        10
    Exdui  
       78 天前   ❤️ 1
    就这个策略,还做 IDC ,早点倒闭得了。。。
    lithiumii
        11
    lithiumii  
       78 天前
    好家伙,有没有青云的竞争对手,可以 @ 一下
    tulongtou
        12
    tulongtou  
       78 天前
    我也在用青云,我也遇到过这种问题,他们客服直接打电话来说的。
    其实你可以在青云里面换个 IP 的,又没用额外的成本
    stevenhawking
        13
    stevenhawking  
    OP
       78 天前
    @tulongtou

    换 IP 成本太高,
    域名资产要重新解析,
    三方回调要重新配置,
    持续集成自动部署要修改,
    所有业务要从头测试。

    而且换汤不换药。迟早要再来一次
    eason1874
        14
    eason1874  
       78 天前
    @stevenhawking 阿里云和腾讯云也有这种 SB 案例,估计这个 SB 规定是管局下发的,厂商机械执行
    echo1937
        15
    echo1937  
       78 天前
    以后的公有云市场,是大玩家的天下
    PrinceofInj
        16
    PrinceofInj  
       78 天前
    青云是主要是 2B 的吧?见过好几个用的青云的。
    felixcode
        17
    felixcode  
       78 天前 via Android
    因为这个原因被封的客户有点多,所以占用率没能超过阿里云
    tulongtou
        18
    tulongtou  
       78 天前
    @stevenhawking 为什么要再来一次?你们得罪人了,专门有人拿国外域名解析到你们服务器?
    wonderfulcxm
        19
    wonderfulcxm  
       78 天前 via iPhone
    这不很容易搞封一台服务器?
    Juszoe
        20
    Juszoe  
       78 天前   ❤️ 3
    给他们整个机房 ip 段都解析一遍,看他们还封不封😺
    littlewing
        21
    littlewing  
       78 天前
    期间有没有尝试过和客服沟通?客服怎么说?还是说你认为 nip.io 不是你的域名,你就没有理 青云 的警告,然后过一段时间就给你封了?要是最后一种情况,你不冤
    makelove
        22
    makelove  
       78 天前
    之前的帖子:
    有未知域名解析到我的腾讯云服务器,然后腾讯把我的服务器给停了
    https://www.v2ex.com/t/829471

    说明国内 IDC 全都 2
    XiLingHost
        23
    XiLingHost  
       78 天前
    @makelove 你觉得有没有一种可能,是这些 IDC 的主管单位 2 呢,一群弱智
    Admstor
        24
    Admstor  
       78 天前   ❤️ 22
    前 IDC 从业人员回答一下

    可能 QC 和楼主沟通有误会,比如非技术客服沟通,没有传达好要求

    你的确不能管理别人的域名解析到你的 IP 上面
    正确的做法是,如果这个域名指向你,但是这个域名不是你的,你需要拒绝提供服务

    另外当年我还在业的时候,一般指抽查 80 和 443 端口
    你只需要让 web 服务器设置一下除了自己的域名之外其他的所有域名全部返回 403 即可
    注意,不要自定义 403,即让监管自己看到他熟悉的 403 页面

    不知道现在是不是还会抽查其他端口
    不过理论上也是一样的操作,根据访问来源,非法访问全部返回 403

    如果和你沟通的这个人有问题,可以让他转到他们的技术部门进一步处理
    XiLingHost
        25
    XiLingHost  
       78 天前   ❤️ 19
    国内的备案和审查制度就是毒瘤
    再加上一群懒政和弱智的官僚只顾着捞钱构造成的管理机构
    privil
        26
    privil  
       78 天前
    @Admstor #24 我猜应该就是这样……
    gengchun
        27
    gengchun  
       78 天前   ❤️ 1
    只是提醒一下其它人。

    是只是光解析,还是这个域名直接可以被访问。

    如果是解析以后的域名是通的,这个不管有没有触发域名备案系统,都是必须处理的。因为涉及到钓鱼的问题。
    woshinide300yuan
        28
    woshinide300yuan  
       78 天前
    忘了从什么时候开始,习惯在宝塔建站完,就再添加一个乱七八糟的域名,随便输入的那种。然后在宝塔的”默认站点“那里选择它,说是有效防止恶意解析~
    ragnaroks
        29
    ragnaroks  
       78 天前
    忘了从什么时候开始,nginx 起第一个站就是 "server_name _;"
    stevenhawking
        30
    stevenhawking  
    OP
       78 天前
    @tulongtou 不是我们再来一次,国外有那种人做了公益性质的 noip.ionoip.net ,自动把 1.1.1.1.noip.io 解析 1.1.1.1 ,2.2.2.2.noip.io 解析 2.2.2.2 。

    这不是用户该关心的事情吧?

    而且 IDC 那么抠门买不起备案哨兵拦截系统嘛?
    zed1018
        31
    zed1018  
       78 天前
    这个问题我们也遇到过,当时最后的处理方案是要我们在 nginx 配置一个 default hostname 全部 404
    stevenhawking
        32
    stevenhawking  
    OP
       78 天前
    @zed1018 但是我们有业务,需要使用 IP 对外服务,只能
    ```
    server_name ip;
    listen 80 default_server;
    ```

    这种情况,并不会阻止三方域名
    herozzm
        33
    herozzm  
       78 天前
    正常来说,你的服务器上要拒绝,不要接受这个域名就行,显示 404 错误就可通过了

    反正我本地的 idc 服务商是这样让我干的,我一说未备案域名不是我的,他们就懂了
    thunderw
        34
    thunderw  
       78 天前
    我记得只要 web 服务器上把这个域名弄成返回 404 就行了。我们自己托管的机器也遇到过。
    这是可能不赖青云。被人指了机房就会一个电话过来让你断掉。
    lslqtz
        35
    lslqtz  
       78 天前
    nip.io 我在用,挺好用的。
    以及青云确实挺二逼的,因为一般是防火墙阻断而不是搞什么勒令……检测到也不应该做处理
    lslqtz
        36
    lslqtz  
       78 天前   ❤️ 1
    以及 Web 服务器上当然最好也对没有资源的域名给 40X 错误,我个人用 403 。
    server {
    listen 80;
    return 403;
    }
    加到最开头即可
    ufan0
        37
    ufan0  
       78 天前
    这里夸一下腾讯和 icloud ,会使用邮件+短信告知此等情况,但是并不会停掉服务。
    idblife
        38
    idblife  
       78 天前
    @ufan0
    icloud 是啥
    makelove
        39
    makelove  
       78 天前
    看了楼上的回复,意思是外来的域名(没备案)指向国内机子可以正常 http ?(只要返回 404 代码)那我建个站不用 200 专用 404 来输出正常页面我就可免备案建站逃过 IDC 检测系统了?是这个意思吗
    Admstor
        40
    Admstor  
       78 天前
    @stevenhawking 拦截是有很大成本,另外更大的成本是怎么去拦截?无数的域名如何和客户沟通这个是可以访问还是不可以访问?

    QC 本身的问题是沟通不当,没有告诉你正确的处理方案,但是关于这个"未备案域名不得开放"是国家要求,你只要服务器放在国内就绕不过去的

    如果你的业务只能用 80 端口只能 IP 访问
    只能说你对目前国内数据中心政策不熟悉,或者以前没有负责过这一块
    与其怼 QC 不如赶紧改业务代码了

    长远看还是应该域名+端口,无论怎样都会更加灵活,业务上去后做负载也容易
    临时解决服务器端限制源 IP,但是如果源 IP 不能确定也就没辙
    adoal
        41
    adoal  
       78 天前 via iPhone   ❤️ 1
    遇到过一次类似的,以后我配的对公服务 nginx 的默认 server context 都是直接返回 451
    privil
        42
    privil  
       78 天前
    @Admstor #24 仔细思考了一下,如果只是配置 80 转跳 443 ,443 只配置了我域名的证书,其他人使用他的域名强制访问我的 https 站点,这种算非法建站么?
    miaoge520
        43
    miaoge520  
       78 天前 via Android
    青云我记得之前我还用过他们家的试用一天,感觉挺好的,你一定是干了啥事了,不然会封机器
    Hobr
        44
    Hobr  
       77 天前
    这未免
    stevenhawking
        45
    stevenhawking  
    OP
       77 天前
    @miaoge520 真没干啥事,上面业务也在一个月前停了,整体迁移到了腾讯云。
    stevenhawking
        46
    stevenhawking  
    OP
       77 天前
    @Admstor 为什么腾讯、阿里云未备案域名就能阻断,QC 就不行呢?这本来是 IaaS 该做的基础设施责任,却把这部分责任转移到客户
    stevenhawking
        47
    stevenhawking  
    OP
       77 天前   ❤️ 1
    @makelove 不是这个意思,我公司所有在运营域名都是老老实实备案,并且公安网也备案了。企业都是老老实实闷声赚钱谁会去搞破坏业务稳定性的操作。
    我发这个贴子,只是想说明 `阻断境外域名` 这是 `IDC 和机房的责任`,不是每个客户都懂技术,懂得如何根据 server 头屏蔽非己方域名的。

    我们懂运维的还好;
    只会下载安装 CMS 的客户怎么办呢?
    sebastianwade
        48
    sebastianwade  
       77 天前
    不是应该 ban 掉这个域名吗? 想起来之前活动买过他家的 3 台服务器,到阿里云香港机房不通,然后让我自己处理。然后选择退费,那个退费规则坑的不是一点半点。
    我想我以后应该是会把他家 ban 掉。
    stevenhawking
        49
    stevenhawking  
    OP
       77 天前
    @sebastianwade 问题是域名太多,你怎么 ban ? 有 nip, 有 noip ,也许还有 noip2 ,ipv4.noip ,ipv6.noip
    所有都要搞吗?

    IDC 本来就有成熟的在机房拦截未备案域名配置 80 、443 的方案,
    既然做了 IDC , 就不要抠门嗖嗖的,这点钱都不舍得。
    T0m008
        50
    T0m008  
       77 天前
    @stevenhawking 白名单自己的域名不就行了
    leeg810312
        51
    leeg810312  
       77 天前 via Android
    既然是云厂商,这种国内必须的基础设施服务不应该厂商提供吗?提供不了只好用别家了
    jeesk
        52
    jeesk  
       77 天前 via Android
    国内还是用阿里腾讯百度去吧 其它的信不过
    mikewang
        53
    mikewang  
       77 天前
    赞同 #24 的说法。
    确实没有办法不让对方解析,但是可以让自己的服务器拒绝为这些域名服务。
    比如检测 HTTP header 里面的 Host ,不在白名单内一律 403 。
    这不仅是配合备案,而且对于网站安全有益,比如避免一些 XSS 攻击(给别人域名服务,对于他人就同源了)。

    只通过 IP 访问也是能做到的,因为 HTTP/1.1 规定必须有 Host 头,那么 Host 就是服务器的 IP 地址。
    lovepplforever
        54
    lovepplforever  
       77 天前 via iPhone
    青云一直不太好用
    sebastianwade
        55
    sebastianwade  
       77 天前
    @stevenhawking 一般都是机房可以 ban 掉,不是用户处理。只是 ban 之前要跟域名指向 ip 所使用的客户确认。大厂应该都是这流程。
    ufan0
        56
    ufan0  
       77 天前
    @idblife #38 感谢提醒,拼写错误,应为 ucloud
    defunct9
        57
    defunct9  
       77 天前
    躲得了初一,躲不了十五啊。你换到国内任意一家 IDC ,同样封你。必须你自己做处理,返回 403 的。
    mytsing520
        58
    mytsing520  
       77 天前
    @sebastianwade
    不会的,一般是直接 ban 未备案域名
    markgor
        59
    markgor  
       77 天前
    之前买了 1 年的机器,快到期的时候业务一直打电话过来叫续费,
    我说不用了,他就让我去控制台销毁机器,
    说如果不用了又不销毁会导致后续扣费且产生欠费。
    我问他为什么腾讯阿里的都不会这样,到期停机自动销毁,哪来产生什么欠费。
    他说腾讯阿里都是向他们学习的,而这一点是为了保护客户资料不会因为忘了续费导致遗失的原因。
    最后我和他说了那就欠费吧,反正我以后也不用了....

    青云可是一个连官网证书都能忘记更新的 IDC 。。。当年官网控制台全 GG 了 2 个多小时,就因为官网 SSL 证书过期......这是真无语啊.....
    dzdh
        60
    dzdh  
       77 天前   ❤️ 3
    fengjianxinghun
        61
    fengjianxinghun  
       77 天前
    叹为观止,这事居然怪用户了。。
    stevenhawking
        62
    stevenhawking  
    OP
       77 天前
    @defunct9 谁说的?腾讯云阿里云谁家不是未备案域名直接拦截的?
    mytsing520
        63
    mytsing520  
       77 天前
    @stevenhawking 他说的是运营商普通 IDC 机房那种
    zhangneww
        64
    zhangneww  
       77 天前
    跑个题,nip.io 这个服务有什么应用场景吗?无公网肯定用不了,写 ip+nip.ip 比直接写 ip 有什么好处?也不如 hosts 可以自己定义别名方便记忆
    ruixue
        65
    ruixue  
       77 天前   ❤️ 1
    @zhangneww 以前 IP 证书申请门槛高的时候,这种再不济也是一个域名,而且还免费使用,可以很方便地申请 SSL 证书,加密访问流量。不过现在 IP 证书也很方便就能申请了,所以用处就没有以前大了
    iqoo
        66
    iqoo  
       77 天前
    @FrankAdler
    @stevenhawking
    @ChangeTheWorld
    @Juszoe
    根本不用域名解析。直接用 socket 连接它 IP ,然后发一个 HTTP 请求就可以,请求头里带一个没备案的 Host 。
    wuxqing
        67
    wuxqing  
       77 天前
    去年我司一批服务器托管到电信机房,有 2 台服务器 IP 突然被封,没有通知。打电话过去才知道是有未备案域名解析到服务器。在 nginx 上做了配置,然后要他们解封,给的答复是 100 年后再解封。呵呵!国内就是如此霸道!
    yaoyao1128
        68
    yaoyao1128  
       77 天前
    emmm
    有 UCloud 的机器 不过没有这个问题 只是没备案的域名不能 http
    blackboar
        69
    blackboar  
       77 天前
    很多运营商和 IDC 搞信息备案的人都是普通文职的,理解不了技术那点事,我还碰到中国电信的人要求把未知域名解析走呢,目前这种事一般我们都是在机房出口用白名单拦掉,或者 http 服务给屏蔽掉,打不开就行。
    cat9life
        70
    cat9life  
       77 天前   ❤️ 1
    我还以为就我自己遇到过。同样是青云,我有台虚机,被别人的域名解析过来了,然后说我没备案要封!!这逻辑也是无敌。
    cat9life
        71
    cat9life  
       77 天前
    @cat9life 更关键的是,我连 Web 服务都没开。还一直要求我按照他们的“手册”把 NginX 配置一边。问题是我就没有 NginX ,难道要安装上,按照要求配置一边,让然后再卸载掉吗....成功闭环了。
    my3157
        72
    my3157  
       77 天前
    ```
    server {
    listen 80 default_server;
    listen 443 ssl default_server;
    server_name _;
    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    return 401;
    }
    ```
    zjsxwc
        73
    zjsxwc  
       77 天前
    @lslqtz

    谢老哥!
    不过好像你的配置还得加个 default_server 才效果:

    RUN echo "server {listen 80 default_server;return 451;}" > /etc/nginx/sites-available/default
    seakingii
        74
    seakingii  
       77 天前
    我记得阿里云和腾讯云自动拦截未备案的域名的
    opengps
        75
    opengps  
       77 天前
    没有自动跳转到备案提醒页面吗?
    Felldeadbird
        76
    Felldeadbird  
       77 天前   ❤️ 1
    拦截未备案不是 IDC 应该做的? 普通企业哪里知道自己服务器有没有被恶意指向。
    Yelp
        78
    Yelp  
       77 天前
    腾讯云标准做法 http://81.68.152.56.nip.io:8888/
    maxbon
        79
    maxbon  
       77 天前
    其实传统 IDC 也是这样的政策,所以一般来说都需要从服务端直接拦截掉返回 403 就行了,非绑定域名全部返回 403 ,不然不管什么 IDC ,警告几次都会封的
    solos
        80
    solos  
       77 天前
    如果不是自己的域名不应该监听 这样即使指向也没有用
    Fule
        81
    Fule  
       77 天前
    国内真是艰难。。。——变相督促提高大家技艺了。我们公司以前有国内的服务器,后来也有类似的域名监管问题,最后直接关了国内服务器在国外建了一台,人润不了机器还润不了么~当然国内的访问速度就有点呵呵了。
    Y29tL2gwd2Fy
        82
    Y29tL2gwd2Fy  
       77 天前 via Android
    有人还记得这家开产品发布会的时候大宕机的事情吗?
    dongtingyue
        83
    dongtingyue  
       77 天前
    电信也有这样的要求,自己处理下恶意指向就可以。
    Showfom
        84
    Showfom  
       77 天前   ❤️ 2
    server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name _;

    return 444;
    }


    server {
    listen 443 ssl http2 default_server;
    listen [::]:443 ssl http2 default_server;
    server_name _;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_reject_handshake on;

    return 444;
    }

    默认绑定的 80 和 443 端口直接返回 444 即可

    444 是 Nginx 专用的

    A non-standard status code used to instruct nginx to close the connection without sending a response to the client
    stevenhawking
        85
    stevenhawking  
    OP
       77 天前
    @Showfom

    哎,用户本身就不应该关心这个 `恶意指向` 。
    老板,来,我们聊聊可否搞点 SSL 的事情。
    Liang
        86
    Liang  
       77 天前 via iPhone
    我在电信托管的服务器也是这样,因为用了一个未备案的域名做 cname ,方便以后统一改绑定,然后电信通知要求我改掉,我说我没建站,只是做 cname ,答复 cname 也不行。我说那我随便用个未备案的域名绑定 ip 就可以封了别人的服务器?客服说不出所以来,只是说你这个不处理就封服务器
    Showfom
        87
    Showfom  
       77 天前
    @stevenhawking # 85 直接买就行了,SSL 证书哪有啥利润。。。有啥好搞的
    wuxiao2522
        88
    wuxiao2522  
       77 天前
    成都电信也一样。我们自建机房,电信也是经常发函给我们说某某域名解析到我们的固定 IP 上了。我也很无语啊!!!每次只能去找域名注册商联系域名持有人改解析!
    所以我们正在整体迁移阿里云。
    stevenhawking
        89
    stevenhawking  
    OP
       77 天前
    @Showfom 利润很大,我们最近在搞 ACME ,来来来聊下聊下老板😊
    stevenhawking
        90
    stevenhawking  
    OP
       77 天前
    @wuxiao2522 购买未备案域名了拦截系统,我前同事创业公司福州趣云有售 http://www.quyun.com/qdog.html ,1 年 5 位数预算肯定够的
    keyword233
        91
    keyword233  
       76 天前 via Android
    @Yelp 现在腾讯云的网关也会审查非 80/443 端口上的 HTTP(S) 流量了,你这样用也会封😥
    lslqtz
        92
    lslqtz  
       76 天前
    @zjsxwc 我自用从来没加,include 可能和引用顺序有关系。但是对 IP 需要访问可能就没用了……也许可以加个 if
    lslqtz
        93
    lslqtz  
       76 天前
    居然还有 444 响应码,见识了
    mercury233
        94
    mercury233  
       76 天前
    换句话说不法分子只要搞到一个账号,就可以在被查到之前通过任意域名直连 qingcloud 境内服务器上的网站?
    sebastianwade
        95
    sebastianwade  
       76 天前
    # 444.conf
    #
    # `ssl_reject_handshake` depends nginx >= 1.19.4
    #
    # sudo tee /etc/apt/sources.list.d/nginx.list <<EOF
    # deb https://nginx.org/packages/mainline/ubuntu/ `lsb_release -cs` nginx
    # deb-src https://nginx.org/packages/mainline/ubuntu/ `lsb_release -cs` nginx
    # EOF
    #
    # sudo wget http://nginx.org/keys/nginx_signing.key && sudo apt-key add nginx_signing.key
    # sudo apt update && sudo apt install nginx
    #


    server {
    listen 80 default_server;
    listen 443 ssl http2 default_server;
    listen [::]:80 default_server;
    listen [::]:443 ssl http2 default_server;
    server_name _;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_reject_handshake on;

    return 444;
    }
    stevenhawking
        96
    stevenhawking  
    OP
       72 天前
    首先不法与否不重要。人家国外人提供的公益 noip 服务,肯定不会在中国备案。青云那边的人直接说不法,我就笑了。
    不懂技术没事,但是失去了友好的态度,就很难跟他们沟通。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2709 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 15:26 · PVG 23:26 · LAX 08:26 · JFK 11:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.