**文章首发于INFOQ
亚马逊云EC2哪些端口默认不能用
作为一个资深的Nas使用者,经常会被运营商屏蔽一些端口,不出意外上云也是一样,按照亚马逊云官方的说法叫做需要进行ICP备案。
web端口
在一个网站的开发和部署阶段,我们可能需要开通80/8080/443端口,由于中国互联网环境的的监管要求,如果你的服务使用域名的话,那么这个域名也是需要在工信部备案的。关于域名的备案信息,我们可以在工信部备案管理系统进行查询,我查询了amazonaws.cn这个域名,所属就是宁夏西云数据科技有限公司,西云数据是亚马逊云在中国最大的合作伙伴,专注于亚马逊云科技中国(宁夏)区域的运营,为中国客户提供国际先进的、安全、灵活、可靠的云计算服务,推动本土企业数字化转型和创新。
还有两种比较特殊的情况也需要进行备案:
- 如果A服务访问一个已经备案过的服务B,如果A或者B的域名没有备案,那么也很有可能会被拦截,
- 如果在私有网段使用了除了常见内网网段的CIDR, 那么在VPC Peering或者DX连接的时候也可能出现连接不通需要备案的问题。常见的私有网段如下:
10.0.0.0/8
100.64.0.0/10
172.16.0.0/12
192.168.0.0/16
备案步骤
如果已经备案,联系光环新网/西云数据进行ICP备案接入操作;主域名在北京区域联系光环新网,在宁夏区域的话西云数据。 首次备案时,如果需要同时部署在北京和宁夏区域,要先把网站搭载在其中一个区域,完成备案后,再联系另一个区域操作新增接入。
光环新网备案联系方式如下所示: 邮件联系方式:sin-icp@sinnet.com.cn
电话联系方式:10100766-4,4000988000-2
自助网站备案平台:http://www.ghxwicp.com
西云数据备案联系方式如下所示:
如需进行备案,您可以发邮件联系西云数据,或登陆官方网站查看更多详情。
电话联系方式:10100966-4
自助网站备案平台:https://icp.nwcdcloud.cn
关于25端口
SMTP主要限制了邮件的发送,亚马会逊云阻止账户账户下所有EC2实例的25 端口出站流量(SMTP),这里的关闭是一种不完全的状态,在实际使用中发现是限制发送的频率,使用脚本发送的话,可以发现一开始是可以成功发送邮件的,但是几分钟之后就不行了,猜测是防止被黑客利用当成邮件轰炸的肉鸡才做了这个限制,毕竟对于亚马逊云来说发送邮件的服务有SNS和SES(SES中国区不支持),如果需要开通25端口的话,那么需要给亚马逊云支持提案例来解除这个限制, 这个过程只要进入亚马逊云支持控制面板创建相关案例即可;
选择“提高服务限制”,在限制类型中选择“EC2 电子邮件”,进入到“请求移除电子邮件发送限制”页面,按要求填写相应信息, 申请解除 EC2 电子邮件 25 端口限制。
总之默认的25/80/8080/443 都需要给亚马逊云中国区提相应的案例来解除这个限制。
参考链接
- 工信部备案管理系统:https://beian.miit.gov.cn/#/Integrated/index
- 亚马逊云科技ICP备案:https://www.amazonaws.cn/about-aws/china/
- 完全访问账户:https://docs.amazonaws.cn/aws/latest/userguide/fullaccessaccount1.html
- EC2常见问题:https://www.amazonaws.cn/ec2/faqs/#ec2general
- 亚马逊云支持控制面板:https://console.amazonaws.cn/support
- ICP备案流程-光环新网:https://s3.cn-north-1.amazonaws.com.cn/zhy-icprecordalwebsite/ICP+recordal+documents/ICP%E5%A4%87%E6%A1%88%E6%B5%81%E7%A8%8B-%E5%85%89%E7%8E%AF%E6%96%B0%E7%BD%91.pdf
- ICP备案流程-西云数据:https://icp.nwcdcloud.cn/static/index_doc/icp.pdf