负载均衡的后端云服务器实例可以通过 安全组 进行访问控制,起到防火墙的作用。
您可以将一个或多个安全组与后端云服务器关联,并对每个安全组添加一条或多条规则控制不同服务器的流量访问权限。您可以随时修改某个安全组的规则,新规则会自动应用于与该安全组关联的所有实例。有关更多信息,请参阅 安全组操作指南。在 私有网络 环境中,您还可以使用 网络 ACL 进行访问控制。
在 CVM 的安全组上,需放通 Client IP 和服务端口。
若您使用 CLB 转发业务流量到 CVM 上,为保障健康检查功能,在 CVM 的安全组上需做如下配置:
如下示例为通过 CLB 访问 CVM 时,CVM 安全组的配置示例。若您在 CLB 上也配置了安全组,请参照 配置负载均衡安全组 来配置 CLB 上的安全组规则。
应用场景 1:
公网负载均衡,监听器配置为 TCP:80 监听器,后端服务端口为8080,希望只允许 Client IP(ClientA IP 和 ClientB IP)访问负载均衡,则后端服务器安全组入站规则配置如下:
ClientA IP + 8080 allow
ClientB IP + 8080 allow
CLB VIP + 8080 allow
0.0.0.0/0 + 8080 drop
应用场景 2:
公网负载均衡,监听器配置为 HTTP:80 监听器,后端服务端口为8080,希望开放所有 Client IP 的正常访问,则后端服务器安全组入站规则配置如下:
0.0.0.0/0 + 8080 allow
应用场景 3:
内网负载均衡(原“应用型内网负载均衡”),网络类型为 VPC 网络,在 CVM 的安全组上需放通 CLB 的 VIP 来做健康检查。为该 CLB 配置 TCP:80 监听器,后端服务端口为8080,希望只允许 Client IP(ClientA IP 和ClientB IP)访问负载均衡的 VIP,并且希望限制 Client IP 只能访问该 CLB 下绑定的后端主机。
a. 后端服务器安全组入站规则配置如下:
ClientA IP + 8080 allow
ClientB IP + 8080 allow
CLB VIP + 8080 allow
0.0.0.0/0 + 8080 drop
b. 用作 Client 的服务器安全组出站规则配置如下
CLB VIP + 8080 allow
0.0.0.0/0 + 8080 drop
ClientA IP + 8080 allow
ClientB IP + 8080 allow
0.0.0.0/0 + 8080 drop
b. 用作 Client 的服务器安全组出站规则配置如下:
CLB VIP + 8080 allow
0.0.0.0/0 + 8080 drop
clientA IP + port drop
clientB IP + port drop
0.0.0.0/0 + port accept
注意:
- 上述配置步骤有顺序要求,顺序相反会导致黑名单配置失效。
- 安全组是有状态的,因此上述配置均为入站规则的配置,出站规则无需特殊配置。
本页内容是否解决了您的问题?