當您需要對用戶端訪問ALB的服務實施精細的存取控制時,您可以通過ALB監聽啟用存取控制功能,並設定入方向的允許或拒絕規則。通過這些步驟,您可以管理用戶端請求轉寄,確保網路服務的安全性和高效性。
存取控制策略
您可以針對不同的監聽設定訪問白名單或黑名單:
白名單:允許特定IP訪問負載平衡。僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,白名單適用於只允許特定IP訪問的情境。
設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP可以訪問負載平衡監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
黑名單:禁止特定IP訪問負載平衡。不會轉寄來自所選存取控制策略組中設定的IP地址或位址區段,黑名單適用於只限制某些特定IP訪問的情境。
如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
使用限制
分類 | 使用限制 |
存取控制策略組 |
|
存取控制條目 |
|
前提條件
您已經建立一個ALB執行個體,並為該執行個體配置了監聽。具體操作,請參見ALB快速實現IPv4服務的負載平衡。
存取控制策略組和ALB執行個體的所屬地區相同。
配置流程
建立存取控制策略組
在配置存取控制之前,您需要先建立存取控制策略組。
在頂部功能表列,選擇所屬地區。
在左側導覽列,選擇。
在存取控制頁面,單擊建立存取控制策略組。
在建立存取控制原則組對話方塊,完成以下配置,然後單擊確定。
添加IP條目
建立存取控制策略組後,您需要為每個策略組添加IP條目。IP條目是訪問ALB執行個體的源IP。每個策略組可添加多個IP地址條目或IP位址區段條目。
在左側導覽列,選擇。
在存取控制頁面,找到目標存取控制策略組,然後單擊存取原則組ID或在操作列單擊管理存取控制原則組。
在存取控制詳情頁的條目頁簽,您可以通過以下兩種方式添加策略組條目。
單個添加策略組條目
單擊添加條目,在添加策略組條目對話方塊,輸入地址/位址區段和備忘,單擊添加。
大量新增策略組條目
單擊大量新增條目,在添加策略組條目對話方塊,按照介面提示大量新增IP地址或IP位址區段、備忘,單擊添加。
說明大量新增IP條目時請注意:
每個條目一行,以斷行符號分隔。
每個條目中IP地址或IP位址區段與備忘之間用豎線(|)分隔,例如192.168.1.0/24|備忘。
單次最多支援添加20個條目。
添加完策略組條目後,您可以根據需要執行以下操作。
添加IP條目或IP位址區段後,您可以在條目列表中查看IP條目資訊。
如果需要刪除條目,在目標條目操作列單擊刪除,或選中目標條目,然後在列表下方單擊刪除。
如果需要匯出條目,在條目列表右上方單擊
匯出全部條目,或選中目標條目後單擊匯出目標條目。
開啟存取控制
您可以為監聽設定訪問白名單或黑名單。在開啟存取控制前,請確保您已為ALB執行個體建立監聽。
在頂部功能表列,選擇所屬地區。
在執行個體頁面,單擊需要設定存取控制的ALB執行個體ID。
單擊監聽頁簽,選擇以下任意一種方式進入存取控制的開啟頁面。
找到目標監聽,然後在存取控制列單擊啟用。
找到目標監聽,單擊目標監聽ID或者在操作列單擊查看詳情,然後在監聽詳情頁簽,在存取控制地區開啟存取控制開關。
在啟動存取控制對話方塊,完成以下配置並單擊儲存。
配置
說明
存取控制方式
選擇一種存取控制方式。取值:
白名單:僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求。
黑名單:拒絕來自所選存取控制策略組中設定的IP地址或位址區段的所有請求。
選擇存取控制策略組
選擇一個存取控制策略組。
選擇存取控制策略組後,您可以單擊查看已選條目查看具體的條目資訊。
關閉存取控制
如果不需要對監聽設定訪問限制,您可以對監聽關閉存取控制。
在執行個體頁面,單擊需要設定存取控制的ALB執行個體ID。
在監聽頁簽,選擇以下任意一種方式進入存取控制的關閉頁面。
找到目標監聽,然後在存取控制列單擊關閉。
找到目標監聽,單擊目標監聽ID或者在操作列單擊查看詳情,然後在監聽詳情頁簽,在存取控制地區關閉存取控制開關。
在彈出的對話方塊中,單擊確定。
相關文檔
CreateAcl:建立存取控制策略組。
AddEntriesToAcl:在存取控制策略組中添加IP條目。
RemoveEntriesFromAcl:刪除存取控制策略組中的IP條目。
AssociateAclsWithListener:關聯存取控制策略組到監聽。
DissociateAclsFromListener:將存取控制策略組與監聽解除關聯。