為了提高雲上流量入口安全性,如果您需要對NLB進行基於協議/連接埠/IP的存取控制,可以通過為NLB執行個體配置安全性群組來實現。本文為您介紹NLB加入安全性群組的情境、使用限制及NLB如何加入和解除綁定安全性群組。
情境說明
當NLB執行個體未加入安全性群組時,NLB監聽連接埠預設對所有請求放通。
當NLB執行個體加入安全性群組且未設定任何拒絕策略時,NLB監聽連接埠預設對所有請求放通。如果您需要只允許特定IP訪問NLB,請注意添加一條拒絕策略進行兜底。
如果您需要拒絕或允許特定IP訪問NLB執行個體,請參見配置NLB安全性群組實現黑白名單存取原則。
如果您需要對NLB實現基於協議/連接埠的存取控制,請參見配置安全性群組實現NLB基於監聽/連接埠粒度的存取控制。
當您的NLB執行個體有存取控制的訴求,希望控制NLB執行個體的入流量時,您可以選擇為NLB執行個體添加安全性群組,同時可基於業務設定相應的安全性群組規則。
負載平衡的出方向流量為使用者請求的回包,為了保證您的業務正常運行,NLB的安全性群組對出流量不做限制,您無需額外配置安全性群組出方向規則。
在NLB執行個體建立完成後,系統會在執行個體所在的VPC網路下自動產生一個託管安全性群組,由NLB執行個體進行管理,您只有查看許可權,沒有操作許可權。NLB託管安全性群組包括以下2類安全性群組規則:
優先順序為1的規則:預設放通該執行個體的Local IP,用於與後端伺服器通訊並進行健全狀態檢查。
新增安全性群組規則時,建議您避免對NLB的Local IP添加優先順序為1的拒絕策略,以確保新增的安全性群組規則不會與NLB託管安全性群組策略衝突,因為這可能會影響NLB與您後端服務之間的正常通訊。您可以登入網路型負載平衡NLB控制台,在執行個體詳情頁面查看Local IP。
優先順序為100的規則:預設放通所有IP,即NLB加入安全性群組且未設定任何拒絕策略時,NLB監聽連接埠預設對所有請求放通。
普通安全性群組或企業安全性群組的預設存取控制規則(不可見)中存在1條拒絕其他任何流量的規則,此時NLB託管安全性群組的預設放通規則會優先生效。
使用限制
分類 | 安全性群組類型 | 說明 |
NLB支援加入的安全性群組 |
|
關於普通安全性群組和企業安全性群組的介紹,請參見普通安全性群組與企業級安全性群組。 |
NLB不支援加入的安全性群組 | 託管安全性群組 | 關於託管安全性群組的介紹,請參見託管安全性群組。 |
前提條件
您已建立NLB執行個體,並為該執行個體配置了監聽。具體操作,請參見建立和管理NLB執行個體。
加入安全性群組
您可以通過為NLB執行個體添加安全性群組,允許或禁止安全性群組內的NLB執行個體對公網或私網的訪問。
在頂部功能表列,選擇執行個體地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。在執行個體詳情頁簽,單擊安全性群組頁簽。
在安全性群組頁簽,單擊添加安全性群組,在彈出的NLB執行個體加入安全性群組對話方塊中,選擇一個或多個安全性群組,然後單擊確定。
一個NLB執行個體最多支援添加4個安全性群組。如需建立安全性群組,您可以在選擇安全性群組下拉框中單擊建立安全性群組。更多資訊,請參見建立安全性群組。
在左側列表框單擊目標安全性群組ID,可單擊入方向或出方向頁簽分別查看安全性群組規則。
如需修改安全性群組入方向規則,在基本資料地區單擊安全性群組ID,或在安全性群組頁簽右上方單擊前往ECS控制台編輯,進入安全性群組規則頁面操作。關於如何在ECS控制台編輯安全性群組規則,請參見修改安全性群組規則。
解除綁定安全性群組
您可以根據業務需求解除綁定NLB執行個體的安全性群組,目前控制台不支援批量解除綁定安全性群組。
在頂部功能表列,選擇執行個體地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。在執行個體詳情頁簽,單擊安全性群組頁簽。
在安全性群組頁簽,在左側列表框單擊目標安全性群組ID,然後在右上方單擊解除綁定。
在彈出的解除綁定對話方塊中,單擊確定。
相關文檔
關於自訂安全性群組和託管安全性群組的分類,請參見安全性群組分類。
如果您需要對NLB實現基於協議/連接埠的存取控制,請參見配置安全性群組實現NLB基於監聽/連接埠粒度的存取控制。
如果您需要拒絕或允許特定IP訪問NLB執行個體,請參見配置NLB安全性群組實現黑白名單存取原則。
LoadBalancerJoinSecurityGroup:為網路型Server Load Balancer執行個體綁定已建立的安全性群組。
LoadBalancerLeaveSecurityGroup:為網路型Server Load Balancer執行個體解除綁定安全性群組。