為保證您資源的資料安全,您可以通過存取控制策略,對雲資源的訪問進行控制,允許被授權的使用者訪問資源。本文主要介紹阿里雲負載平衡產品自身的存取控制能力。
概述
負載平衡自身支援的存取控制策略包括:
存取控制ACL
對於ALB和CLB產品,您可以針對不同的監聽設定訪問白名單或黑名單:
開啟白名單:僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,白名單適用於只允許特定IP訪問的情境。
設定白名單存在業務風險,只有白名單中的IP可以訪問負載平衡監聽。
開啟黑名單:來自所選存取控制策略組中設定的IP地址或位址區段的所有請求都不會被轉寄,黑名單適用於只限制某些特定IP訪問的情境。
安全性群組
當ALB/NLB執行個體未加入安全性群組時,ALB/NLB監聽連接埠預設對所有請求放通。
當您的ALB/NLB執行個體有存取控制的訴求,希望控制ALB/NLB執行個體的入流量時,您可以選擇為ALB/NLB執行個體添加安全性群組,同時可基於業務設定相應的安全性群組規則。
負載平衡的出方向流量為使用者請求的回包,為了保證您的業務正常運行,ALB/NLB的安全性群組對出流量不做限制,您無需額外配置安全性群組出方向規則。
在ALB/NLB執行個體建立完成後,系統會在執行個體所在的VPC網路下自動產生一個託管安全性群組,由ALB/NLB執行個體進行管理,您只有查看許可權,沒有操作許可權。ALB/NLB的託管安全性群組包括以下2類安全性群組規則:
優先順序為1的規則:預設放通該執行個體的Local IP,用於與後端伺服器通訊並進行健全狀態檢查。
新增安全性群組規則時,建議您避免對ALB/NLB的Local IP添加優先順序為1的拒絕策略,以確保新增的安全性群組規則不會與ALB/NLB託管安全性群組策略衝突,因為這可能會影響ALB/NLB與您後端服務之間的正常通訊。您可以登入相應類型Server Load Balancer執行個體的控制台,在執行個體詳情頁面查看Local IP。
優先順序為100的規則:預設放通所有IP,即ALB/NLB加入安全性群組且未設定任何拒絕策略時,ALB/NLB監聽連接埠預設對所有請求放通。
普通安全性群組或企業安全性群組的預設存取控制規則(不可見)中存在1條拒絕其他任何流量的規則,此時ALB/NLB託管安全性群組的預設放通規則會優先生效。
ALB加入安全性群組的更多介紹:
NLB加入安全性群組的更多介紹: