基礎設施安全
網路隔離是負載平衡系統中的一種重要安全措施,它可以將不同的網路流量隔離開來,從而提高系統的安全性和可靠性。負載平衡的基礎設施主要包括網路隔離和控制網路流量。
網路隔離
VPC是阿里雲自己的邏輯隔離地區中的雲上虛擬網路。子網是VPC中的IP位址範圍。當您建立負載平衡時,可以為負載平衡器執行個體指定一個或多個子網。您可以在您的VPC的子網中建立ECS執行個體,並將這些執行個體添加至Server Load Balancer執行個體的後端伺服器組中。更多資訊,請參見什麼是Virtual Private Cloud。
-
ALB和NLB執行個體的網路類型:
-
私網:每個可用性區域提供一個私網IP,只能通過阿里雲內部網路訪問ALB或NLB,無法從互連網訪問。
-
公網:每個可用性區域提供一個公網IP和一個私網IP。公網ALB或NLB通過Elastic IP Address(Elastic IP Address,簡稱EIP)提供公網能力,選擇公網將會收取Elastic IP Address的執行個體費、頻寬或流量費用。
-
-
CLB執行個體的網路類型:
-
私網:私網執行個體僅提供阿里雲私網IP,只能通過阿里雲內部網路訪問該負載平衡服務,無法從互連網訪問。
-
公網:公網執行個體僅提供公網IP,可以通過互連網訪問負載平衡服務。
-
Server Load Balancer執行個體與後端ECS通過私網進行通訊。如果後端ECS僅接收Server Load Balancer執行個體的請求,則無需使用公網的IP地址,即後端ECS執行個體無需綁定EIP。
控制網路流量
當您使用負載平衡時,三個子產品可分別使用以下方式來保護網路流量的安全性。
應用型負載平衡ALB
|
控制網路流量方式 |
說明 |
文檔連結 |
|
SSL認證加密傳輸 |
使用SSL認證對傳輸資料進行加密,防止資料在傳輸過程中被截獲或篡改。 |
|
|
開啟WAF防護 |
開啟WAF(Web Application Firewall)功能,對網路流量進行即時監控和過濾,防止惡意攻擊。 |
|
|
加入安全性群組 |
通過設定相應的安全性群組規則,實現對入流量的存取控制。 |
|
|
開啟存取控制ACL |
開啟黑白名單,限制非法訪問和惡意流量的入口。 |
|
|
使用DDoS防護 |
使用DDoS防護服務,對大規模攻擊進行即時防護。支援DDoS原生防護與DDoS高防。 |
|
|
設定TLS安全性原則 |
使用安全性原則,可提高您的業務安全性。 配置HTTPS監聽時,支援使用TLS安全性原則。TLS安全性原則包含自訂策略和系統預設策略。 |
網路型負載平衡NLB
|
控制網路流量方式 |
說明 |
文檔連結 |
|
SSL認證加密傳輸 |
使用SSL認證對傳輸資料進行加密,防止資料在傳輸過程中被截獲或篡改。 |
|
|
使用DDoS防護 |
使用DDoS防護服務,對大規模攻擊進行即時防護。支援DDoS原生防護與DDoS高防。 |
|
|
加入安全性群組 |
通過設定相應的安全性群組規則,實現對入流量的存取控制。 |
|
|
設定TLS安全性原則 |
使用安全性原則,可以提高您的業務安全性。 配置TCPSSL監聽時,支援使用TLS安全性原則。TLS安全性原則包含自訂策略和系統預設策略。 |
傳統型負載平衡CLB
|
控制網路流量方式 |
說明 |
文檔連結 |
|
SSL認證加密傳輸 |
使用SSL認證對傳輸資料進行加密,防止資料在傳輸過程中被截獲或篡改。 |
|
|
開啟WAF防護 |
開啟WAF(Web Application Firewall)功能,對網路流量進行即時監控和過濾,防止惡意攻擊。 |
|
|
開啟存取控制ACL |
開啟黑白名單,限制非法訪問和惡意流量的入口。 |
|
|
使用DDoS防護 |
使用DDoS防護服務,對大規模攻擊進行即時防護。支援DDoS原生防護。 |
|
|
設定TLS安全性原則 |
使用安全性原則,可以提高您的業務安全性。 配置HTTPS監聽時,支援使用TLS安全性原則。TLS安全性原則包含自訂策略和系統預設策略 |