ALB加入安全组_负载均衡(SLB)-阿里云帮助中心

安全组是一种虚拟防火墙，用于控制安全组内实例的入流量和出流量，从而提高实例的安全性。安全组具备状态检测和数据包过滤能力，相比访问控制ACL，可以同时配置IP黑白名单，并且支持匹配ICMP（IPv6）协议。本文为您介绍ALB加入安全组的场景、使用限制及ALB如何加入和解绑安全组。

场景说明

ALB实例未加入安全组时，ALB监听端口默认对所有请求放行。
当ALB实例加入安全组且未设置任何拒绝策略时，ALB监听端口默认对所有请求放通。如果您需要只允许特定IP访问ALB，请注意添加一条拒绝策略进行兜底。
- 如果您需要拒绝或允许特定IP访问ALB实例，请参见ALB配置安全组实现黑白名单访问策略。
- 如果您需要对ALB实现基于协议/端口的访问控制，请参见ALB配置安全组实现基于监听/端口粒度的访问控制。

当您的ALB实例有访问控制的诉求，希望控制ALB实例的入流量时，您可以选择为ALB实例添加安全组，同时可基于业务设置相应的安全组规则。

重要

负载均衡的出方向流量为用户请求的回包。为了保证您的业务正常运行，ALB的安全组对出流量不做限制，您无需额外配置安全组出方向规则。
在ALB实例创建完成后，系统会在实例所在的VPC网络下自动生成一个托管安全组，由ALB实例进行管理，您只有查看权限，没有操作权限。ALB托管安全组包括以下2类安全组规则：
- 优先级为1的规则：默认放通Local IP（用于与后端服务器通信）。
  新增安全组规则时，建议您避免对ALB的Local IP添加优先级为1的拒绝策略，以确保新增的安全组规则不会与ALB托管安全组策略冲突，因为这可能会影响ALB与您后端服务之间的正常通信。您可以登录应用型负载均衡ALB控制台，在实例详情页面查看Local IP。
- 优先级为100的规则：默认放通所有IP，即ALB加入安全组且未设置任何拒绝策略时，ALB监听端口默认对所有请求放通。
  普通安全组或企业安全组的默认访问控制规则（不可见）中存在1条拒绝其他任何流量的规则，此时，ALB托管安全组的默认放通规则会优先生效。

重要

ALB升级实例支持通过安全组或ACL来管理访问流量。升级前的ALB实例，仅支持通过ACL来进行访问控制。若您需要使用安全组，请新建实例或向商务经理申请存量实例的升级。

分类

安全组类型

说明

ALB支持加入的安全组

要求安全组为专有网络类型，且安全组和ALB实例属于同一个专有网络VPC（Virtual Private Cloud）。
ALB实例可加入的安全组数量及可关联的安全组规则数量，均遵循ECS安全组相关配额的限制：
- 一个ALB实例最多可加入的安全组数量=ECS实例（或弹性网卡）安全组配额数量-1（即ALB托管安全组占用1个配额）
- 一个ALB实例最多可关联的安全组规则数量=ECS实例（或弹性网卡）安全组规则配额数量-ALB托管安全组规则数量
同一个ALB实例加入的安全组类型需保持一致，即不支持同时加入普通安全组和企业级安全组。
某个ALB实例已加入普通安全组，如果需要加入企业级安全组，可解绑当前ALB实例的所有普通安全组后再行操作，反之亦然。

普通安全组和企业安全组详情请参见普通安全组与企业级安全组。

ALB不支持加入的安全组

托管安全组

托管安全组详情请参见托管安全组。

访问控制ACL和安全组都能通过配置IP黑白名单实现对流量的访问控制，下面介绍ALB实例中ACL和安全组的功能特性和使用限制。

差异点	ACL	安全组
配置维度	监听。	实例。监听，配置端口粒度的安全组，可在ALB监听级别生效。
黑白名单	同一个监听仅支持同时配置白名单或黑名单。	同一个实例/监听可同时配置黑名单和白名单。
IP地址	支持IPv4地址。	支持IPv4、IPv6地址。
使用限制	关于ACL的使用限制，请参见使用限制。	关于安全组的使用限制，请参见使用限制。

您可以通过为ALB实例添加安全组，允许或禁止安全组内的ALB实例对公网或私网的访问。

登录应用型负载均衡ALB控制台。
在顶部菜单栏，选择ALB实例所属的地域。
在实例页面，找到目标实例，单击实例ID。
在实例详情页的安全组页签下，单击添加安全组。
在弹出的ALB实例加入安全组对话框中，选择一个或多个安全组，然后单击确定。
如需新建安全组，您可以在选择安全组下拉框中单击创建安全组。更多信息，请参见创建安全组。
在左侧列表框单击目标安全组ID，可单击入方向或出方向页签分别查看安全组规则。
如需修改安全组入方向规则，在基本信息区域单击安全组ID，或在安全组页签右上角单击前往ECS控制台编辑，进入安全组详情页面操作。关于如何在ECS控制台编辑安全组规则，请参见修改安全组规则。

您可以根据业务需求解绑ALB实例的安全组，目前控制台不支持批量解绑安全组。