ALB加入安全组

安全组是一种虚拟防火墙,用于控制安全组内的入流量和出流量,从而提高实例的安全性。安全组具备状态检测和数据包过滤能力,相比访问控制ACL,可以同时配置IP黑白名单,并且支持匹配ICMP(IPv6)协议。本文为您介绍ALB加入安全组的场景、使用限制及ALB如何加入和解绑安全组。

场景说明

阿里云账号下的ALB支持安全组功能后,新购的ALB实例支持通过安全组或ACL控制访问流量,存量的ALB实例仅支持通过ACL实现访问控制。

以下场景仅以ALB实例支持加入安全组为前提进行说明:

当您的ALB实例有访问控制的诉求,希望控制ALB实例的入流量时,您可以选择为ALB实例添加安全组,同时可基于业务设置相应的安全组规则。

重要
  • 负载均衡的出方向流量为用户请求的回包。为了保证您的业务正常运行,ALB的安全组对出流量不做限制,您无需额外配置安全组出方向规则。

  • 新增安全组规则时,建议您避免对ALB的Local IP添加优先级为1的拒绝策略,以确保新增的安全组规则不会与ALB托管安全组策略冲突,因为这可能会影响ALB与您的后端服务之间的正常通信。您可以登录应用型负载均衡ALB控制台,在实例详情页面查看Local IP。

使用限制

重要

安全组功能默认不开放,如需使用,请向商务经理申请。

分类

安全组类型

说明

ALB支持加入的安全组

  • 普通安全组

  • 企业级安全组

  • 要求安全组为专有网络类型,且安全组和ALB实例属于同一个专有网络VPC(Virtual Private Cloud)。

  • 一个ALB实例最多支持加入4个安全组,且同一个ALB实例加入的安全组类型需保持一致,即不支持同时加入普通安全组和企业级安全组。

    某个ALB实例已加入普通安全组,如果需要加入企业级安全组,可解绑当前ALB实例的所有普通安全组后再行操作,反之亦然。

关于普通安全组和企业安全组的介绍,请参见普通安全组与企业级安全组

ALB不支持加入的安全组

托管安全组

关于托管安全组的介绍,请参见托管安全组

功能对比

访问控制ACL和安全组都能通过配置IP黑白名单实现对流量的访问控制,下面介绍ALB实例中ACL和安全组的功能特性和使用限制。

差异点

ACL

安全组

配置维度

监听。

  • 实例。

  • 监听,配置端口粒度实现在监听级别生效。

黑白名单

同一个监听仅支持同时配置白名单或黑名单。

同一个实例/监听可同时配置黑名单和白名单。

IP地址

支持IPv4地址。

支持IPv4、IPv6地址。

使用限制

关于ACL的使用限制,请参见使用限制

关于安全组的使用限制,请参见使用限制

前提条件

加入安全组

您可以通过为ALB实例添加安全组,允许或禁止安全组内的ALB实例对公网或私网的访问。

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择ALB实例所属的地域。

  3. 实例页面,找到目标实例,单击实例ID。

  4. 在实例详情页面,单击安全组页签。

  5. 安全组页签,单击添加安全组,在弹出的ALB实例加入安全组对话框中,选择一个或多个安全组,然后单击确定

    一个ALB实例最多支持添加4个安全组。如需新建安全组,您可以在选择安全组下拉框中单击创建安全组。更多信息,请参见创建安全组

  6. 在左侧列表框单击目标安全组ID,可单击入方向出方向页签分别查看安全组规则。

    如需修改安全组入方向规则,在基本信息区域单击安全组ID,或在安全组页签右上角单击前往ECS控制台编辑,进入安全组详情页面操作。关于如何在ECS控制台编辑安全组规则,请参见修改安全组规则

解绑安全组

您可以根据业务需求解绑ALB实例的安全组,目前控制台不支持批量解绑安全组。

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择ALB实例所属的地域。

  3. 实例页面,找到目标实例,单击实例ID,在实例详情页面,单击安全组页签。

  4. 在左侧列表框找到目标安全组ID,单击实例ID,然后在右上角单击解除绑定

  5. 在弹出的解除绑定对话框中,单击确定

相关文档