负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制。
访问控制策略介绍
您可以针对不同的监听设置访问白名单或黑名单:
开启白名单:仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于应用只允许特定IP访问的场景。
设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP可以访问负载均衡监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
开启黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发,黑名单适用于应用只限制某些特定IP访问的场景。
如果开启了黑名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
使用限制
CLB每个监听支持绑定多个访问控制策略组,一个监听默认挂载的访问控制策略组上限为3个(CLB全地域均已支持)。
IPv6实例只能绑定IPv6访问控制策略组,IPv4实例只能绑定IPv4访问控制策略组。
一个监听挂载的所有访问控制策略组包含的访问控制条目IP总数上限为1000。
一个访问控制策略组能够关联的监听总数为50。
一个监听挂载的多个访问控制策略组中包含的访问控制条目IP不能重复。
配置流程
监听访问控制配置流程如下图所示:
创建访问控制策略组
在配置访问控制前,您需要先配置访问控制策略组。
- 登录传统型负载均衡CLB控制台。
在顶部菜单栏,选择实例所属地域。
在左侧导航栏,选择 。
在访问控制页面,单击创建访问控制策略组。
在创建访问控制策略组面板,完成以下参数的配置,然后单击创建。
配置
说明
策略组名称
输入自定义策略组名称。
所属资源组
选择一个资源组。
IP版本
选择一个IP版本。
IPv4
IPv6
批量添加IP地址/地址段和备注
访问控制条目批量添加说明如下:
每个条目一行,以回车分隔。
每个条目的地址或者地址段和备注之间以竖线(|)分隔,例如
192.168.1.0/24|备注
。单次最多支持添加50个条目。
添加IP条目
创建完访问控制策略组后,每个策略组可包含多个IP地址条目或IP地址段条目。
- 登录传统型负载均衡CLB控制台。
在顶部菜单栏,选择所属地域。
在左侧导航栏,选择传统型负载均衡 CLB>访问控制。
找到目标访问控制策略组,单击操作列的管理访问控制策略组。
添加IP条目。
单击批量添加条目,在批量添加策略组条目面板,批量添加IP地址或IP地址段、备注,单击添加。
在添加条目时注意:
每个条目一行,以回车分隔。
每个条目中IP地址或IP地址段与备注之间用|分隔,例如192.168.1.0/24|备注。
单击添加条目,在添加策略组条目面板,输入地址/地址段和备注,单击添加。
添加完策略组条目后,您可以根据需要执行以下操作。
添加IP条目或IP地址段后,您可以在条目列表中查看IP条目信息。
如果需要删除条目,在目标条目操作列单击删除,或选中目标条目,然后在列表下方单击删除。
开启访问控制
您可以针对不同的监听设置访问白名单或黑名单。
- 登录传统型负载均衡CLB控制台。
选择实例的所属地域。
单击需要设置访问控制的实例ID。
单击监听页签,在目标监听操作列选择 。
在访问控制设置面板完成以下配置,然后单击确定。
配置
说明
启用访问控制
开启访问控制。
访问控制方式
选择一种访问控制方式:
白名单:转发来自所选访问控制策略组中设置的IP地址或地址段的请求。
设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP可以访问负载均衡监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发。
如果开启了黑名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
选择访问控制策略组
选择一个访问控制策略组。
IPv6实例只能绑定IPv6访问控制策略组,IPv4实例只能绑定IPv4访问控制策略组。
说明访问控制策略组中的IP条目以半角逗号(,)隔开,不可重复,最多可添加300个IP条目。
关闭访问控制
如果不需要设置访问控制,您可以关闭访问控制。
- 登录传统型负载均衡CLB控制台。
选择实例的所属地域。
单击需要设置访问控制的实例ID。
在实例详情页面,单击监听页签。
找到目标监听,选择 。
在访问控制设置面板,关闭访问控制,然后单击确定。