访问控制

负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制。

访问控制策略介绍

您可以针对不同的监听设置访问白名单或黑名单:

  • 开启白名单:仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于应用只允许特定IP访问的场景。

    设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP可以访问负载均衡监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。

  • 开启黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发,黑名单适用于应用只限制某些特定IP访问的场景。

    如果开启了黑名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。

使用限制

  • CLB每个监听支持绑定多个访问控制策略组,一个监听默认挂载的访问控制策略组上限为3个(CLB全地域均已支持)。

  • IPv6实例只能绑定IPv6访问控制策略组,IPv4实例只能绑定IPv4访问控制策略组。

  • 一个监听挂载的所有访问控制策略组包含的访问控制条目IP总数上限为1000。

  • 一个访问控制策略组能够关联的监听总数为50。

  • 一个监听挂载的多个访问控制策略组中包含的访问控制条目IP不能重复。

配置流程

监听访问控制配置流程如下图所示:

image

创建访问控制策略组

在配置访问控制前,您需要先配置访问控制策略组。

  1. 登录传统型负载均衡CLB控制台
  2. 在顶部菜单栏,选择实例所属地域。

  3. 在左侧导航栏,选择传统型负载均衡 CLB > 访问控制

  4. 访问控制页面,单击创建访问控制策略组

  5. 创建访问控制策略组面板,完成以下参数的配置,然后单击创建

    配置

    说明

    策略组名称

    输入自定义策略组名称。

    所属资源组

    选择一个资源组。

    IP版本

    选择一个IP版本。

    • IPv4

    • IPv6

    批量添加IP地址/地址段和备注

    访问控制条目批量添加说明如下:

    • 每个条目一行,以回车分隔。

    • 每个条目的地址或者地址段和备注之间以竖线(|)分隔,例如192.168.1.0/24|备注

    • 单次最多支持添加50个条目。

添加IP条目

创建完访问控制策略组后,每个策略组可包含多个IP地址条目或IP地址段条目。

  1. 登录传统型负载均衡CLB控制台
  2. 在顶部菜单栏,选择所属地域。

  3. 在左侧导航栏,选择传统型负载均衡 CLB>访问控制

  4. 找到目标访问控制策略组,单击操作列的管理访问控制策略组

  5. 添加IP条目。

    • 单击批量添加条目,在批量添加策略组条目面板,批量添加IP地址或IP地址段、备注,单击添加

      在添加条目时注意:

      • 每个条目一行,以回车分隔。

      • 每个条目中IP地址或IP地址段与备注之间用|分隔,例如192.168.1.0/24|备注

    • 单击添加条目,在添加策略组条目面板,输入地址/地址段备注,单击添加

  6. 添加完策略组条目后,您可以根据需要执行以下操作。

    • 添加IP条目或IP地址段后,您可以在条目列表中查看IP条目信息。

    • 如果需要删除条目,在目标条目操作列单击删除,或选中目标条目,然后在列表下方单击删除

开启访问控制

您可以针对不同的监听设置访问白名单或黑名单

  1. 登录传统型负载均衡CLB控制台
  2. 选择实例的所属地域。

  3. 单击需要设置访问控制的实例ID。

  4. 单击监听页签,在目标监听操作列选择更多 > 设置访问控制

  5. 访问控制设置面板完成以下配置,然后单击确定

    配置

    说明

    启用访问控制

    开启访问控制。

    访问控制方式

    选择一种访问控制方式:

    • 白名单:转发来自所选访问控制策略组中设置的IP地址或地址段的请求。

      设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP可以访问负载均衡监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。

    • 黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发。

      如果开启了黑名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。

    选择访问控制策略组

    选择一个访问控制策略组。

    IPv6实例只能绑定IPv6访问控制策略组,IPv4实例只能绑定IPv4访问控制策略组。

    说明

    访问控制策略组中的IP条目以半角逗号(,)隔开,不可重复,最多可添加300个IP条目。

关闭访问控制

如果不需要设置访问控制,您可以关闭访问控制。

  1. 登录传统型负载均衡CLB控制台
  2. 选择实例的所属地域。

  3. 单击需要设置访问控制的实例ID。

  4. 实例详情页面,单击监听页签。

  5. 找到目标监听,选择更多图标 > 设置访问控制

  6. 访问控制设置面板,关闭访问控制,然后单击确定