为了提高云上流量入口安全性,如果您需要对NLB进行基于协议/端口/IP的访问控制,可以通过为NLB实例配置安全组来实现。本文为您介绍NLB加入安全组的场景、使用限制及NLB如何加入和解绑安全组。
场景说明
当NLB实例未加入安全组时,NLB监听端口默认对所有请求放通。
当NLB实例加入安全组且未设置任何拒绝策略时,NLB监听端口默认对所有请求放通。如果您需要只允许特定IP访问NLB,请注意添加一条拒绝策略进行兜底。
如果您需要拒绝或允许特定IP访问NLB实例,请参见配置NLB安全组实现黑白名单访问策略。
如果您需要对NLB实现基于协议/端口的访问控制,请参见配置安全组实现NLB基于监听/端口粒度的访问控制。
当您的NLB实例有访问控制的诉求,希望控制NLB实例的入流量时,您可以选择为NLB实例添加安全组,同时可基于业务设置相应的安全组规则。
负载均衡的出方向流量为用户请求的回包,为了保证您的业务正常运行,NLB的安全组对出流量不做限制,您无需额外配置安全组出方向规则。
在NLB实例创建完成后,系统会在实例所在的VPC网络下自动生成一个托管安全组,由NLB实例进行管理,您只有查看权限,没有操作权限。NLB托管安全组包括以下2类安全组规则:
优先级为1的规则:默认放通该实例的Local IP,用于与后端服务器通信并进行健康检查。
新增安全组规则时,建议您避免对NLB的Local IP添加优先级为1的拒绝策略,以确保新增的安全组规则不会与NLB托管安全组策略冲突,因为这可能会影响NLB与您后端服务之间的正常通信。您可以登录网络型负载均衡NLB控制台,在实例详情页面查看Local IP。
优先级为100的规则:默认放通所有IP,即NLB加入安全组且未设置任何拒绝策略时,NLB监听端口默认对所有请求放通。
普通安全组或企业安全组的默认访问控制规则(不可见)中存在1条拒绝其他任何流量的规则,此时NLB托管安全组的默认放通规则会优先生效。
使用限制
分类 | 安全组类型 | 说明 |
NLB支持加入的安全组 |
|
关于普通安全组和企业安全组的介绍,请参见普通安全组与企业级安全组。 |
NLB不支持加入的安全组 | 托管安全组 | 关于托管安全组的介绍,请参见托管安全组。 |
前提条件
您已创建NLB实例,并为该实例配置了监听。具体操作,请参见创建和管理NLB实例。
加入安全组
您可以通过为NLB实例添加安全组,允许或禁止安全组内的NLB实例对公网或私网的访问。
- 登录网络型负载均衡NLB控制台。
在顶部菜单栏,选择NLB实例所属的地域。
在实例页面,找到目标实例,单击实例ID。在实例详情页签,单击安全组页签。
在安全组页签,单击添加安全组,在弹出的NLB实例加入安全组对话框中,选择一个或多个安全组,然后单击确定。
一个NLB实例最多支持添加4个安全组。如需新建安全组,您可以在选择安全组下拉框中单击创建安全组。更多信息,请参见创建安全组。
在左侧列表框单击目标安全组ID,可单击入方向或出方向页签分别查看安全组规则。
如需修改安全组入方向规则,在基本信息区域单击安全组ID,或在安全组页签右上角单击前往ECS控制台编辑,进入安全组规则页面操作。关于如何在ECS控制台编辑安全组规则,请参见修改安全组规则。
解绑安全组
您可以根据业务需求解绑NLB实例的安全组,目前控制台不支持批量解绑安全组。
- 登录网络型负载均衡NLB控制台。
在顶部菜单栏,选择NLB实例所属的地域。
在实例页面,找到目标实例,单击实例ID。在实例详情页签,单击安全组页签。
在安全组页签,在左侧列表框单击目标安全组ID,然后在右上角单击解除绑定。
在弹出的解除绑定对话框中,单击确定。
相关文档
关于自定义安全组和托管安全组的分类,请参见安全组分类。
如果您需要对NLB实现基于协议/端口的访问控制,请参见配置安全组实现NLB基于监听/端口粒度的访问控制。
如果您需要拒绝或允许特定IP访问NLB实例,请参见配置NLB安全组实现黑白名单访问策略。
LoadBalancerJoinSecurityGroup:为网络型负载均衡实例绑定已创建的安全组。
LoadBalancerLeaveSecurityGroup:为网络型负载均衡实例解绑安全组。