为保证您资源的数据安全,您可以通过访问控制策略,对云资源的访问进行控制,允许被授权的用户访问资源。本文主要介绍阿里云负载均衡产品自身的访问控制能力。
概述
负载均衡自身支持的访问控制策略包括:
访问控制ACL
对于ALB和CLB产品,您可以针对不同的监听设置访问白名单或黑名单:
开启白名单:仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于只允许特定IP访问的场景。
设置白名单存在业务风险,只有白名单中的IP可以访问负载均衡监听。
开启黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会被转发,黑名单适用于只限制某些特定IP访问的场景。
安全组
当ALB/NLB实例未加入安全组时,ALB/NLB监听端口默认对所有请求放通。
当您的ALB/NLB实例有访问控制的诉求,希望控制ALB/NLB实例的入流量时,您可以选择为ALB/NLB实例添加安全组,同时可基于业务设置相应的安全组规则。
负载均衡的出方向流量为用户请求的回包,为了保证您的业务正常运行,ALB/NLB的安全组对出流量不做限制,您无需额外配置安全组出方向规则。
在ALB/NLB实例创建完成后,系统会在实例所在的VPC网络下自动生成一个托管安全组,由ALB/NLB实例进行管理,您只有查看权限,没有操作权限。ALB/NLB的托管安全组包括以下2类安全组规则:
优先级为1的规则:默认放通该实例的Local IP,用于与后端服务器通信并进行健康检查。
新增安全组规则时,建议您避免对ALB/NLB的Local IP添加优先级为1的拒绝策略,以确保新增的安全组规则不会与ALB/NLB托管安全组策略冲突,因为这可能会影响ALB/NLB与您后端服务之间的正常通信。您可以登录相应类型负载均衡实例的控制台,在实例详情页面查看Local IP。
优先级为100的规则:默认放通所有IP,即ALB/NLB加入安全组且未设置任何拒绝策略时,ALB/NLB监听端口默认对所有请求放通。
普通安全组或企业安全组的默认访问控制规则(不可见)中存在1条拒绝其他任何流量的规则,此时ALB/NLB托管安全组的默认放通规则会优先生效。
ALB加入安全组的更多介绍:
NLB加入安全组的更多介绍: