本文为您介绍如何通过网络ACL功能限制本地数据中心与云上的互通关系。

前提条件

背景信息

某公司在云上创建了公网负载均衡实例和ECS实例,ECS实例部署了静态网页,负载均衡实例配置了监听并添加ECS实例作为后端服务器。默认情况下,本地数据中心1和本地数据中心2均可以通过负载均衡实例的公网IP地址访问静态网页。因公司业务需要,要求只允许本地数据中心1访问静态网页,禁止本地数据中心2访问静态网页。

各网络的公网IP地址如下表所示:
网络 公网IP地址
本地数据中心1 111.XX.XX.111
本地数据中心2 222.XX.XX.222
负载均衡实例 33.XX.XX.33
架构

如上图,您可以将网络ACL与ECS实例所属的交换机绑定,然后通过配置网络ACL规则实现对交换机中ECS流量的访问控制。

配置流程图如下:流程

步骤一:创建网络ACL

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,单击创建网络ACL
  5. 创建网络ACL对话框中,根据以下信息配置网络ACL,然后单击确定
    • 所属专有网络:选择网络ACL所属的专有网络。
    • 名称:输入网络ACL的名称。
    • 描述:输入网络ACL的描述。

步骤二:绑定交换机

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
  5. 已绑定资源页签下,单击关联交换机
  6. 关联交换机对话框,选择交换机,然后单击确定关联

步骤三:添加网络ACL规则

为网络ACL添加入方向规则和出方向规则。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择访问控制 > 网络ACL
  3. 在顶部菜单栏,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,然后在操作列单击设置入方向规则
  5. 入方向规则页签下,单击管理入方向规则
  6. 根据以下信息配置入方向规则,然后单击确定
    优先级 规则名称 策略 协议类型 源地址 目的端口范围
    1 允许来自本地数据中心1的HTTP请求 允许 TCP 本地数据中心1的公网IP地址,本文输入111.XX.XX.111 80/80
    3 拒绝来自本地数据中心2的HTTP请求 拒绝 TCP 本地数据中心2的公网IP地址,本文输入222.XX.XX.222 80/80
    如果负载均衡实例开启了健康检查功能,您还需添加以下入方向规则。
    优先级 规则名称 策略 协议类型 源地址 目的端口范围
    2 允许健康检查 允许 ALL 负载均衡健康检查使用的地址段,为固定地址段,输入100.64.0.0/10 -1/-1
  7. 单击出方向规则页签,然后单击管理出方向规则
  8. 根据以下信息配置出方向规则,然后单击确定
    优先级 规则名称 策略 协议类型 目的地址 目的端口范围
    1 允许去往本地数据中心1的HTTP流量 允许 TCP 本地数据中心1的公网IP地址,本文输入111.XX.XX.111 1/65535
    3 拒绝去往本地数据中心2的HTTP流量 拒绝 TCP 本地数据中心2的公网IP地址,本文输入222.XX.XX.222 1/65535
    如果负载均衡实例开启了健康检查功能,您还需添加以下出方向规则。
    优先级 规则名称 策略 协议类型 目的地址 目的端口范围
    2 允许健康检查 允许 ALL 负载均衡健康检查使用的地址段,为固定地址段,输入100.64.0.0/10 -1/-1

步骤四:测试连通性

测试本地数据中心1、本地数据中心2与负载均衡实例间的连通性。

  1. 在本地数据中心1下,打开PC端的浏览器。
  2. 在浏览器中输入http://33.XX.XX.33,验证通信是否正常。
    经验证,本地数据中心1下的PC可以访问ECS实例的静态网页。可以访问
  3. 在本地数据中心2下,打开PC端的浏览器。
  4. 在浏览器中输入http://33.XX.XX.33,验证通信是否正常。
    经验证,本地数据中心2下的PC不可以访问ECS实例的静态网页。不可访问