如何通过网络ACL限制本地IDC与云上的互通关系_专有网络VPC(VPC)-阿里云帮助中心

本文为您介绍如何通过网络ACL功能限制本地数据中心与云上的互通关系。

前提条件

您已经创建了专有网络和交换机。具体操作，请参见创建和管理专有网络和创建和管理交换机。
您已经在交换机中创建了ECS实例。具体操作，请参见自定义购买实例。
ECS实例加入的安全组允许互联网访问ECS实例的HTTP服务。更多信息，请参见网站提供Web服务。

背景信息

某公司在云上创建了公网负载均衡实例和ECS实例，ECS实例部署了静态网页，负载均衡实例配置了监听并添加ECS实例作为后端服务器。默认情况下，本地数据中心1和本地数据中心2均可以通过负载均衡实例的公网IP地址访问静态网页。因公司业务需要，要求只允许本地数据中心1访问静态网页，禁止本地数据中心2访问静态网页。

各网络的公网IP地址如下表所示：

网络	公网IP地址
本地数据中心1	111.XX.XX.111
本地数据中心2	222.XX.XX.222
负载均衡实例	33.XX.XX.33

如上图，您可以将网络ACL与ECS实例所属的交换机绑定，然后通过配置网络ACL规则实现对交换机中ECS流量的访问控制。

步骤一：创建网络ACL

登录专有网络管理控制台。
在左侧导航栏，选择访问控制 > 网络ACL。
在顶部菜单栏，选择网络ACL的地域。
在网络ACL页面，单击创建网络ACL。
在创建网络ACL对话框中，根据以下信息配置网络ACL，然后单击确定。
- 所属专有网络：选择网络ACL所属的专有网络。
- 名称：输入网络ACL的名称。
- 描述：输入网络ACL的描述。

步骤二：绑定交换机

在网络ACL页面，找到目标网络ACL，单击网络ACL的ID。
在已绑定资源页签下，单击关联交换机。
在关联交换机对话框，选择交换机，然后单击确定关联。

步骤三：添加网络ACL规则

为网络ACL添加入方向规则和出方向规则。

在网络ACL页面，找到目标网络ACL，然后在操作列单击设置入方向规则。
在入方向规则页签下，单击管理入方向规则。

根据以下信息配置入方向规则，然后单击确定。

优先级	规则名称	策略	协议类型	源地址	源端口范围
1	允许来自本地数据中心1的HTTP请求	允许	TCP	本地数据中心1的公网IP地址，本文输入`111.XX.XX.111`。	`80/80`
3	拒绝来自本地数据中心2的HTTP请求	拒绝	TCP	本地数据中心2的公网IP地址，本文输入`222.XX.XX.222`。	`80/80`

如果负载均衡实例开启了健康检查功能，您还需添加以下入方向规则。

优先级	规则名称	策略	协议类型	源地址	源端口范围
2	允许健康检查	允许	ALL	负载均衡健康检查使用的地址段，为固定地址段，输入`100.64.0.0/10`。	`-1/-1`

单击出方向规则页签，然后单击管理出方向规则。

根据以下信息配置出方向规则，然后单击确定。

优先级	规则名称	策略	协议类型	目的地址	目的端口范围
1	允许去往本地数据中心1的HTTP流量	允许	TCP	本地数据中心1的公网IP地址，本文输入`111.XX.XX.111`。	`1/65535`
3	拒绝去往本地数据中心2的HTTP流量	拒绝	TCP	本地数据中心2的公网IP地址，本文输入`222.XX.XX.222`。	`1/65535`

如果负载均衡实例开启了健康检查功能，您还需添加以下出方向规则。

优先级	规则名称	策略	协议类型	目的地址	目的端口范围
2	允许健康检查	允许	ALL	负载均衡健康检查使用的地址段，为固定地址段，输入`100.64.0.0/10`。	`-1/-1`

步骤四：测试连通性

测试本地数据中心1、本地数据中心2与负载均衡实例间的连通性。

在本地数据中心1下，打开PC端的浏览器。
在浏览器中输入http://33.XX.XX.33，验证通信是否正常。
经验证，本地数据中心1下的PC可以访问ECS实例的静态网页。
在本地数据中心2下，打开PC端的浏览器。
在浏览器中输入http://33.XX.XX.33，验证通信是否正常。
经验证，本地数据中心2下的PC不可以访问ECS实例的静态网页。