安全性群組是一種虛擬防火牆,用於控制安全性群組內的入流量和出流量,從而提高執行個體的安全性。安全性群組具備狀態檢測和資料包過濾能力,相比存取控制ACL,可以同時配置IP黑白名單,並且支援匹配ICMP(IPv6)協議。本文為您介紹ALB加入安全性群組的情境、使用限制及ALB如何加入和解除綁定安全性群組。
情境說明
阿里雲帳號下的ALB支援安全性群組功能後,新購的ALB執行個體支援通過安全性群組或ACL控制訪問流量,存量的ALB執行個體僅支援通過ACL實現存取控制。
以下情境僅以ALB執行個體支援加入安全性群組為前提進行說明:
ALB執行個體未加入安全性群組時,ALB監聽連接埠預設對所有請求允許存取。
當ALB執行個體加入安全性群組且未設定任何拒絕策略時,ALB監聽連接埠預設對所有請求放通。如果您需要只允許特定IP訪問ALB,請注意添加一條拒絕策略進行兜底。
如果您需要拒絕或允許特定IP訪問ALB執行個體,請參見ALB配置安全性群組實現黑白名單存取原則。
如果您需要對ALB實現基於協議/連接埠的存取控制,請參見ALB配置安全性群組實現基於監聽/連接埠粒度的存取控制。
當您的ALB執行個體有存取控制的訴求,希望控制ALB執行個體的入流量時,您可以選擇為ALB執行個體添加安全性群組,同時可基於業務設定相應的安全性群組規則。
負載平衡的出方向流量為使用者請求的回包。為了保證您的業務正常運行,ALB的安全性群組對出流量不做限制,您無需額外配置安全性群組出方向規則。
新增安全性群組規則時,建議您避免對ALB的Local IP添加優先順序為1的拒絕策略,以確保新增的安全性群組規則不會與ALB託管安全性群組策略衝突,因為這可能會影響ALB與您的後端服務之間的正常通訊。您可以登入應用型負載平衡ALB控制台,在執行個體詳情頁面查看Local IP。
使用限制
安全性群組功能預設不開放,如需使用,請向商務經理申請。
分類 | 安全性群組類型 | 說明 |
ALB支援加入的安全性群組 |
|
關於普通安全性群組和企業安全性群組的介紹,請參見普通安全性群組與企業級安全性群組。 |
ALB不支援加入的安全性群組 | 託管安全性群組 | 關於託管安全性群組的介紹,請參見託管安全性群組。 |
功能對比
存取控制ACL和安全性群組都能通過配置IP黑白名單實現對流量的存取控制,下面介紹ALB執行個體中ACL和安全性群組的功能特性和使用限制。
差異點 | ACL | 安全性群組 |
配置維度 | 監聽。 |
|
黑白名單 | 同一個監聽僅支援同時配置白名單或黑名單。 | 同一個執行個體/監聽可同時配置黑名單和白名單。 |
IP地址 | 支援IPv4地址。 | 支援IPv4、IPv6地址。 |
使用限制 | 關於ACL的使用限制,請參見使用限制。 | 關於安全性群組的使用限制,請參見使用限制。 |
前提條件
您已建立ALB執行個體,並為該執行個體配置了監聽。具體操作,請參見建立和管理ALB執行個體。
加入安全性群組
您可以通過為ALB執行個體添加安全性群組,允許或禁止安全性群組內的ALB執行個體對公網或私網的訪問。
- 登入應用型負載平衡ALB控制台。
在頂部功能表列,選擇ALB執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
在執行個體詳情頁面,單擊安全性群組頁簽。
在安全性群組頁簽,單擊添加安全性群組,在彈出的ALB執行個體加入安全性群組對話方塊中,選擇一個或多個安全性群組,然後單擊確定。
一個ALB執行個體最多支援添加4個安全性群組。如需建立安全性群組,您可以在選擇安全性群組下拉框中單擊建立安全性群組。更多資訊,請參見建立安全性群組。
在左側列表框單擊目標安全性群組ID,可單擊入方向或出方向頁簽分別查看安全性群組規則。
如需修改安全性群組入方向規則,在基本資料地區單擊安全性群組ID,或在安全性群組頁簽右上方單擊前往ECS控制台編輯,進入安全性群組詳情頁面操作。關於如何在ECS控制台編輯安全性群組規則,請參見修改安全性群組規則。
解除綁定安全性群組
您可以根據業務需求解除綁定ALB執行個體的安全性群組,目前控制台不支援批量解除綁定安全性群組。
- 登入應用型負載平衡ALB控制台。
在頂部功能表列,選擇ALB執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID,在執行個體詳情頁面,單擊安全性群組頁簽。
在左側列表框找到目標安全性群組ID,單擊執行個體ID,然後在右上方單擊解除綁定。
在彈出的解除綁定對話方塊中,單擊確定。
相關文檔
關於安全性群組的詳細介紹,請參見安全性群組。
如果您需要對ALB實現基於協議/連接埠的存取控制,請參見ALB配置安全性群組實現基於監聽/連接埠粒度的存取控制。
如果您需要拒絕或允許特定IP訪問ALB執行個體,請參見ALB配置安全性群組實現黑白名單存取原則。
LoadBalancerJoinSecurityGroup:為應用型Server Load Balancer執行個體綁定已建立的安全性群組。
LoadBalancerLeaveSecurityGroup:為應用型Server Load Balancer執行個體解除綁定安全性群組。