負載平衡提供監聽層級的存取控制。您可以在建立監聽時配置存取控制,也可以在監聽建立後修改或重新設定存取控制。
存取控制策略介紹
您可以針對不同的監聽設定訪問白名單或黑名單:
開啟白名單:僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,白名單適用於應用只允許特定IP訪問的情境。
設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP可以訪問負載平衡監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
開啟黑名單:來自所選存取控制策略組中設定的IP地址或位址區段的所有請求都不會轉寄,黑名單適用於應用只限制某些特定IP訪問的情境。
如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
使用限制
CLB每個監聽支援綁定多個存取控制策略組,一個監聽預設掛載的存取控制策略組上限為3個(CLB全地區均已支援)。
IPv6執行個體只能綁定IPv6存取控制策略組,IPv4執行個體只能綁定IPv4存取控制策略組。
一個監聽掛載的所有存取控制策略組包含的存取控制條目IP總數上限為1000。
一個存取控制策略組能夠關聯的監聽總數為50。
一個監聽掛載的多個存取控制策略組中包含的存取控制條目IP不能重複。
配置流程
監聽存取控制配置流程如下圖所示:
建立存取控制策略組
在配置存取控制前,您需要先配置存取控制策略組。
- 登入傳統型負載平衡CLB控制台。
在頂部功能表列,選擇執行個體所屬地區。
在左側導覽列,選擇。
在存取控制頁面,單擊建立存取控制策略組。
在建立存取控制策略組面板,完成以下參數的配置,然後單擊建立。
配置
說明
策略組名稱
輸入自訂策略組名稱。
所屬資源群組
選擇一個資源群組。
大量新增IP地址/位址區段和備忘
存取控制條目大量新增說明如下:
每個條目一行,以斷行符號分隔。
每個條目的地址或者位址區段和備忘之間以豎線(|)分隔,例如
192.168.1.0/24|備忘。單次最多支援添加50個條目。
添加IP條目
建立完存取控制策略組後,每個策略組可包含多個IP地址條目或IP位址區段條目。
- 登入傳統型負載平衡CLB控制台。
在頂部功能表列,選擇所屬地區。
在左側導覽列,選擇傳統型負載均衡 CLB>存取控制。
找到目標存取控制策略組,單擊操作列的管理存取控制原則組。
添加IP條目。
單擊大量新增條目,在大量新增策略組條目面板,大量新增IP地址或IP位址區段、備忘,單擊新增。
在添加條目時注意:
每個條目一行,以斷行符號分隔。
每個條目中IP地址或IP位址區段與備忘之間用|分隔,例如192.168.1.0/24|備忘。
單擊新增條目,在添加策略組條目面板,輸入地址/位址區段和備忘,單擊新增。
添加完策略組條目後,您可以根據需要執行以下操作。
添加IP條目或IP位址區段後,您可以在條目列表中查看IP條目資訊。
如果需要刪除條目,在目標條目操作列單擊刪除,或選中目標條目,然後在列表下方單擊刪除。
開啟存取控制
您可以針對不同的監聽設定訪問白名單或黑名單。
- 登入傳統型負載平衡CLB控制台。
選擇執行個體的所屬地區。
單擊需要設定存取控制的執行個體ID。
單擊監聽頁簽,在目標監聽操作列選擇
> 設定存取控制 。在存取控制設定面板完成以下配置,然後單擊確定。
配置
說明
啟用存取控制
開啟存取控制。
存取控制方式
選擇一種存取控制方式:
白名單:轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求。
設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP可以訪問負載平衡監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
黑名單:來自所選存取控制策略組中設定的IP地址或位址區段的所有請求都不會轉寄。
如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
選擇存取控制策略組
選擇一個存取控制策略組。
IPv6執行個體只能綁定IPv6存取控制策略組,IPv4執行個體只能綁定IPv4存取控制策略組。
說明存取控制策略組中的IP條目以半形逗號(,)隔開,不可重複,最多可添加300個IP條目。
關閉存取控制
如果不需要設定存取控制,您可以關閉存取控制。
- 登入傳統型負載平衡CLB控制台。
選擇執行個體的所屬地區。
單擊需要設定存取控制的執行個體ID。
在執行個體詳情頁面,單擊監聽頁簽。
找到目標監聽,選擇
> 設定存取控制 。在存取控制設定面板,關閉存取控制,然後單擊確定。