為了提高雲上流量入口安全性,如果您需要對NLB進行基於協議/連接埠/IP的存取控制,可以通過為NLB執行個體配置安全性群組來實現。本文為您介紹NLB加入安全性群組的情境、使用限制及NLB如何加入和解除綁定安全性群組。
情境說明
當NLB執行個體未加入安全性群組時,NLB監聽連接埠預設對所有請求放通。
當NLB執行個體加入安全性群組且未設定任何拒絕策略時,NLB監聽連接埠預設對所有請求放通。如果您需要只允許特定IP訪問NLB,請注意添加一條拒絕策略進行兜底。
如果您需要拒絕或允許特定IP訪問NLB執行個體,請參見配置NLB安全性群組實現黑白名單存取原則。
如果您需要對NLB實現基於協議/連接埠的存取控制,請參見配置安全性群組實現NLB基於監聽/連接埠粒度的存取控制。
當您的NLB執行個體有存取控制的訴求,希望控制NLB執行個體的入流量時,您可以選擇為NLB執行個體添加安全性群組,同時可基於業務設定相應的安全性群組規則。
負載平衡的出方向流量為使用者請求的回包,為了保證您的業務正常運行,NLB的安全性群組對出流量不做限制,您無需額外配置安全性群組出方向規則。
使用限制
分類 | 安全性群組類型 | 說明 |
NLB支援加入的安全性群組 |
|
關於普通安全性群組和企業安全性群組的介紹,請參見普通安全性群組與企業級安全性群組。 |
NLB不支援加入的安全性群組 | 託管安全性群組 | 關於託管安全性群組的介紹,請參見託管安全性群組。 |
前提條件
您已建立NLB執行個體,並為該執行個體配置了監聽。具體操作,請參見建立和管理NLB執行個體。
加入安全性群組
您可以通過為NLB執行個體添加安全性群組,允許或禁止安全性群組內的NLB執行個體對公網或私網的訪問。
- 登入網路型負載平衡NLB控制台。
在頂部功能表列,選擇NLB執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。在執行個體詳情頁簽,單擊安全性群組頁簽。
在安全性群組頁簽,單擊添加安全性群組,在彈出的NLB執行個體加入安全性群組對話方塊中,選擇一個或多個安全性群組,然後單擊確定。
一個NLB執行個體最多支援添加4個安全性群組。如需建立安全性群組,您可以在選擇安全性群組下拉框中單擊建立安全性群組。更多資訊,請參見建立安全性群組。
在左側列表框單擊目標安全性群組ID,可單擊入方向或出方向頁簽分別查看安全性群組規則。
如需修改安全性群組入方向規則,在基本資料地區單擊安全性群組ID,或在安全性群組頁簽右上方單擊前往ECS控制台編輯,進入安全性群組規則頁面操作。關於如何在ECS控制台編輯安全性群組規則,請參見修改安全性群組規則。
解除綁定安全性群組
您可以根據業務需求解除綁定NLB執行個體的安全性群組,目前控制台不支援批量解除綁定安全性群組。
- 登入網路型負載平衡NLB控制台。
在頂部功能表列,選擇NLB執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。在執行個體詳情頁簽,單擊安全性群組頁簽。
在安全性群組頁簽,在左側列表框單擊目標安全性群組ID,然後在右上方單擊解除綁定。
在彈出的解除綁定對話方塊中,單擊確定。
相關文檔
關於安全性群組的詳細介紹,請參見安全性群組。
如果您需要對NLB實現基於協議/連接埠的存取控制,請參見配置安全性群組實現NLB基於監聽/連接埠粒度的存取控制。
如果您需要拒絕或允許特定IP訪問NLB執行個體,請參見配置NLB安全性群組實現黑白名單存取原則。
LoadBalancerJoinSecurityGroup:為網路型Server Load Balancer執行個體綁定已建立的安全性群組。
LoadBalancerLeaveSecurityGroup:為網路型Server Load Balancer執行個體解除綁定安全性群組。