負載平衡自身的存取控制能力 - Server Load Balancer

為保證您資源的資料安全，您可以通過存取控制策略，對雲資源的訪問進行控制，允許被授權的使用者訪問資源。本文主要介紹阿里雲負載平衡產品自身的存取控制能力。

概述

負載平衡自身支援的存取控制策略包括：

存取控制ACL
ALB和CLB的監聽支援啟用存取控制功能。通過設定入方向的允許或拒絕規則，對用戶端請求精確控制，管理請求轉寄。您可以針對不同的監聽設定訪問白名單或黑名單。
關於存取控制的更多介紹，請參見ALB存取控制和CLB存取控制概述。
安全性群組
安全性群組是一種虛擬防火牆，用於控制安全性群組內資源的入流量和出流量，從而提高資源的安全性。安全性群組具備狀態檢測和資料包過濾能力。
NLB支援加入安全性群組。當您的NLB執行個體有存取控制的訴求，希望控制NLB執行個體的入流量時，您可以選擇為NLB執行個體添加安全性群組，同時可基於業務設定相應的安全性群組規則。

對於ALB和CLB產品，您可以針對不同的監聽設定訪問白名單或黑名單：

開啟白名單：僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求，白名單適用於應用只允許特定IP訪問的情境。
設定白名單存在一定業務風險。一旦設定白名單，就只有白名單中的IP可以訪問負載平衡監聽。如果開啟了白名單訪問，但存取原則組中沒有添加任何IP，則負載平衡監聽會轉寄全部請求。
開啟黑名單：來自所選存取控制策略組中設定的IP地址或位址區段的所有請求都不會轉寄，黑名單適用於應用只限制某些特定IP訪問的情境。
如果開啟了黑名單訪問，但存取原則組中沒有添加任何IP，則負載平衡監聽會轉寄全部請求。

當NLB執行個體未加入安全性群組時，NLB監聽連接埠預設對所有請求放通。

當您的NLB執行個體有存取控制的訴求，希望控制NLB執行個體的入流量時，您可以選擇為NLB執行個體添加安全性群組，同時可基於業務設定相應的安全性群組規則。

重要

負載平衡的出方向流量為使用者請求的回包，為了保證您的業務正常運行，NLB的安全性群組對出流量不做限制，您無需額外配置安全性群組出方向規則。

關於NLB加入安全性群組的更多介紹，請參見：