網路隔離是負載平衡系統中的一種重要安全措施,它可以將不同的網路流量隔離開來,從而提高系統的安全性和可靠性。負載平衡的基礎設施主要包括網路隔離和控制網路流量。
網路隔離
VPC是阿里雲自己的邏輯隔離地區中的雲上虛擬網路。子網是VPC中的IP位址範圍。當您建立負載平衡時,可以為負載平衡器執行個體指定一個或多個子網。您可以在您的VPC的子網中建立ECS執行個體,並將這些執行個體添加至Server Load Balancer執行個體的後端伺服器組中。更多資訊,請參見什麼是專用網路。
ALB和NLB執行個體的網路類型:
私網:每個可用性區域提供一個私網IP,只能通過阿里雲內部網路訪問ALB或NLB,無法從互連網訪問。
公網:每個可用性區域提供一個公網IP和一個私網IP。公網ALB或NLB通過Elastic IP Address(Elastic IP Address,簡稱EIP)提供公網能力,選擇公網將會收取Elastic IP Address的執行個體費、頻寬或流量費用。
CLB執行個體的網路類型:
私網:私網執行個體僅提供阿里雲私網IP,只能通過阿里雲內部網路訪問該負載平衡服務,無法從互連網訪問。
公網:公網執行個體僅提供公網IP,可以通過互連網訪問負載平衡服務。
Server Load Balancer執行個體與後端ECS通過私網進行通訊。如果後端ECS僅接收Server Load Balancer執行個體的請求,則無需使用公網的IP地址,即後端ECS執行個體無需綁定EIP。
控制網路流量
當您使用負載平衡時,三個子產品可分別使用以下方式來保護網路流量的安全性。
應用型負載平衡ALB
控制網路流量方式 | 說明 | 文檔連結 |
SSL認證加密傳輸 | 使用SSL認證對傳輸資料進行加密,防止資料在傳輸過程中被截獲或篡改。 | |
開啟WAF防護 | 開啟WAF(Web Application Firewall)功能,對網路流量進行即時監控和過濾,防止惡意攻擊。 | |
開啟存取控制ACL | 開啟黑白名單,限制非法訪問和惡意流量的入口。 | |
使用DDoS防護 | 使用DDoS防護服務,對大規模攻擊進行即時防護。支援DDoS原生防護與DDoS高防。 | |
設定TLS安全性原則 | 使用安全性原則,可提高您的業務安全性。 配置HTTPS監聽時,支援使用TLS安全性原則。TLS安全性原則包含自訂策略和系統預設策略。 |
網路型負載平衡NLB
控制網路流量方式 | 說明 | 文檔連結 |
SSL認證加密傳輸 | 使用SSL認證對傳輸資料進行加密,防止資料在傳輸過程中被截獲或篡改。 | |
使用DDoS防護 | 使用DDoS防護服務,對大規模攻擊進行即時防護。支援DDoS原生防護與DDoS高防。 | |
加入安全性群組 | 通過設定相應的安全性群組規則,實現對入流量的存取控制。 | |
設定TLS安全性原則 | 使用安全性原則,可以提高您的業務安全性。 配置TCPSSL監聽時,支援使用TLS安全性原則。TLS安全性原則包含自訂策略和系統預設策略。 |
傳統型負載平衡CLB
控制網路流量方式 | 說明 | 文檔連結 |
SSL認證加密傳輸 | 使用SSL認證對傳輸資料進行加密,防止資料在傳輸過程中被截獲或篡改。 | |
開啟WAF防護 | 開啟WAF(Web Application Firewall)功能,對網路流量進行即時監控和過濾,防止惡意攻擊。 | |
開啟存取控制ACL | 開啟黑白名單,限制非法訪問和惡意流量的入口。 | |
使用DDoS防護 | 使用DDoS防護服務,對大規模攻擊進行即時防護。支援DDoS原生防護。 | |
設定TLS安全性原則 | 使用安全性原則,可以提高您的業務安全性。 配置HTTPS監聽時,支援使用TLS安全性原則。TLS安全性原則包含自訂策略和系統預設策略 |