本文為您介紹如何通過網路ACL功能限制本機資料中心與雲上的互連關係。
前提條件
背景資訊
某公司在雲上建立了公網Server Load Balancer執行個體和ECS執行個體,ECS執行個體部署了靜態網頁,Server Load Balancer執行個體配置了監聽並添加ECS執行個體作為後端伺服器。預設情況下,本機資料中心1和本機資料中心2均可以通過Server Load Balancer執行個體的公網IP地址訪問靜態網頁。因公司業務需要,要求只允許本機資料中心1訪問靜態網頁,禁止本機資料中心2訪問靜態網頁。
各網路的公網IP地址如下表所示:
網路 | 公網IP地址 |
本機資料中心1 | 111.XX.XX.111 |
本機資料中心2 | 222.XX.XX.222 |
Server Load Balancer執行個體 | 33.XX.XX.33 |
如上圖,您可以將網路ACL與ECS執行個體所屬的交換器綁定,然後通過配置網路ACL規則實現對交換器中ECS流量的存取控制。
步驟一:建立網路ACL
- 登入專用網路管理主控台。
- 在左側導覽列,選擇。
- 在頂部功能表列,選擇網路ACL的地區。
在網路ACL頁面,單擊建立網路ACL。
在建立網路ACL對話方塊中,根據以下資訊配置網路ACL,然後單擊確定。
所屬專用網路:選擇網路ACL所屬的專用網路。
名稱:輸入網路ACL的名稱。
描述:輸入網路ACL的描述。
步驟二:綁定交換器
- 在網路ACL頁面,找到目標網路ACL,單擊網路ACL的ID。
在已綁定資源頁簽下,單擊關聯交換器。
在關聯交換器對話方塊,選擇交換器,然後單擊確定關聯。
步驟三:添加網路ACL規則
為網路ACL添加入方向規則和出方向規則。
在網路ACL頁面,找到目標網路ACL,然後在操作列單擊設定入方向規則。
在入方向規則頁簽下,單擊管理入方向規則。
根據以下資訊配置入方向規則,然後單擊確定。
優先順序
規則名稱
策略
協議類型
源地址
源連接埠範圍
1
允許來自本機資料中心1的HTTP請求
允許
TCP
本機資料中心1的公網IP地址,本文輸入111.XX.XX.111。
80/80
3
拒絕來自本機資料中心2的HTTP請求
拒絕
TCP
本機資料中心2的公網IP地址,本文輸入222.XX.XX.222。
80/80
如果Server Load Balancer執行個體開啟了健全狀態檢查功能,您還需添加以下入方向規則。
優先順序
規則名稱
策略
協議類型
源地址
源連接埠範圍
2
允許健全狀態檢查
允許
ALL
負載平衡健全狀態檢查使用的位址區段,為固定位址區段,輸入100.64.0.0/10。
-1/-1
單擊出方向規則頁簽,然後單擊管理出方向規則。
根據以下資訊配置出方向規則,然後單擊確定。
優先順序
規則名稱
策略
協議類型
目的地址
目的連接埠範圍
1
允許去往本機資料中心1的HTTP流量
允許
TCP
本機資料中心1的公網IP地址,本文輸入111.XX.XX.111。
1/65535
3
拒絕去往本機資料中心2的HTTP流量
拒絕
TCP
本機資料中心2的公網IP地址,本文輸入222.XX.XX.222。
1/65535
如果Server Load Balancer執行個體開啟了健全狀態檢查功能,您還需添加以下出方向規則。
優先順序
規則名稱
策略
協議類型
目的地址
目的連接埠範圍
2
允許健全狀態檢查
允許
ALL
負載平衡健全狀態檢查使用的位址區段,為固定位址區段,輸入100.64.0.0/10。
-1/-1
步驟四:測試連通性
測試本機資料中心1、本機資料中心2與Server Load Balancer執行個體間的連通性。
在本機資料中心1下,開啟PC端的瀏覽器。
在瀏覽器中輸入
http://33.XX.XX.33,驗證通訊是否正常。經驗證,本機資料中心1下的PC可以訪問ECS執行個體的靜態網頁。
在本機資料中心2下,開啟PC端的瀏覽器。
在瀏覽器中輸入
http://33.XX.XX.33,驗證通訊是否正常。經驗證,本機資料中心2下的PC不可以訪問ECS執行個體的靜態網頁。
