安全组是一种虚拟防火墙,用于控制安全组内的入流量和出流量,从而提高实例的安全性。安全组具备状态检测和数据包过滤能力,相比访问控制ACL,可以同时配置IP黑白名单,并且支持匹配ICMP(IPv6)协议。本文为您介绍ALB加入安全组的场景、使用限制及ALB如何加入和解绑安全组。
场景说明
阿里云账号下的ALB支持安全组功能后,新购的ALB实例支持通过安全组或ACL控制访问流量,存量的ALB实例仅支持通过ACL实现访问控制。
以下场景仅以ALB实例支持加入安全组为前提进行说明:
ALB实例未加入安全组时,ALB监听端口默认对所有请求放行。
当ALB实例加入安全组且未设置任何拒绝策略时,ALB监听端口默认对所有请求放通。如果您需要只允许特定IP访问ALB,请注意添加一条拒绝策略进行兜底。
如果您需要拒绝或允许特定IP访问ALB实例,请参见ALB配置安全组实现黑白名单访问策略。
如果您需要对ALB实现基于协议/端口的访问控制,请参见ALB配置安全组实现基于监听/端口粒度的访问控制。
当您的ALB实例有访问控制的诉求,希望控制ALB实例的入流量时,您可以选择为ALB实例添加安全组,同时可基于业务设置相应的安全组规则。
负载均衡的出方向流量为用户请求的回包。为了保证您的业务正常运行,ALB的安全组对出流量不做限制,您无需额外配置安全组出方向规则。
新增安全组规则时,建议您避免对ALB的Local IP添加优先级为1的拒绝策略,以确保新增的安全组规则不会与ALB托管安全组策略冲突,因为这可能会影响ALB与您的后端服务之间的正常通信。您可以登录应用型负载均衡ALB控制台,在实例详情页面查看Local IP。
使用限制
安全组功能默认不开放,如需使用,请向商务经理申请。
分类 | 安全组类型 | 说明 |
ALB支持加入的安全组 |
|
关于普通安全组和企业安全组的介绍,请参见普通安全组与企业级安全组。 |
ALB不支持加入的安全组 | 托管安全组 | 关于托管安全组的介绍,请参见托管安全组。 |
功能对比
访问控制ACL和安全组都能通过配置IP黑白名单实现对流量的访问控制,下面介绍ALB实例中ACL和安全组的功能特性和使用限制。
差异点 | ACL | 安全组 |
配置维度 | 监听。 |
|
黑白名单 | 同一个监听仅支持同时配置白名单或黑名单。 | 同一个实例/监听可同时配置黑名单和白名单。 |
IP地址 | 支持IPv4地址。 | 支持IPv4、IPv6地址。 |
使用限制 | 关于ACL的使用限制,请参见使用限制。 | 关于安全组的使用限制,请参见使用限制。 |
前提条件
加入安全组
您可以通过为ALB实例添加安全组,允许或禁止安全组内的ALB实例对公网或私网的访问。
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择ALB实例所属的地域。
在实例页面,找到目标实例,单击实例ID。
在实例详情页面,单击安全组页签。
在安全组页签,单击添加安全组,在弹出的ALB实例加入安全组对话框中,选择一个或多个安全组,然后单击确定。
一个ALB实例最多支持添加4个安全组。如需新建安全组,您可以在选择安全组下拉框中单击创建安全组。更多信息,请参见创建安全组。
在左侧列表框单击目标安全组ID,可单击入方向或出方向页签分别查看安全组规则。
如需修改安全组入方向规则,在基本信息区域单击安全组ID,或在安全组页签右上角单击前往ECS控制台编辑,进入安全组详情页面操作。关于如何在ECS控制台编辑安全组规则,请参见修改安全组规则。
解绑安全组
您可以根据业务需求解绑ALB实例的安全组,目前控制台不支持批量解绑安全组。
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择ALB实例所属的地域。
在实例页面,找到目标实例,单击实例ID,在实例详情页面,单击安全组页签。
在左侧列表框找到目标安全组ID,单击实例ID,然后在右上角单击解除绑定。
在弹出的解除绑定对话框中,单击确定。
相关文档
关于安全组的详细介绍,请参见安全组。
如果您需要对ALB实现基于协议/端口的访问控制,请参见ALB配置安全组实现基于监听/端口粒度的访问控制。
如果您需要拒绝或允许特定IP访问ALB实例,请参见ALB配置安全组实现黑白名单访问策略。
LoadBalancerJoinSecurityGroup:为应用型负载均衡实例绑定已创建的安全组。
LoadBalancerLeaveSecurityGroup:为应用型负载均衡实例解绑安全组。