当您需要对客户端访问ALB的服务实施精细的访问控制时,您可以通过ALB监听启用访问控制功能,并设置入方向的允许或拒绝规则。通过这些步骤,您可以管理客户端请求转发,确保网络服务的安全性和高效性。
访问控制策略
您可以针对不同的监听设置访问白名单或黑名单:
白名单:允许特定IP访问负载均衡。仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于只允许特定IP访问的场景。
设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP可以访问负载均衡监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
黑名单:禁止特定IP访问负载均衡。不会转发来自所选访问控制策略组中设置的IP地址或地址段,黑名单适用于只限制某些特定IP访问的场景。
如果开启了黑名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
使用限制
分类 | 使用限制 |
监听 |
|
访问控制策略组 |
|
前提条件
您已经创建一个ALB实例,并为该实例配置了监听。具体操作,请参见快速实现IPv4服务的负载均衡。
访问控制策略组和ALB实例的所属地域相同。
配置流程
创建访问控制策略组
在配置访问控制之前,您需要先创建访问控制策略组。
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择所属地域。
在左侧导航栏,选择。
在访问控制页面,单击创建访问控制策略组。
在创建访问控制策略组对话框,完成以下配置,然后单击确定。
配置
说明
策略组名称
输入自定义策略组名称。
所属资源组
选择一个资源组。
标签
设置标签键和标签值。
设置标签后,您可以在访问控制页面使用标签筛选访问控制策略组。
添加IP条目
创建访问控制策略组后,您需要为每个策略组添加IP条目。IP条目是访问ALB实例的源IP。每个策略组可添加多个IP地址条目或IP地址段条目。
- 登录应用型负载均衡ALB控制台。
在左侧导航栏,选择。
在访问控制页面,找到目标访问控制策略组,然后单击访问策略组ID或在操作列单击管理访问控制策略组。
在访问控制详情页的条目页签,您可以通过以下两种方式添加策略组条目。
单个添加策略组条目
单击添加条目,在添加策略组条目对话框,输入地址/地址段和备注,单击添加。
批量添加策略组条目
单击批量添加条目,在添加策略组条目对话框,按照界面提示批量添加IP地址或IP地址段、备注,单击添加。
说明批量添加IP条目时请注意:
每个条目一行,以回车分隔。
每个条目中IP地址或IP地址段与备注之间用竖线(|)分隔,例如192.168.1.0/24|备注。
单次最多支持添加20个条目。
添加完策略组条目后,您可以根据需要执行以下操作。
添加IP条目或IP地址段后,您可以在条目列表中查看IP条目信息。
如果需要删除条目,在目标条目操作列单击删除,或选中目标条目,然后在列表下方单击删除。
如果需要导出条目,在条目列表右上角单击
导出全部条目,或选中目标条目后单击导出目标条目。
开启访问控制
您可以为监听设置访问白名单或黑名单。在开启访问控制前,请确保您已为ALB实例创建监听。
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择所属地域。
在实例页面,单击需要设置访问控制的ALB实例ID。
单击监听页签,选择以下任意一种方式进入访问控制的开启页面。
找到目标监听,然后在访问控制列单击启用。
找到目标监听,单击目标监听ID或者在操作列单击查看详情,然后在监听详情页签,在访问控制区域开启访问控制开关。
在启动访问控制对话框,完成以下配置并单击保存。
配置
说明
访问控制方式
选择一种访问控制方式。取值:
白名单:仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求。
黑名单:拒绝来自所选访问控制策略组中设置的IP地址或地址段的所有请求。
选择访问控制策略组
选择一个访问控制策略组。
选择访问控制策略组后,您可以单击查看已选条目查看具体的条目信息。
关闭访问控制
如果不需要对监听设置访问限制,您可以对监听关闭访问控制。
- 登录应用型负载均衡ALB控制台。
在实例页面,单击需要设置访问控制的ALB实例ID。
在监听页签,找到目标监听,然后单击监听ID或者在操作列单击查看详情。
在监听详情页签,在访问控制区域关闭访问控制开关。
在弹出的对话框中,单击确定。
相关文档
CreateAcl:创建访问控制策略组。
AddEntriesToAcl:在访问控制策略组中添加IP条目。
RemoveEntriesFromAcl:删除访问控制策略组中的IP条目。
AssociateAclsWithListener:关联访问控制策略组到监听。
DissociateAclsFromListener:将访问控制策略组与监听解除关联。