更新时间:2024-04-08 GMT+08:00

访问控制策略

负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。

  • 设置白名单和黑名单存在一定业务风险。
    • 设置白名单,只有白名单中的IP可以访问负载均衡监听器。
    • 设置黑名单,黑名单中的IP不能访问负载均衡监听器。
  • 访问流量的IP先通过白名单或黑名单访问控制,然后负载均衡转发流量,通过安全组安全规则限制,所以安全组的规则设置不会影响负载均衡的白名单或黑名单设置的访问控制。
  • 访问控制只限制实际业务的流量转发,不限制ping命令操作,被限制的IP仍可以ping通后端服务器。
    • 对于共享型负载均衡实例来说,需要创建监听器并添加后端云服务器,才可以ping通。
    • 对于独享型负载均衡实例来说,创建完监听器,不需要添加后端云服务器,即可以ping通。
  • 配置了白名单,但是不在白名单的IP也能访问后端服务器,可能的原因是该连接为长连接。需要客户端或后端服务器断开该长连接。访问控制策略对新建的连接是实时生效的。

设置访问控制策略

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 单击页面左上角的,选择“网络 > 弹性负载均衡”。
  1. 在“负载均衡器”界面,单击负载均衡名称,进入监听器管理界面。
  2. 您可以通过以下两种操作入口,为监听器设置访问控制策略。
    • 在目标监听器所在行的“访问控制”列,单击“设置”。
    • 单击目标监听器名称,进入监听器的基本信息页面,单击访问控制右侧的“设置”。
  3. 在“设置访问控制”的弹窗中,如表1所示配置访问控制。
    表1 访问控制参数说明

    参数

    说明

    样例

    访问控制

    可以选择允许所有IP访问、白名单和黑名单。

    • 允许所有IP访问:不进行访问控制,允许所有IP访问负载均衡监听器。
    • 白名单:仅允许IP地址组中的IP访问负载均衡监听器。
    • 黑名单:不允许IP地址组中的IP访问负载均衡监听器。

    黑名单

    IP地址组

    设置白名单或者黑名单时,必须选择一个IP地址组。如果还未创建IP地址组,需要先创建IP地址组,更多关于IP地址组的信息请参见IP地址组

    ipGroup-b2

    访问控制开关

    当访问控制选择白名单或者黑名单时,可以开启或者关闭访问控制开关。

    • 开启:开启访问控制开关,设置的白名单和黑名单才会生效。
    • 关闭:关闭访问控制开关,设置的白名单和黑名单不生效。

    -

  4. 配置完成,单击“确定”。