更新时间:2024-09-20 GMT+08:00

配置后端服务器的安全组

为了确保负载均衡器与后端服务器进行正常通信和健康检查正常,添加后端服务器后必须检查后端服务器所在的安全组规则和网络ACL规则。

流量经共享型ELB转到后端服务器以后,源IP会被转换为100.125.0.0/16的IP。

  • 后端服务器的安全组规则必须配置放行100.125.0.0/16网段。查看如何配置安全组规则
  • 网络ACL规则为子网级别的可选安全层,若后端服务器的子网关联了网络ACL,网络ACL规则必须配置允许源地址为ELB后端子网所属网段。查看如何配置网络ACL规则

若共享型ELB实例开启“获取客户端IP”功能,共享型ELB四层监听器转发的流量将不受安全组规则和网络ACL限制,安全组规则和网络ACL规则均无需额外放通。建议您使用监听器的访问控制功能对访问IP进行限制,详情请参考访问控制策略

约束与限制

  • 后端服务器组开启了健康检查,后端服务器的安全组规则必须配置放通ELB用于健康检查的协议和端口。
  • 如果健康检查使用UDP协议,安全组规则还需放行ICMP协议,否则无法对已添加的后端服务器执行健康检查。

配置安全组规则

首次创建后端服务器时,如果用户未配置过VPC,系统将会创建默认VPC。由于默认VPC的安全组策略为组内互通、禁止外部访问,即外部网络无法访问后端服务器,为了确保负载均衡器可同时在监听器端口和健康检查端口上与已创建后端服务器的进行通信,就需要配置安全组入方向的访问规则。

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 选择“计算 > 弹性云服务器”。
  4. 在弹性云服务器列表,单击待变更安全组规则的弹性云服务器名称。

    系统跳转至该弹性云服务器详情页面。

  5. 选择“安全组”页签,单击安全组名称,查看安全组规则。
  6. 单击“ID”或者“更改安全组规则”,系统自动跳转至安全组界面。
  7. 在入方向规则页签,单击“添加规则”,根据所在后端服务器组的后端协议类型按表1配置安全组入方向的访问规则。
    表1 放通安全组规则(共享型)

    后端协议

    策略

    协议端口

    源地址

    HTTP

    允许

    协议:TCP

    端口:后端服务器端口和健康检查端口

    100.125.0.0/16

    TCP

    允许

    协议:TCP

    端口:健康检查端口

    100.125.0.0/16

    UDP

    允许

    协议:UDP、ICMP

    端口:健康检查端口

    100.125.0.0/16

  8. 单击“确定”,完成安全组规则配置。

配置网络ACL规则

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用网络ACL。但是默认网络ACL规则会拒绝所有入站和出站流量,如果此网络ACL和负载均衡所属同一个子网,或者此网络ACL和负载均衡相关联的后端服务器所属同一个子网那么负载均衡的业务也会受到影响,收不到来自于公网或者私网的任何请求流量,或者会导致后端服务器异常。

您可以通过配置网络ACL入方向规则,放行100.125.0.0/16网段。

由于ELB会将访问后端服务器的公网IP转换为内部的100.125.0.0/16网段的IP地址,所以无法通过配置网络ACL规则来限制公网IP访问后端服务器。

负载均衡器的IP地址不受后端子网网络ACL规则的限制,所以能够被客户端直接访问。建议您使用监听器的访问控制功能限制客户端访问负载均衡器。详情请参考访问控制策略

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在系统首页,选择“网络 > 虚拟私有云”。
  4. 在左侧导航栏选择“访问控制 > 网络ACL”。
  5. 在“网络ACL”列表区域,选择网络ACL的名称列,单击您需要修改的“网络ACL名称”进入网络ACL详情页面。
  6. 在入方向规则或出方向规则页签,单击“添加规则”,添加入方向或出方向规则。
    • 策略:选择允许。
    • 协议:和后端协议一致。
    • 源地址:此方向允许的源地址,填写100.125.0.0/16。
    • 源端口范围:选择业务所在端口范围。
    • 目的地址:此方向允许的目的地址。选择默认值为0.0.0.0/0,代表支持所有的IP地址。
    • 目的端口范围:选择业务所在端口范围。
    • 描述:网络ACL规则的描述信息,非必填项。
  7. 单击“确定”。