访问控制策略
当您需要对客户端访问弹性负载均衡实施精细的访问控制时,您可以开启ELB监听器的访问控制功能,并设置对应的访问控制策略来控制访问ELB监听器的IP地址。
负载均衡器的IP地址不受所在子网的网络ACL规则限制,建议您使用监听器的访问控制功能限制客户端访问负载均衡器。
访问控制策略
- 白名单:只有白名单中的IP可以访问ELB的监听器。仅转发来自所选访问控制IP地址组中设置的IP地址或网段的请求。
配置了白名单,但是不在白名单的IP也能访问后端服务器,可能的原因是该连接为长连接,需要客户端或后端服务器断开该长连接。
- 黑名单:黑名单中的IP禁止访问ELB的监听器。不会转发来自所选访问控制策略组中设置的IP地址或网段的请求。
- 访问控制只限制实际业务的流量转发,不限制ping命令操作,被限制的IP仍可以ping通ELB绑定的IP地址。
- 访问流量的IP先通过监听器访问控制策略的限制,然后转发至后端服务器,所以后端服务器安全组的规则设置不会影响负载均衡的访问控制策略。
设置访问控制策略
当您修改访问控制策略前,请您务必了解该操作可能带来的影响,避免误操作造成网络中断或者引入不必要的网络安全问题。
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击负载均衡名称,进入监听器管理界面。
- 您可以通过以下两种操作入口,为监听器设置访问控制策略。
- 在目标监听器所在行的“访问控制”列,单击“设置”。
- 单击目标监听器名称,进入监听器的基本信息页面,单击访问控制右侧的“设置”。
- 在“设置访问控制”的弹窗中,如表1所示配置访问控制。
表1 访问控制参数说明 参数
说明
访问控制
可以选择允许所有IP访问、白名单和黑名单。
- 允许所有IP访问:不进行访问控制,允许所有IP访问负载均衡监听器。
- 白名单:仅允许IP地址组中的IP访问负载均衡监听器。
- 黑名单:不允许IP地址组中的IP访问负载均衡监听器。
IP地址组
设置白名单或者黑名单时,必须选择一个IP地址组。如果还未创建IP地址组,需要先创建IP地址组,更多关于IP地址组的信息请参见IP地址组。
最多支持选择5个IP地址组。
访问控制开关
当访问控制选择白名单或者黑名单时,可以开启或者关闭访问控制开关。
- 开启:开启访问控制开关,设置的白名单和黑名单才会生效。
- 关闭:关闭访问控制开关,设置的白名单和黑名单不生效。
- 配置完成,单击“确定”。