文档首页/ 弹性负载均衡 ELB/ 用户指南/ 共享型用户指南/ 后端服务器/ 配置后端服务器的安全组
更新时间:2026-02-05 GMT+08:00
查看PDF
分享

配置后端服务器的安全组

为了确保负载均衡器与后端服务器进行正常通信和健康检查正常,添加后端服务器后必须检查后端服务器所在的安全组规则和网络ACL规则。

流量经共享型ELB转到后端服务器以后,源IP会被转换为100.125.0.0/16的IP。

  • 后端服务器的安全组规则必须配置放行100.125.0.0/16网段。查看如何配置安全组规则
  • 网络ACL规则为子网级别的可选安全层,若后端服务器的子网关联了网络ACL,网络ACL规则必须配置允许源地址为ELB后端子网所属网段。查看如何配置网络ACL规则

若共享型ELB实例开启“获取客户端IP”功能,共享型ELB四层监听器转发的流量将不受安全组规则和网络ACL限制,安全组规则和网络ACL规则均无需额外放通。建议您使用监听器的访问控制功能对访问IP进行限制,详情请参考访问控制策略

约束与限制

  • 后端服务器组开启了健康检查,后端服务器的安全组规则必须配置放通ELB用于健康检查的协议和端口。
  • 如果健康检查使用UDP协议,安全组规则还需放行ICMP协议,否则无法对已添加的后端服务器执行健康检查。

默认安全组规则说明

默认安全组规则说明如下:
  • 入方向规则:入方向流量受限,只允许安全组内实例互通,拒绝来自安全组外部的所有请求进入实例。
  • 出方向规则:出方向流量放行,允许所有请求从安全组内实例流出。
图1 默认安全组

默认安全组规则的详细说明如表1所示。

表1 默认安全组规则

方向

策略

类型

协议端口

源地址/目的地址

描述

入方向

允许

IPv4

全部

源地址:默认安全组(default)

针对全部IPv4协议,允许安全组内的实例可使用任何协议和端口互相通信,确保安全组内实例网络互通。

入方向

允许

IPv6

全部

源地址:默认安全组(default)

针对全部IPv6协议,允许安全组内的实例可使用任何协议和端口互相通信,确保安全组内实例网络互通。

出方向

允许

IPv4

全部

目的地址:0.0.0.0/0

针对全部IPv4协议,允许所有流量从安全组内实例流出,即实例可访问外部任意IP和端口。

出方向

允许

IPv6

全部

目的地址:::/0

针对全部IPv6协议,允许所有流量从安全组内实例流出,即实例可访问外部任意IP和端口。

ELB对后端服务器安全组的配置要求

由于安全组默认拒绝所有来自外部的请求,允许所有请求从安全组内实例流出,通常您只需在安全组入方配置放通ELB用于健康检查的协议和端口。如果您已设置出方向的安全组规则,请确保出方向也放通了相关协议、端口和地址。
表2 后端协议为TCP协议的安全组要求

方向

优先级

策略

类型

协议端口

源地址

入方向

1

允许

由源地址决定

TCP: 健康检查端口

IP地址:100.125.0.0/16

出方向

1

允许

由源地址决定

TCP: 健康检查端口

IP地址:100.125.0.0/16
表3 后端协议为UDP协议的安全组要求

方向

优先级

策略

类型

协议端口

源地址

入方向

1

允许

由源地址决定

UDP: 健康检查端口

IP地址:100.125.0.0/16

入方向

1

允许

由源地址决定

ICMP: 全部

IP地址:100.125.0.0/16

出方向

1

允许

由源地址决定

UDP: 健康检查端口

IP地址:100.125.0.0/16

出方向

1

允许

由源地址决定

ICMP: 全部

IP地址:100.125.0.0/16
表4 后端协议为HTTP/HTTPS协议的安全组要求

方向

优先级

策略

类型

协议端口

源地址

入方向

1

允许

由源地址决定

TCP: 后端服务器端口和健康检查端

IP地址:100.125.0.0/16

出方向

1

允许

由源地址决定

TCP: 后端服务器端口和健康检查端

IP地址:100.125.0.0/16

配置安全组规则

首次创建后端服务器时,如果用户未配置过VPC,系统将会创建默认VPC。由于默认VPC的安全组策略为组内互通、禁止外部访问,即外部网络无法访问后端服务器,为了确保负载均衡器可同时在监听器端口和健康检查端口上与已创建后端服务器的进行通信,就需要配置安全组入方向的访问规则。

  1. 进入弹性云服务器列表页面。
  2. 在弹性云服务器列表,单击待变更安全组规则的弹性云服务器名称。

    系统跳转至该弹性云服务器详情页面。

  3. 选择“安全组”页签,单击安全组名称,查看安全组规则。
  4. 在入方向规则页签,单击“添加规则”,根据所在后端服务器组的后端协议类型按表5配置安全组入方向的访问规则。
    表5 放通安全组规则(共享型)

    后端协议

    策略

    协议端口

    源地址

    HTTP

    允许

    协议:TCP

    端口:后端服务器端口和健康检查端口

    100.125.0.0/16

    TCP

    允许

    协议:TCP

    端口:健康检查端口

    100.125.0.0/16

    UDP

    允许

    协议:UDP、ICMP

    端口:健康检查端口

    100.125.0.0/16
  5. 单击“确定”,完成安全组规则配置。

配置网络ACL规则

网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用网络ACL。但是默认网络ACL规则会拒绝所有入站和出站流量,如果此网络ACL和负载均衡所属同一个子网,或者此网络ACL和负载均衡相关联的后端服务器所属同一个子网那么负载均衡的业务也会受到影响,收不到来自于公网或者私网的任何请求流量,或者会导致后端服务器异常。

您可以通过配置网络ACL入方向规则,放行100.125.0.0/16网段。

由于ELB会将访问后端服务器的公网IP转换为内部的100.125.0.0/16网段的IP地址,所以无法通过配置网络ACL规则来限制公网IP访问后端服务器。

负载均衡器的IP地址不受后端子网网络ACL规则的限制,所以能够被客户端直接访问。建议您使用监听器的访问控制功能限制客户端访问负载均衡器。详情请参考访问控制策略

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在系统首页,选择“网络 > 虚拟私有云”。
  4. 在左侧导航栏选择“访问控制 > 网络ACL”。
  5. 在“网络ACL”列表区域,选择网络ACL的名称列,单击您需要修改的“网络ACL名称”进入网络ACL详情页面。
  6. 在入方向规则或出方向规则页签,单击“添加规则”,添加入方向或出方向规则。
    • 策略:选择允许。
    • 协议:和后端协议一致。
    • 源地址:此方向允许的源地址,填写100.125.0.0/16。
    • 源端口范围:选择业务所在端口范围。
    • 目的地址:此方向允许的目的地址。选择默认值为0.0.0.0/0,代表支持所有的IP地址。
    • 目的端口范围:选择业务所在端口范围。
    • 描述:网络ACL规则的描述信息,非必填项。
  7. 单击“确定”。
父主题: 后端服务器

相关文档