VPC中的访问控制

火山引擎私有网络（以下简称VPC）提供多种安全访问控制功能，多维度防护网络安全。本文主要介绍VPC内子网，云服务器，负载均衡，以及云数据库的访问控制。

子网

子网基于网络ACL实现安全访问控制。网络ACL是VPC提供的安全访问控制功能，通过配置ACL的出入方向规则，控制出入子网的流量。网络ACL规则对关联子网内的ECS实例流量生效，同一子网内的实例间通信不受影响。

您可以通过设置网络ACL，限制特定IP对子网内ECS实例的访问。

配置参考：为子网关联网络ACL添加一条入方向规则，拒绝12.XX.XX.89访问子网内ECS实例。

云服务器

云服务器基于安全组实现访问控制。安全组是一个逻辑分组，通过配置访问规则，为同一个私有网络内，具有相同安全保护需求并相互信任的实例提供访问策略。同一安全组内的云服务器之间网络互通，不同安全组的云服务器之间默认私网不通。

云服务器绑定公网IP后，即可与Internet的互相访问，但为了安全起见，可通过配置安全组，实现仅允许从云服务器访问Internet，不允许从Internet访问云服务器。

配置参考：为云服务器所在安全组添加一条入方向规则，允许特定IP地址通过22端口SSH远程连接Linux云服务器。

负载均衡

负载均衡提供监听级别的访问控制，通过设置监听器访问控制策略，以白名单、黑名单的方式，实现仅允许指定的IP或拒绝指定的IP通过监听端口访问负载均衡实例。更多信息可参见负载均衡访问控制。

• 白名单：仅允许选定策略组中的IP访问负载均衡实例。
• 黑名单：禁止选定策略组中的IP访问负载均衡实例。

配置参考：把需要放通或者需要禁止的IP地址添加到策略组中，然后开启访问控制，为策略组设置白名单或黑名单，具体可参见编辑访问控制。

云数据库

云数据库提供了白名单功能，将IP地址加入白名单后，该IP地址才能访问云数据库。

配置参考：为指定的云数据库添加安全白名单，指定白名单内的IP才可以访问云数据库，具体操作请参见添加IP白名单分组。