You need to enable JavaScript to run this app.
导航

配置后端服务器安全组

最近更新时间2023.09.15 16:30:08

首次发布时间2021.07.09 13:29:27

操作场景

为保证负载均衡正常工作,您需要对后端服务器的安全组进行配置,入方向放通对外提供服务的协议类型、端口和允许访问的客户端地址。

配置说明

  • 单独使用负载均衡服务时,根据监听器类型不同,后端服务器安全组需要放通的网段不同。
    • 四层监听器对服务器类型的后端服务器组发起的公私网访问请求和健康检查请求的网段不同,因此对于四层监听器来说,需要在后端服务器的安全组入方向分别放通用于接收公私网访问请求和健康检查请求的协议、端口和地址。
    • 四层监听器对IP类型后端服务器组发起的请求和健康检查请求的网段相同,均源于私网网段100.64.0.0/10fd00:64::/32,此时只需要在后端服务器的安全组入方向按需放通100.64.0.0/10fd00:64::/32网段。
    • 七层监听器对所有类型后端服务器组发起的请求和健康检查请求的网段相同,均源于私网网段100.64.0.0/10,此时只需要在后端服务器的安全组入方向按需放通100.64.0.0/10网段。
  • 负载均衡服务配合私网连接服务使用时,需要在后端服务器的安全组入方向放通私网连接服务中终端节点服务的部署地址,负载均衡才能将来自私网连接的跨VPC访问请求转发到后端服务器进行处理。终端节点服务的部署地址属于100.64.0.0/10网段,所以此时只需要在后端服务器的安全组入方向放通100.64.0.0/10网段。

不同协议监听器需放通的协议类型如下:

  • TCP、HTTP/HTTPS监听器需放通TCP协议。
  • UDP监听器需放通UDP协议和ICMP协议。

健康检查协议的详细说明请参见健康检查概述

配置步骤

服务器类型后端服务器组

后端服务器组为服务器类型时,对于四层监听器和七层监听器来说,后端服务器安全组需要放通的网段不同,以下具体配置以通过80端口提供服务的ECS实例作为后端服务器进行介绍。

  1. 登录安全组控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 单击目标安全组列表右侧的“配置规则”按钮,进入访问规则详情界面。
  4. 单击“添加规则”按钮,进入添加入方向规则页面,如下图所示。
    alt
  5. 参考下表分别配置后端服务器和健康检查规则。
    如需配置多条入方向规则,请单击 依次添加。
    • TCP协议监听器
      序号策略协议类型端口范围
      源地址IP
      描述
      1允许TCP80允许访问的客户端地址(CIDR格式)用于接收公私网访问请求
      2允许TCP80100.64.0.0/10用于IPv4类型的后端服务器接收负载均衡健康检查请求;当负载均衡配合私网连接服务使用时,该规则还用于接收私网连接请求
      3允许TCP80fd00:64::/32用于IPv6类型的后端服务器接收负载均衡健康检查请求
    • UDP协议监听器
      序号策略协议类型端口范围
      源地址IP
      描述
      1允许UDP80允许访问的客户端地址(CIDR格式)用于接收公私网访问请求
      2允许UDP80100.64.0.0/10用于IPv4类型的后端服务器接收负载均衡健康检查请求;当负载均衡配合私网连接服务使用时,该规则还用于接收私网连接请求
      3允许ICMP80100.64.0.0/10
      4允许UDP80fd00:64::/32用于IPv6类型的后端服务器接收负载均衡健康检查请求
    • HTTP/HTTPS协议监听器
      序号策略协议类型端口范围
      源地址IP
      描述
      1允许TCP80100.64.0.0/10用于接收公私网访问请求和负载均衡健康检查请求;当负载均衡配合私网连接服务使用时,该规则还用于接收私网连接请求
  6. 单击“确定”按钮,完成配置。

IP类型后端服务器组

后端服务器组为IP类型时,不论是同VPC内的IP地址还是跨VPC内的IP地址作为后端服务器,对于四层监听器和七层监听器来说,后端服务器安全组需要放通的网段是相同的,以下具体配置以通过80端口提供服务的ECS实例私网IP地址作为后端服务器进行介绍。

  1. 登录安全组控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 单击目标安全组列表右侧的“配置规则”按钮,进入访问规则详情界面。
  4. 单击“添加规则”按钮,进入添加入方向规则页面。
  5. 参考下表分别配置后端服务器和健康检查规则。
    • TCP/HTTP/HTTPS协议监听器
      序号策略协议类型端口范围
      源地址IP
      描述
      1允许TCP80100.64.0.0/10用于接收公私网访问请求和负载均衡健康检查请求;当负载均衡配合私网连接服务使用时,该规则还用于接收私网连接请求
    • UDP协议监听器
      序号策略协议类型端口范围
      源地址IP
      描述
      1允许UDP80100.64.0.0/10用于接收公私网访问请求和负载均衡健康检查请求;当负载均衡配合私网连接服务使用时,该规则还用于接收私网连接请求
      2允许ICMP80100.64.0.0/10
  6. 单击“确定”按钮,完成配置。

相关文档

AuthorizeSecurityGroupIngresss:为指定安全组增加一条入方向的规则。