本文将介绍负载均衡服务如何实现流量的安全防护。
场景介绍
负载均衡服务在提供公私网流量分发的同时,还可以通过 访问控制 功能控制访问CLB实例的流量。配合私有网络服务的 网络ACL 和 安全组 功能,还支持控制访问后端服务器的流量。
访问控制与网络ACL、安全组结合使用,可以帮助您在“内/外用户访问”和“后端服务器组”之间添加三层过滤,保障对后端服务器的安全访问。
基本概念
名词 | 说明 |
---|
访问控制 | 负载均衡服务提供监听级别的访问控制,如果您希望仅允许某些IP、或仅拒绝某些IP通过监听端口访问CLB实例,可以对该监听器设置访问控制策略。更多信息请参见访问控制概述。 |
网络ACL | 网络ACL(Network Access Control List)是私有网络基于子网提供的安全防御层,为私有网络提供更加精准灵活的安全访问策略。ACL规则会对出入子网的网络流量进行访问控制。关联某网络ACL规则的子网中所有的后端服务器会受到该网络ACL规则的保护。更多信息请参见网络ACL概述。 |
安全组 | 安全组是一个逻辑意义上的分组,是重要的网络安全隔离手段。安全组规则会对出入后端服务器的网络流量进行访问控制,加入某安全组的后端服务器,即受该安全组规则的保护。更多信息请参见安全组概述。 |
前提条件
建议您提前规划每层过滤的访问控制规则,后续您也可以随业务变化随时更新规则,规则实时生效。
- 访问控制
使用访问控制功能,您需要创建至少一个访问控制策略组,用于集中管理IP。策略组本身并不对访问控制方式做限制,交由监听器完成,包括黑名单和白名单两种方式。
因此,您需要将具有相同访问控制要求的IP或IP段存放于同一访问控制策略组内,在关联监听器时选择控制方式。 - 网络ACL
网络ACL功能作用于子网。因此您只需要为相应的子网规划访问控制规则,并添加到子网关联的网络ACL中。 - 安全组
安全组功能作用于网卡。因此您需要为每个后端服务器(主网卡或辅助网卡)单独规划访问控制规则,并添加到后端服务器关联的安全组中。
操作步骤
以下区分 首次创建 和 更改配置 为您介绍如何构建负载均衡的安全防护。
首次创建
第一步:创建访问控制策略组
- 登录负载均衡控制台。
- 在顶部导航栏,选择目标资源所属的项目和地域。
- 在左侧导航树,选择“访问控制”进入访问控制页面。
- 单击“创建访问控制策略组”按钮,配置策略组的名称和IP条目。
参数 | 限制 | 取值示例 |
---|
名称 | 配置策略组的名称。 | policy-1 |
项目 | 选择访问控制策略组所属的项目。 | default |
IP条目 | 由IP地址/地址段 + 备注组成,每行包括一个条目,格式为「x.x.x.x|备注」或「x.x.x.0/x|备注」,备注为选填。 | 180.184.66.168 10.0.2.0/24 |
- 单击“确定”按钮,完成操作。
第二步:创建网络ACL并关联子网
- 登录网络ACL控制台。
- 在顶部导航栏,选择目标资源所属的项目和地域。
- 单击“创建网络ACL”按钮,参考下表配置网络ACL。
参数 | 说明 | 取值样例 |
---|
名称 | 设置网络ACL的名称。 | acl-01 |
私有网络 | 选择该网络ACL所属的私有网络。 | vpc-02 |
- 单击“确定”按钮,完成网络ACL的创建。
- 在网络ACL列表中,单击网络ACL“acl-01”右侧的“配置规则”按钮。
- 根据规划,分别配置网络ACL的出入方向规则。
- 配置完成后,单击“保存”按钮,完成规则配置。
- 在网络ACL列表中,单击“acl-01”右侧的“关联子网”按钮。
- 在“关联子网”区域,单击“新增关联”按钮。
- 勾选待关联的子网,单击“确定”按钮,完成操作。
第三步:创建安全组规则并绑定网卡
- 登录安全组控制台。
- 在顶部导航栏,选择目标资源所属的项目和地域。
- 单击“创建安全组”按钮,参考下表配置安全组。
参数 | 说明 | 取值样例 |
---|
名称 | 设置安全组的名称。 | sg-01 |
私有网络 | 选择该安全组所属的私有网络. | vpc-02 |
访问规则 | 根据规划配置安全组出入方向规则,规则项说明请参见安全组概述。 | - |
- 单击“确定”按钮,完成操作。
- 在安全组列表中,单击安全组“sg-01”右侧的“关联网卡”按钮。
- 在“关联网卡”页签,单击“关联网卡”按钮。
- 勾选待关联的网卡,单击“确定”按钮,完成操作。
第四步:创建后端服务器组
参考创建后端服务器组选择以上网卡创建后端服务器组。
第五步:创建监听器配置访问控制、并关联后端服务器组
- 在创建监听器时,第一步配置“协议&监听”开启访问控制,选择控制方式和策略组。
参数 | 说明 | 取值示例 |
---|
控制方式 | 开启访问控制,选择控制方式。 | 黑名单 |
策略组名称 | 选择访问控制策略组,策略组中的IP将加入监听的黑名单。 | policy-1 |
- 为监听器关联后端服务器组。
- 四层监听器可以在第二步“后端服务器组”关联后端服务器组。
- 七层监听器可以在创建监听器第二步“默认后端服务器组”或参考添加转发规则关联后端服务器组。
更改配置
增删策略组IP条目
- 登录负载均衡控制台。
- 在顶部导航栏,选择目标资源所属的项目和地域。
- 在左侧导航树,选择“访问控制”,进入访问控制页面。
- 在策略组列表中,单击策略组“policy-1”右侧的“管理IP条目”按钮。
- 单击“添加IP条目”弹出对话框,添加新的IP条目,单击“确定”按钮,完成操作。
- 单击目标IP条目右侧的“删除”按钮或勾选目标IP条目后单击右上方的“删除”按钮,删除一个或多个条目。
增删网络ACL规则
- 登录网络ACL控制台。
- 在顶部导航栏,选择目标资源所属的项目和地域。
- 在网络ACL列表中,单击网络ACL“acl-01”右侧的“配置规则”按钮。
- 切换出入方向规则页签,单击“编辑入方向规则”或“编辑出方向规则”按钮。
- 单击左下方的“添加规则”按钮,分别配置入方向和出方向规则。
- 单击“保存”按钮,完成入方向和出方向的规则添加。
- 单击目标规则右侧的“删除”按钮,确认删除后完成操作。
增删安全组规则
- 登录安全组控制台。
- 在顶部导航栏,选择目标资源所属的项目和地域。
- 在安全组列表中,单击安全组“sg-01”右侧的“配置规则”按钮。
- 单击“添加规则”按钮,配置出方向或入方向规则。
- 单击“确定”按钮,完成规则添加。
- 单击目标安全组右侧的“删除”按钮,确认删除后完成操作。
在监听器运行时开启访问控制功能
- 登录负载均衡控制台。
- 在顶部导航栏,选择目标资源所属的项目和地域。
- 单击目标CLB实例列表右侧的“配置监听器”按钮,进入该实例的监听器详情页。
- 单击目标监听器列表右侧的“··· > 编辑访问控制”按钮。
- 重新配置访问控制。
- 单击“确定”按钮,完成操作。