You need to enable JavaScript to run this app.
导航

负载均衡安全防护

最近更新时间2023.12.07 16:37:22

首次发布时间2021.07.09 13:29:27

本文将介绍负载均衡服务如何实现流量的安全防护。

场景介绍

负载均衡服务在提供公私网流量分发的同时,还可以通过 访问控制 功能控制访问CLB实例的流量。配合私有网络服务的 网络ACL安全组 功能,还支持控制访问后端服务器的流量。
访问控制与网络ACL、安全组结合使用,可以帮助您在“内/外用户访问”和“后端服务器组”之间添加三层过滤,保障对后端服务器的安全访问。

基本概念

名词说明
访问控制负载均衡服务提供监听级别的访问控制,如果您希望仅允许某些IP、或仅拒绝某些IP通过监听端口访问CLB实例,可以对该监听器设置访问控制策略。更多信息请参见访问控制概述
网络ACL网络ACL(Network Access Control List)是私有网络基于子网提供的安全防御层,为私有网络提供更加精准灵活的安全访问策略。ACL规则会对出入子网的网络流量进行访问控制。关联某网络ACL规则的子网中所有的后端服务器会受到该网络ACL规则的保护。更多信息请参见网络ACL概述
安全组安全组是一个逻辑意义上的分组,是重要的网络安全隔离手段。安全组规则会对出入后端服务器的网络流量进行访问控制,加入某安全组的后端服务器,即受该安全组规则的保护。更多信息请参见安全组概述

前提条件

建议您提前规划每层过滤的访问控制规则,后续您也可以随业务变化随时更新规则,规则实时生效。

  • 访问控制
    使用访问控制功能,您需要创建至少一个访问控制策略组,用于集中管理IP。策略组本身并不对访问控制方式做限制,交由监听器完成,包括黑名单和白名单两种方式。
    因此,您需要将具有相同访问控制要求的IP或IP段存放于同一访问控制策略组内,在关联监听器时选择控制方式。
  • 网络ACL
    网络ACL功能作用于子网。因此您只需要为相应的子网规划访问控制规则,并添加到子网关联的网络ACL中。
  • 安全组
    安全组功能作用于网卡。因此您需要为每个后端服务器(主网卡或辅助网卡)单独规划访问控制规则,并添加到后端服务器关联的安全组中。

操作步骤

以下区分 首次创建更改配置 为您介绍如何构建负载均衡的安全防护。

首次创建

第一步:创建访问控制策略组
  1. 登录负载均衡控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 在左侧导航树,选择“访问控制”进入访问控制页面。
  4. 单击“创建访问控制策略组”按钮,配置策略组的名称和IP条目。
    参数限制取值示例
    名称配置策略组的名称。policy-1
    项目选择访问控制策略组所属的项目。default
    IP条目由IP地址/地址段 + 备注组成,每行包括一个条目,格式为「x.x.x.x|备注」或「x.x.x.0/x|备注」,备注为选填。180.184.66.168 10.0.2.0/24
  5. 单击“确定”按钮,完成操作。
第二步:创建网络ACL并关联子网
  1. 登录网络ACL控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 单击“创建网络ACL”按钮,参考下表配置网络ACL。
    参数说明取值样例
    名称设置网络ACL的名称。acl-01
    私有网络选择该网络ACL所属的私有网络。vpc-02
  4. 单击“确定”按钮,完成网络ACL的创建。
  5. 在网络ACL列表中,单击网络ACL“acl-01”右侧的“配置规则”按钮。
  6. 根据规划,分别配置网络ACL的出入方向规则。
  7. 配置完成后,单击“保存”按钮,完成规则配置。
  8. 在网络ACL列表中,单击“acl-01”右侧的“关联子网”按钮。
  9. 在“关联子网”区域,单击“新增关联”按钮。
  10. 勾选待关联的子网,单击“确定”按钮,完成操作。
第三步:创建安全组规则并绑定网卡
  1. 登录安全组控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 单击“创建安全组”按钮,参考下表配置安全组。
    参数说明取值样例
    名称设置安全组的名称。sg-01
    私有网络选择该安全组所属的私有网络.vpc-02
    访问规则根据规划配置安全组出入方向规则,规则项说明请参见安全组概述-
  4. 单击“确定”按钮,完成操作。
  5. 在安全组列表中,单击安全组“sg-01”右侧的“关联网卡”按钮。
  6. 在“关联网卡”页签,单击“关联网卡”按钮。
  7. 勾选待关联的网卡,单击“确定”按钮,完成操作。
第四步:创建后端服务器组

参考创建后端服务器组选择以上网卡创建后端服务器组。

第五步:创建监听器配置访问控制、并关联后端服务器组
  1. 创建监听器时,第一步配置“协议&监听”开启访问控制,选择控制方式和策略组。
    参数说明取值示例
    控制方式开启访问控制,选择控制方式。黑名单
    策略组名称选择访问控制策略组,策略组中的IP将加入监听的黑名单。policy-1
  2. 为监听器关联后端服务器组。
    • 四层监听器可以在第二步“后端服务器组”关联后端服务器组。
    • 七层监听器可以在创建监听器第二步“默认后端服务器组”或参考添加转发规则关联后端服务器组。

更改配置

增删策略组IP条目
  1. 登录负载均衡控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 在左侧导航树,选择“访问控制”,进入访问控制页面。
  4. 在策略组列表中,单击策略组“policy-1”右侧的“管理IP条目”按钮。
  5. 单击“添加IP条目”弹出对话框,添加新的IP条目,单击“确定”按钮,完成操作。
  6. 单击目标IP条目右侧的“删除”按钮或勾选目标IP条目后单击右上方的“删除”按钮,删除一个或多个条目。
增删网络ACL规则
  1. 登录网络ACL控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 在网络ACL列表中,单击网络ACL“acl-01”右侧的“配置规则”按钮。
  4. 切换出入方向规则页签,单击“编辑入方向规则”或“编辑出方向规则”按钮。
  5. 单击左下方的“添加规则”按钮,分别配置入方向和出方向规则。
  6. 单击“保存”按钮,完成入方向和出方向的规则添加。
  7. 单击目标规则右侧的“删除”按钮,确认删除后完成操作。
增删安全组规则
  1. 登录安全组控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 在安全组列表中,单击安全组“sg-01”右侧的“配置规则”按钮。
  4. 单击“添加规则”按钮,配置出方向或入方向规则。
  5. 单击“确定”按钮,完成规则添加。
  6. 单击目标安全组右侧的“删除”按钮,确认删除后完成操作。
在监听器运行时开启访问控制功能
  1. 登录负载均衡控制台
  2. 在顶部导航栏,选择目标资源所属的项目和地域。
  3. 单击目标CLB实例列表右侧的“配置监听器”按钮,进入该实例的监听器详情页。
  4. 单击目标监听器列表右侧的“··· > 编辑访问控制”按钮。
  5. 重新配置访问控制。
  6. 单击“确定”按钮,完成操作。