创建负载均衡(CLB)后,您可以配置 CLB 的安全组来隔离公网流量。本文将介绍如何配置不同模式的 CLB 安全组。
使用限制
每个 CLB 最多绑定5个安全组,如需提升配额请前往 配额管理,提交配额申请。 CLB 的单个安全组,包含出规则、入规则、后端参数模版(ipm/ipmg/ppm/ppmg)完全展开,最多为 512 条。
跨地域绑定2.0和混合云部署,不支持安全组默认放通,请在后端服务器上放通 Client IP 和服务端口。
内网 CLB 绑定 EIP 后,新增 CLB 上的安全组对来自 EIP 与内网 CLB 的流量生效。存量 CLB 上的安全组对来自 EIP 的流量不生效,对来自内网 CLB 的流量生效。如存量实例需对来自 EIP 的流量生效,请提交 工单申请。 传统型内网负载均衡和基础网络的内网负载均衡不支持绑定安全组。
传统型内网负载均衡和基础网络的负载均衡不支持安全组默认放通功能。
黑石 2.0 服务器不支持安全组默认放通。
背景信息
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,控制实例级别的出入流量,详情请参见 安全组概述。 CLB 安全组为绑定在 CLB 实例上的安全组,CVM 安全组为绑定在 CVM 上的安全组,二者限制的对象不同。CLB的安全组配置,主要有如下两种模式:
说明:
默认情况下,IPv4 CLB、NAT64安全组默认放通为关闭状态,可在控制台开启 / 关闭。
默认情况下,IPv6 CLB 安全组默认放通为开启状态,且无法关闭。
开启安全组默认放通
开启安全组默认放通后:
如果您希望指定固定 Client IP 访问,CLB 安全组需放通 Client IP 和监听端口,后端 CVM 的安全组不必再放通 Client IP 和服务端口。来自 CLB 的访问流量仅需通过 CLB 的安全组,后端云服务器会默认放通来自 CLB 的流量,后端云服务器不必对外暴露端口。
来自公网 IP(包括普通公网 IP 和 EIP)的流量,依然要经过 CVM 的安全组。
若 CLB 实例不配置安全组,则放通所有流量:CLB 实例的 VIP 上,仅配置了监听器的端口才能被访问,因此监听端口将放通所有 IP 的流量。
若需拒绝某个 Client IP 的流量,必须在 CLB 的安全组中拒绝访问;在 CVM 的安全组中拒绝某个 IP 的访问将不对来自 CLB 的流量生效,只对来自公网 IP(包括普通公网 IP 和 EIP)的流量生效。
关闭安全组默认放通
关闭安全组默认放通后:
如果您希望指定固定 Client IP 访问,CLB 安全组需放通 Client IP 和监听端口,后端 CVM 的安全组也需放通 Client IP 和服务端口。即通过 CLB 的业务流量会经过 CLB 安全组和 CVM 安全组的双重检查。
来自公网 IP(包括普通公网 IP 和 EIP)的流量,依然要经过CVM的安全组。
若 CLB 实例不配置安全组,则仅放通经过 CVM 安全组的流量。
若需拒绝某个 Client IP 的流量,可以在 CLB 和 CVM 其中任何一个的安全组中拒绝访问。
关闭安全组默认放通的情况下,为保障健康检查功能,在 CVM 的安全组上需做如下配置:
1. 配置公网负载均衡
您需要在后端 CVM 的安全组上放通 CLB 的 VIP,CLB 使用 VIP 来探测后端 CVM 的健康状态。
2. 配置内网负载均衡
对于内网负载均衡(原“应用型内网负载均衡”),如果您的 CLB 属于 VPC 网络,您需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);如果您的 CLB 属于基础网络,无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。
对于传统型内网负载均衡,如果实例创建于2016年12月5日前且网络类型为 VPC 网络,则需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);其他类型的传统型内网 CLB,无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。
操作步骤
如下公网 CLB 的安全组配置示例,预实现 CLB 上仅允许业务流量从80端口进入,并由 CVM 的8080端口提供服务,且不限制 Client IP,支持任意 IP 的访问。
注意:
本例使用公网 CLB,需要在后端 CVM 的安全组上放通 CLB 的 VIP 来做健康检查,当前 0.0.0.0/0
为任意 IP,已包括 CLB 的 VIP。
步骤一:创建负载均衡和监听器,绑定云服务器
详情请参见 负载均衡快速入门 。本次创建 HTTP:80 监听器,并绑定后端 CVM,后端 CVM 的服务端口为 8080。 步骤二:配置 CLB 安全组
1. 配置负载均衡安全组规则
在 安全组控制台 上配置安全组规则,在入站规则中放通所有 IP(即为0.0.0.0/0
)的80端口,并拒绝其他端口的流量。 说明:
安全组规则,是从上至下依次筛选生效的,之前设置的允许规则通过后,其他的规则默认会被拒绝,请注意配置顺序,详见 安全组规则说明。 安全组有入站规则和出站规则,上述配置限制的是入站流量,因此配置均为入站规则的配置,出站规则无需特殊配置。
2. 将安全组绑定 CLB
2.2 在“实例管理”页面找到目标 CLB 实例,单击实例 ID。
2.3 在实例详情页面单击安全组页签,在“已绑定安全组”模块单击绑定。
2.4 在弹出的“配置安全组”窗口中,选择对应绑定到 CLB 上的安全组,单击确定。
CLB 安全组配置完成,对于访问 CLB 的流量,仅允许80端口的访问。 步骤三:配置安全组默认放通
您可以选择开启或关闭安全组默认放通,不同选择配置如下:
方式一:开启安全组默认放通,后端云服务器不必对外暴露端口。
说明:
传统型内网负载均衡和基础网络的负载均衡不支持安全组默认放通功能。
方式二:关闭安全组默认放通,CVM 的安全组上也需放通 Client IP(本例中即为0.0.0.0/0)。
方式一:开启安全组默认放通
2. 在“实例管理”页面找到目标 CLB 实例,单击实例 ID。
3. 在实例详情页面,单击安全组页签。
5. 启用默认放通功能后,将仅验证规则预览中的安全组规则。
方式二:关闭安全组默认放通
关闭默认放通,则需在 CVM 的安全组上也放通 Client IP。对于通过 CLB 访问 CVM 的业务流量,仅允许从 CLB 的 80 端口进入,并由 CVM 的 8080 端口提供服务。
说明:
允许放通某个 Client IP 的流量,需要在 CLB 和 CVM 两个安全组上都放通,如果 CLB 上没有配置安全组,则仅需放通 CVM 上的安全组。
1. 配置云服务器安全组规则
对于访问后端 CVM 的流量,通过配置云服务器安全组,限制仅允许服务端口的访问。
在 安全组控制台 上配置安全组策略,在入站规则中放通所有 IP 的 8080 端口,为保障远程登录主机和 Ping 服务,在安全组上须放通 22、3389 和 ICMP 服务。 2. 将安全组绑定 CVM
2.1 在 云服务器控制台上,单击 CLB 绑定的 CVM 的 ID,进入详情页。 2.2 选择安全组标签页,在“已绑定安全组”模块单击绑定。
2.3 在弹出的“配置安全组”窗口中,选择对应绑定到 CVM 上的安全组,单击确定。
本页内容是否解决了您的问题?