文档中心 负载均衡 负载均衡实例 配置负载均衡安全组

配置负载均衡安全组

最近更新时间:2019-04-03 15:35:40

负载均衡安全组简介

创建负载均衡后,您可以配置负载均衡的安全组来进行公网流量的隔离。通过 CLB 的业务流量会经过 CLB 安全组和 CVM 安全组的双重检查:

  1. 允许放通某个客户端 IP 的流量,需要在 CLB 和 CVM 两个安全组上都放通(如果 CLB 上没有配置安全组,则只需放通 CVM 上的安全组)。
  2. 试图拒绝某个客户端 IP 的流量,可以在 CLB 和 CVM 其中任何一个的安全组中拒绝访问。

    注意:

    • 您可以给 CLB 配置安全组,但不要求必须给 CLB 配置安全组。
    • 当前仅支持配置公网 CLB 的安全组,暂不支持内网 CLB 配置安全组。
    • CLB 安全组为绑定在 CLB 实例上的安全组,CVM 安全组为绑定在 CVM 上的安全组,二者的入站/出站规则可以相同,但限制的对象不同。

安全组配置说明

CLB 安全组配置

您可以同时配置 CLB 安全组和 CVM 安全组,用CLB 安全组限制监听端口流量,用 CVM 安全组限制服务端口的流量。

  1. 安全组规则配置参见 安全组控制台
  2. 如果您希望指定固定 Client IP 访问,CLB 安全组需放通 Client IP 和监听端口;CVM 安全组也需放通 Client IP 和服务端口。
  3. 如果您不需要指定 Client IP 访问,而支持任意公网 IP 访问,CLB 安全组需放通全部 IP(0.0.0.0/0) 和监听端口;CVM 安全组需放通全部 IP(0.0.0.0/0) 和服务端口。

CVM 安全组配置

在 CVM 的安全组上,需放通 Client IP 和服务端口。
若您使用 CLB 转发业务流量到 CVM 上,为保障健康检查功能,在 CVM 的安全组上需做如下配置

  1. 公网负载均衡:您需要在后端 CVM 的安全组上放通 CLB 的 VIP,CLB 使用 VIP 来探测后端 CVM 的健康状态。
  2. 内网负载均衡:
    • 对于应用型内网负载均衡,如果您的 CLB 属于 VPC 网络,您需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);如果您的 CLB 属于基础网络,无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。
    • 对于传统型内网负载均衡,如果实例创建于2016年12月5日前且网络类型为VPC网络,则需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);其他类型的传统型内网 CLB 无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。

安全组配置示例

在 CLB 和 CVM 上均配置安全组

如下公网 CLB 的安全组配置示例,希望完成:

  • CLB上仅允许业务流量从 80 端口进入,并由 CVM 的 8080 端口提供服务;
  • 不限制 Client IP,支持任意 IP 的访问。

1. 创建负载均衡和监听器,绑定云服务器。
请参考 应用型 LB 快速入门,本次创建 HTTP:80 监听器,并绑定后端云服务器,后端云服务器的服务端口为 8080。

2. 配置负载均衡安全组策略。
安全组控制台上配置安全组策略,在入站规则中放通所有 IP 的 80 端口,并拒绝其他端口的流量。

注意:

  • 安全组规则,是从上至下依次筛选生效的,之前设置的允许规则通过后,其他的规则默认会被拒绝,请注意配置顺序,详见[安全组常见问题]。
  • 安全组有入站规则和出站规则,上述配置限制的是入站流量,因此配置均为入站规则的配置,出站规则无需特殊配置。

3. 将安全组绑定到 CLB 上。
在负载均衡详情页中单击【安全组】,可以选择对应的安全组绑定到 CLB 上。

CLB 安全组配置完成,对于访问 CLB 的流量,仅允许 80端口的访问。

4. 配置云服务器安全组策略。
对于访问后端 CVM 的流量,通过配置云服务器安全组,限制仅允许服务端口的访问。
安全组控制台 上配置安全组策略,在入站规则中放通所有 IP 的 8080 端口,为保障远程登录主机和 Ping 服务,在安全组上放通 22、3389 和 ICMP 服务。

5. 将安全组绑定到 CVM 上。
单击 CLB 绑定的云服务器 ID,进入云服务器详情页,选择【安全组】一栏,配置云服务器的安全策略。

CVM 安全组配置完成,对于通过 CLB 访问 CVM 的业务流量,仅允许从 CLB 的 80 端口进入,并由 CVM 的 8080 端口提供服务。

注意:

  • 允许放通某个客户端 IP 的流量,需要在 CLB 和 CVM 两个安全组上都放通(如果 CLB 上没有配置安全组,则只需放通 CVM 上的安全组)
  • 本例使用公网负载均衡,需要在后端 CVM 的安全组上放通 CLB 的 VIP 来做健康检查,当前 0.0.0.0/0 为任意 IP,已包括 CLB 的 VIP。

仅在 CVM 上配置安全组

您可以选择只在 CVM 上配置安全组,CLB 不绑定安全组。此时 CLB 默认对所有 Client IP 和端口放通流量,出入站规则仅通过 CVM 安全组的过滤,详情请参见 后端云服务器安全组配置说明