文档中心 负载均衡 后端云服务器 后端云服务器安全组配置说明

后端云服务器安全组配置说明

最近更新时间:2019-05-16 15:48:54

CVM 安全组简介

负载均衡的后端云服务器实例可以通过 安全组 进行访问控制,起到防火墙的作用。
您可以将一个或多个安全组与后端云服务器关联,并对每个安全组添加一条或多条规则控制不同服务器的流量访问权限。您可以随时修改某个安全组的规则,新规则会自动应用于与该安全组关联的所有实例。有关更多信息,请参阅 安全组操作指南。在 私有网络 环境中,您还可以使用 网络ACL 进行访问控制。

CVM 安全组配置说明

在 CVM 的安全组上,需放通 Client IP 和服务端口。
若您使用 CLB 转发业务流量到 CVM 上,为保障健康检查功能,在 CVM 的安全组上需做如下配置:

  1. 公网负载均衡:您需要在后端 CVM 的安全组上放通 CLB 的 VIP,CLB 使用 VIP 来探测后端 CVM 的健康状态。
  2. 内网负载均衡:
    • 对于应用型内网负载均衡,如果您的 CLB 属于 VPC 网络,您需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);如果您的 CLB 属于基础网络,无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。
    • 对于传统型内网负载均衡,如果实例创建于2016年12月5日前且网络类型为 VPC 网络,则需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);其他类型的传统型内网 CLB 无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。

CVM 安全组配置示例

如下示例为通过 CLB 访问 CVM 时,CVM 安全组的配置示例。若您在 CLB 上也配置了安全组,请参照 负载均衡配置安全组 来配置 CLB 上的安全组规则。

  • 应用场景 1:
    公网负载均衡,监听器配置为 TCP:80 监听器,后端服务端口为8080,希望只允许 Client IP(ClientA IP 和 ClientB IP)访问负载均衡,则后端服务器安全组入站规则配置如下:
    ClientA IP + 8080 allow
    ClientB IP + 8080 allow
    CLB VIP    + 8080 allow
    0.0.0.0/0  + 8080 drop
  • 应用场景 2:
    公网负载均衡,监听器配置为 HTTP:80 监听器,后端服务端口为8080,希望开放所有 Client IP 的正常访问,则后端服务器安全组入站规则配置如下:
    0.0.0.0/0 + 8080 allow
  • 应用场景 3:
    应用型内网负载均衡,网络类型为 VPC 网络,在 CVM 的安全组上需放通 CLB 的 VIP 来做健康检查。为该 CLB 配置 TCP:80 监听器,后端服务端口为8080,希望只允许 Client IP(ClientA IP 和ClientB IP)访问负载均衡的 VIP,并且希望限制 Client IP 只能访问该 CLB 下绑定的后端主机。
    a. 后端服务器安全组入站规则配置如下:
    ClientA IP + 8080 allow
    ClientB IP + 8080 allow
    CLB VIP    + 8080 allow
    0.0.0.0/0  + 8080 drop
    b. 用作 Client 的服务器安全组出站规则配置如下:
    CLB VIP    + 8080 allow
    0.0.0.0/0  + 8080 drop
  • 应用场景 4:
    传统型内网负载均衡(16年12月5日之后的新购的 VPC 网络 CLB),CVM 安全组仅需放通 Client IP(无需放通 CLB 的 VIP,默认放通健康检查 IP)。为该 CLB 配置 TCP:80 监听器,后端服务端口为8080,希望只允许 Client IP(ClientA IP 和ClientB IP)访问负载均衡的 VIP,并且希望限制 Client IP 只能访问该 CLB 下绑定的后端主机。
    a. 后端服务器安全组入站规则配置如下:
    ClientA IP + 8080 allow
    ClientB IP + 8080 allow
    0.0.0.0/0  + 8080 drop
    b. 用作 Client 的服务器安全组出站规则配置如下:
    CLB VIP    + 8080 allow
    0.0.0.0/0  + 8080 drop
  • 应用场景 5:黑名单
    如用户需要给某些 Client IP 设置黑名单,拒绝其访问,可以通过配置云服务关联的安全组实现。安全组的规则需要按照如下步骤进行配置:
    • 将需要拒绝访问的 Client IP + 端口添加至安全组中,并在策略栏中选取拒绝该 IP 的访问。
    • 设置完毕后,再添加一条安全组规则,默认开放该端口全部 IP 的访问。
      配置完成后,安全组规则如下:
      clientA IP + port drop
      clientB IP + port drop
      0.0.0.0/0  + port accept

      注意:

      • 上述配置步骤有顺序要求,顺序相反会导致黑名单配置失效。
      • 安全组是有状态的,因此上述配置均为入站规则的配置,出站规则无需特殊配置。

CVM 安全组操作指引

使用控制台管理后端服务器安全组

  1. 登录负载均衡控制台,单击相应的负载均衡实例 ID 进入负载均衡详情页。
  2. 在 CLB 绑定的云服务器页面中,单击相应的后端服务器 ID 进入云服务器详情页。
  3. 单击【安全组】选项卡,即可绑定/解绑安全组。

使用云 API 管理后端服务器安全组

请参考 绑定安全组接口解绑安全组接口