安全組是一種虛擬防火墻,用于控制安全組內的入流量和出流量,從而提高實例的安全性。安全組具備狀態檢測和數據包過濾能力,相比訪問控制ACL,可以同時配置IP黑白名單,并且支持匹配ICMP(IPv6)協議。本文為您介紹ALB加入安全組的場景、使用限制及ALB如何加入和解綁安全組。
場景說明
阿里云賬號下的ALB支持安全組功能后,新購的ALB實例支持通過安全組或ACL控制訪問流量,存量的ALB實例僅支持通過ACL實現訪問控制。
以下場景僅以ALB實例支持加入安全組為前提進行說明:
ALB實例未加入安全組時,ALB監聽端口默認對所有請求放行。
當ALB實例加入安全組且未設置任何拒絕策略時,ALB監聽端口默認對所有請求放通。如果您需要只允許特定IP訪問ALB,請注意添加一條拒絕策略進行兜底。
如果您需要拒絕或允許特定IP訪問ALB實例,請參見ALB配置安全組實現黑白名單訪問策略。
如果您需要對ALB實現基于協議/端口的訪問控制,請參見ALB配置安全組實現基于監聽/端口粒度的訪問控制。
當您的ALB實例有訪問控制的訴求,希望控制ALB實例的入流量時,您可以選擇為ALB實例添加安全組,同時可基于業務設置相應的安全組規則。
負載均衡的出方向流量為用戶請求的回包。為了保證您的業務正常運行,ALB的安全組對出流量不做限制,您無需額外配置安全組出方向規則。
新增安全組規則時,建議您避免對ALB的Local IP添加優先級為1的拒絕策略,以確保新增的安全組規則不會與ALB托管安全組策略沖突,因為這可能會影響ALB與您的后端服務之間的正常通信。您可以登錄應用型負載均衡ALB控制臺,在實例詳情頁面查看Local IP。
使用限制
安全組功能默認不開放,如需使用,請向商務經理申請。
分類 | 安全組類型 | 說明 |
ALB支持加入的安全組 |
|
關于普通安全組和企業安全組的介紹,請參見普通安全組與企業級安全組。 |
ALB不支持加入的安全組 | 托管安全組 | 關于托管安全組的介紹,請參見托管安全組。 |
功能對比
訪問控制ACL和安全組都能通過配置IP黑白名單實現對流量的訪問控制,下面介紹ALB實例中ACL和安全組的功能特性和使用限制。
差異點 | ACL | 安全組 |
配置維度 | 監聽。 |
|
黑白名單 | 同一個監聽僅支持同時配置白名單或黑名單。 | 同一個實例/監聽可同時配置黑名單和白名單。 |
IP地址 | 支持IPv4地址。 | 支持IPv4、IPv6地址。 |
使用限制 | 關于ACL的使用限制,請參見使用限制。 | 關于安全組的使用限制,請參見使用限制。 |
前提條件
加入安全組
您可以通過為ALB實例添加安全組,允許或禁止安全組內的ALB實例對公網或私網的訪問。
- 登錄應用型負載均衡ALB控制臺。
在頂部菜單欄,選擇ALB實例所屬的地域。
在實例頁面,找到目標實例,單擊實例ID。
在實例詳情頁面,單擊安全組頁簽。
在安全組頁簽,單擊添加安全組,在彈出的ALB實例加入安全組對話框中,選擇一個或多個安全組,然后單擊確定。
一個ALB實例最多支持添加4個安全組。如需新建安全組,您可以在選擇安全組下拉框中單擊創建安全組。更多信息,請參見創建安全組。
在左側列表框單擊目標安全組ID,可單擊入方向或出方向頁簽分別查看安全組規則。
如需修改安全組入方向規則,在基本信息區域單擊安全組ID,或在安全組頁簽右上角單擊前往ECS控制臺編輯,進入安全組詳情頁面操作。關于如何在ECS控制臺編輯安全組規則,請參見修改安全組規則。
解綁安全組
您可以根據業務需求解綁ALB實例的安全組,目前控制臺不支持批量解綁安全組。
- 登錄應用型負載均衡ALB控制臺。
在頂部菜單欄,選擇ALB實例所屬的地域。
在實例頁面,找到目標實例,單擊實例ID,在實例詳情頁面,單擊安全組頁簽。
在左側列表框找到目標安全組ID,單擊實例ID,然后在右上角單擊解除綁定。
在彈出的解除綁定對話框中,單擊確定。
相關文檔
關于安全組的詳細介紹,請參見安全組。
如果您需要對ALB實現基于協議/端口的訪問控制,請參見ALB配置安全組實現基于監聽/端口粒度的訪問控制。
如果您需要拒絕或允許特定IP訪問ALB實例,請參見ALB配置安全組實現黑白名單訪問策略。
LoadBalancerJoinSecurityGroup:為應用型負載均衡實例綁定已創建的安全組。
LoadBalancerLeaveSecurityGroup:為應用型負載均衡實例解綁安全組。