負載均衡提供監聽級別的訪問控制。您可以在創建監聽時配置訪問控制,也可以在監聽創建后修改或重新配置訪問控制。
訪問控制策略介紹
您可以針對不同的監聽設置訪問白名單或黑名單:
開啟白名單:僅轉發來自所選訪問控制策略組中設置的IP地址或地址段的請求,白名單適用于應用只允許特定IP訪問的場景。
設置白名單存在一定業務風險。一旦設置白名單,就只有白名單中的IP可以訪問負載均衡監聽。如果開啟了白名單訪問,但訪問策略組中沒有添加任何IP,則負載均衡監聽會轉發全部請求。
開啟黑名單:來自所選訪問控制策略組中設置的IP地址或地址段的所有請求都不會轉發,黑名單適用于應用只限制某些特定IP訪問的場景。
如果開啟了黑名單訪問,但訪問策略組中沒有添加任何IP,則負載均衡監聽會轉發全部請求。
使用限制
CLB每個監聽支持綁定多個訪問控制策略組,一個監聽默認掛載的訪問控制策略組上限為3個(CLB全地域均已支持)。
IPv6實例只能綁定IPv6訪問控制策略組,IPv4實例只能綁定IPv4訪問控制策略組。
一個監聽掛載的所有訪問控制策略組包含的訪問控制條目IP總數上限為1000。
一個訪問控制策略組能夠關聯的監聽總數為50。
一個監聽掛載的多個訪問控制策略組中包含的訪問控制條目IP不能重復。
配置流程
監聽訪問控制配置流程如下圖所示:
創建訪問控制策略組
在配置訪問控制前,您需要先配置訪問控制策略組。
- 登錄傳統型負載均衡CLB控制臺。
在頂部菜單欄,選擇實例所屬地域。
在左側導航欄,選擇。
在訪問控制頁面,單擊創建訪問控制策略組。
在創建訪問控制策略組面板,完成以下參數的配置,然后單擊創建。
配置
說明
策略組名稱
輸入自定義策略組名稱。
所屬資源組
選擇一個資源組。
IP版本
選擇一個IP版本。
IPv4
IPv6
批量添加IP地址/地址段和備注
訪問控制條目批量添加說明如下:
每個條目一行,以回車分隔。
每個條目的地址或者地址段和備注之間以豎線(|)分隔,例如
192.168.1.0/24|備注。單次最多支持添加50個條目。
添加IP條目
創建完訪問控制策略組后,每個策略組可包含多個IP地址條目或IP地址段條目。
- 登錄傳統型負載均衡CLB控制臺。
在頂部菜單欄,選擇所屬地域。
在左側導航欄,選擇傳統型負載均衡 CLB>訪問控制。
找到目標訪問控制策略組,單擊操作列的管理訪問控制策略組。
添加IP條目。
單擊批量添加條目,在批量添加策略組條目面板,批量添加IP地址或IP地址段、備注,單擊添加。
在添加條目時注意:
每個條目一行,以回車分隔。
每個條目中IP地址或IP地址段與備注之間用|分隔,例如192.168.1.0/24|備注。
單擊添加條目,在添加策略組條目面板,輸入地址/地址段和備注,單擊添加。
添加完策略組條目后,您可以根據需要執行以下操作。
添加IP條目或IP地址段后,您可以在條目列表中查看IP條目信息。
如果需要刪除條目,在目標條目操作列單擊刪除,或選中目標條目,然后在列表下方單擊刪除。
開啟訪問控制
您可以針對不同的監聽設置訪問白名單或黑名單。
- 登錄傳統型負載均衡CLB控制臺。
選擇實例的所屬地域。
單擊需要設置訪問控制的實例ID。
單擊監聽頁簽,在目標監聽操作列選擇
> 設置訪問控制 。在訪問控制設置面板完成以下配置,然后單擊確定。
配置
說明
啟用訪問控制
開啟訪問控制。
訪問控制方式
選擇一種訪問控制方式:
白名單:轉發來自所選訪問控制策略組中設置的IP地址或地址段的請求。
設置白名單存在一定業務風險。一旦設置白名單,就只有白名單中的IP可以訪問負載均衡監聽。如果開啟了白名單訪問,但訪問策略組中沒有添加任何IP,則負載均衡監聽會轉發全部請求。
黑名單:來自所選訪問控制策略組中設置的IP地址或地址段的所有請求都不會轉發。
如果開啟了黑名單訪問,但訪問策略組中沒有添加任何IP,則負載均衡監聽會轉發全部請求。
選擇訪問控制策略組
選擇一個訪問控制策略組。
IPv6實例只能綁定IPv6訪問控制策略組,IPv4實例只能綁定IPv4訪問控制策略組。
說明訪問控制策略組中的IP條目以半角逗號(,)隔開,不可重復,最多可添加300個IP條目。
關閉訪問控制
如果不需要設置訪問控制,您可以關閉訪問控制。
- 登錄傳統型負載均衡CLB控制臺。
選擇實例的所屬地域。
單擊需要設置訪問控制的實例ID。
在實例詳情頁面,單擊監聽頁簽。
找到目標監聽,選擇
> 設置訪問控制 。在訪問控制設置面板,關閉訪問控制,然后單擊確定。