網絡隔離是負載均衡系統中的一種重要安全措施,它可以將不同的網絡流量隔離開來,從而提高系統的安全性和可靠性。負載均衡的基礎設施主要包括網絡隔離和控制網絡流量。
網絡隔離
VPC是阿里云自己的邏輯隔離區域中的云上虛擬網絡。子網是VPC中的IP地址范圍。當您創建負載均衡時,可以為負載均衡器實例指定一個或多個子網。您可以在您的VPC的子網中創建ECS實例,并將這些實例添加至負載均衡實例的后端服務器組中。更多信息,請參見什么是專有網絡。
ALB和NLB實例的網絡類型:
私網:每個可用區提供一個私網IP,只能通過阿里云內部網絡訪問ALB或NLB,無法從互聯網訪問。
公網:每個可用區提供一個公網IP和一個私網IP。公網ALB或NLB通過彈性公網IP(Elastic IP Address,簡稱EIP)提供公網能力,選擇公網將會收取彈性公網IP的實例費、帶寬或流量費用。
CLB實例的網絡類型:
私網:私網實例僅提供阿里云私網IP,只能通過阿里云內部網絡訪問該負載均衡服務,無法從互聯網訪問。
公網:公網實例僅提供公網IP,可以通過互聯網訪問負載均衡服務。
負載均衡實例與后端ECS通過私網進行通信。如果后端ECS僅接收負載均衡實例的請求,則無需使用公網的IP地址,即后端ECS實例無需綁定EIP。
控制網絡流量
當您使用負載均衡時,三個子產品可分別使用以下方式來保護網絡流量的安全性。
應用型負載均衡ALB
控制網絡流量方式 | 說明 | 文檔鏈接 |
SSL證書加密傳輸 | 使用SSL證書對傳輸數據進行加密,防止數據在傳輸過程中被截獲或篡改。 | |
開啟WAF防護 | 開啟WAF(Web應用防火墻)功能,對網絡流量進行實時監控和過濾,防止惡意攻擊。 | |
開啟訪問控制ACL | 開啟黑白名單,限制非法訪問和惡意流量的入口。 | |
使用DDoS防護 | 使用DDoS防護服務,對大規模攻擊進行實時防護。支持DDoS原生防護與DDoS高防。 | |
設置TLS安全策略 | 使用安全策略,可提高您的業務安全性。 配置HTTPS監聽時,支持使用TLS安全策略。TLS安全策略包含自定義策略和系統默認策略。 |
網絡型負載均衡NLB
控制網絡流量方式 | 說明 | 文檔鏈接 |
SSL證書加密傳輸 | 使用SSL證書對傳輸數據進行加密,防止數據在傳輸過程中被截獲或篡改。 | |
使用DDoS防護 | 使用DDoS防護服務,對大規模攻擊進行實時防護。支持DDoS原生防護與DDoS高防。 | |
加入安全組 | 通過設置相應的安全組規則,實現對入流量的訪問控制。 | |
設置TLS安全策略 | 使用安全策略,可以提高您的業務安全性。 配置TCPSSL監聽時,支持使用TLS安全策略。TLS安全策略包含自定義策略和系統默認策略。 |
傳統型負載均衡CLB
控制網絡流量方式 | 說明 | 文檔鏈接 |
SSL證書加密傳輸 | 使用SSL證書對傳輸數據進行加密,防止數據在傳輸過程中被截獲或篡改。 | |
開啟WAF防護 | 開啟WAF(Web應用防火墻)功能,對網絡流量進行實時監控和過濾,防止惡意攻擊。 | |
開啟訪問控制ACL | 開啟黑白名單,限制非法訪問和惡意流量的入口。 | |
使用DDoS防護 | 使用DDoS防護服務,對大規模攻擊進行實時防護。支持DDoS原生防護。 | |
設置TLS安全策略 | 使用安全策略,可以提高您的業務安全性。 配置HTTPS監聽時,支持使用TLS安全策略。TLS安全策略包含自定義策略和系統默認策略 |