阿里云负载均衡配置NLB安全组实现黑白名单访问策略-云淘科技

场景说明

• 当NLB实例未加入安全组时，NLB监听端口默认对所有请求放通。

• 当NLB实例加入安全组且未设置任何拒绝策略时，NLB监听端口默认对所有请求放通。如果您需要只允许特定IP访问NLB，请注意添加一条拒绝策略进行兜底。

当您的NLB实例有访问控制的诉求，希望控制NLB实例的入流量时，您可以选择为NLB实例添加安全组，同时可基于业务设置相应的安全组规则。

重要

负载均衡的出方向流量为用户请求的回包，为了保证您的业务正常运行，NLB的安全组对出流量不做限制，您无需额外配置安全组出方向规则。

本文从以下2种场景为例介绍NLB安全组的黑白名单访问策略。关于安全组规则的排序策略，请参见安全组规则排序策略。

黑名单：NLB安全组对指定IP地址的拒绝访问策略

白名单：NLB安全组对指定IP地址的允许访问策略

使用限制

步骤一：创建服务器组

1. 登录网络型负载均衡NLB控制台。

2. 在顶部菜单栏，选择服务器组所属的地域。本文选择华东1（杭州）。

3. 在左侧导航栏，选择网络型负载均衡 NLB > 服务器组。

1. 在服务器组页面，单击创建服务器组。

2. 在创建服务器组对话框中，完成以下配置，然后单击创建。

   此处仅列出部分配置项，其余参数可保持默认值。更多信息，请参见创建服务器组。

   配置	说明
   服务器组类型	选择一种服务器组类型。本文选择服务器类型。
   服务器组名称	输入服务器组名称。本文输入RS01。
   VPC	从VPC下拉列表中选择一个VPC。本文选择VPC1，与ECS01、ECS02实例所属VPC保持一致。
   选择后端协议	选择一种后端协议。本文选择TCP。

1. 在服务器组创建成功对话框中单击添加后端服务器。

1. 在后端服务器页签单击添加后端服务器。

1. 在添加后端服务器面板，选择已创建的ECS01、ECS02实例，然后单击下一步。

1. 为已添加的服务器设置端口和权重，然后单击确定。本文端口输入80，权重保持默认值。

步骤二：创建NLB实例并配置监听

1. 在左侧导航栏，选择网络型负载均衡NLB > 实例，在实例页面，单击创建网络型负载均衡。

2. 在网络型负载均衡（按量付费）购买页面，完成以下配置。

   此处仅列出部分配置项。其余参数的配置，请参见创建实例。

   • 地域：本文选择华东1（杭州）。

   • 实例网络类型：本文选择公网。

   • VPC：本文选择VPC01。

3. 单击立即购买，然后根据控制台提示完成实例购买。

4. 返回实例页面，找到已创建的NLB实例，单击该NLB实例ID。

5. 单击监听页签，在监听页签单击快速创建监听。在快速创建监听对话框中，配置以下参数，完成TCP 80监听的创建，然后单击确定。

   监听配置	说明
   选择负载均衡协议	选择监听的协议类型。本文选择TCP。
   监听端口	输入监听端口，本文输入80。
   转发的后端服务器组	选择服务器类型及服务器类型下的服务器组。 本文选择步骤一：创建服务器组创建的服务器组。

6. NLB实例未加入安全组时，验证访问结果。验证过程中执行的curl -s http://whatismyip.akamai.com/ 命令是为了获取当前客户端的公网IP地址，以方便您识别当前客户端。

   1. 登录ECS03实例，执行telnet nlb-l9l01beht50ofq****.cn-hangzhou.nlb.aliyuncs.com 80命令，测试ECS03实例是否可以访问NLB实例。

      收到如下所示的回复报文，则表示访问成功。

   2. 登录ECS04实例。执行telnet nlb-l9l01beht50ofq****.cn-hangzhou.nlb.aliyuncs.com 80命令，测试ECS04实例是否可以访问NLB实例。

      收到如下所示的回复报文，则表示访问成功。

   验证结果表明：NLB实例未加入安全组时，ECS03和ECS04可正常访问NLB实例。

步骤三：创建安全组

在NLB实例加入安全组前，您需要先至ECS管理控制台创建安全组，按照以下访问规则创建2个安全组。

• 实现黑名单策略的安全组1

  新增拒绝策略的规则。本文以拒绝ECS03实例的公网IP（47.XX.XX.55）访问为例，添加一条拒绝策略的规则，默认的安全组规则可保留。

  授权策略	优先级	协议类型	端口范围	授权对象
  拒绝	1	全部	目的：-1/-1	源：47.XX.XX.55

• 实现白名单策略的安全组2

  新增允许和拒绝的规则。本文以允许ECS03实例的公网IP（47.XX.XX.55）访问为例，添加一条允许策略的规则，并增加一条拒绝策略的规则，如下表。

  授权策略	优先级	协议类型	端口范围	授权对象
  允许	1	全部	目的：-1/-1	源：47.XX.XX.55
  拒绝	100	全部	目的：-1/-1	源：0.0.0.0/0

1. 登录ECS管理控制台。

2. 在左侧导航栏，选择网络与安全 > 安全组。

3. 在顶部菜单栏，选择安全组所属的地域。本文选择华东1（杭州）。

4. 在安全组页面，单击创建安全组。

5. 在创建安全组页面，设置安全组的基本信息参数。

   此处仅列出部分配置项，其余参数的配置请参见创建安全组。

   • 网络：本文选择VPC1，与NLB实例所属VPC保持一致。

   • 安全组类型：本文选择普通安全组。

6. 在创建安全组安全组页面，设置安全组的访问规则参数。

   1. 在入方向单击手动添加，分别按照实现黑名单策略的安全组1和实现白名单策略的安全组2的规则创建。

   2. 单击创建安全组。

步骤四：NLB实例加入安全组并验证结果

相关文档

• 关于NLB加入安全组和解绑安全组等操作，请参见NLB加入安全组。

• 如何配置安全组实现NLB基于监听/端口粒度的访问控制，请参见配置安全组实现NLB基于监听/端口粒度的访问控制。

• 关于安全组的详细介绍，请参见安全组。