帮助与文档

当前位置: 首页帮助中心云负载均衡 CLB > 

负载均衡后端服务器的安全组应该怎么设置?怎样设置访问黑名单?

负载均衡后端服务器的安全组应该怎么设置?怎样设置访问黑名单?
发布时间:2017-05-12

负载均衡后端服务器的安全组应该怎么设置?怎样设置访问黑名单?

负载均衡安全组配置

若后端服务器设置了安全组规则,可能会出现负载均衡实例无法与其通信的状况。因此,在四层转发和七层转发下,建议后端服务器安全组均设置为全放通。若打开了安全组,则需要配置所有客户端IP到本机IP的安全组规则。对于某些恶意IP,可以设置把恶意IP加在安全组前排规则,禁止其访问后端服务器;再放通所有IP(0.0.0.0)到本机服务端口,让正常客户端可以访问。 (安全组规则是有顺序的,自顶而下进行匹配)

私有网络内的七层负载转发若设置了健康检查,还要注意必须把负载均衡VIP加入到后端服务器的安全组放通规则,否则健康检查可能失效。

设置访问黑名单

如用户需要给某些clientIP设置黑名单,拒绝其访问,可以通过配置云服务关联的安全组实现。安全组的规则需要按照如下步骤进行配置:

将需要拒绝访问的client IP+端口添加至安全组中,并在策略栏中选取拒绝该ip的访问。

设置完毕后,再添加一条安全组规则,默认开放该端口全部ip的访问。
配置完成后,安全组规则如下:

clientA ip+port dropclientB ip+port drop0.0.0.0/0+port accept

注意,上述配置步骤有顺序要求,顺序相反会导致黑名单配置失效。


以上内容是否对您有帮助?