同所有云主机一样,负载均衡的后端服务器实例可以通过 安全组 进行访问控制,起到防火墙的作用。可将一个或多个安全组与后端云主机关联,并对每个安全组添加一条或多条规则控制不同服务器的流量访问权限。您可以随时修改某个安全组的规则,新规则会自动应用于与该安全组关联的所有实例。有关更多信息,请参阅 安全组 产品文档。
您可使用安全组使后端实例仅接收来自负载均衡的流量,也可以控制其可以接收其他来源的流量。但需要注意的是,必须确保实例的安全组允许负载均衡在对应监听器端口和运行状况检查端口上与后端实例进行通信。
负载均衡安全组的推荐规则
QCS流量来源 | 安全组配置 |
---|---|
客户远程访问,登录QCS | Linux安全组放通22端口 Windows安全组放通3389端口 |
负载均衡转发流量 | 内网:用户开通SNAT,进行源地址转换时,对于通过vpc的内网LB请求而言,后端云主机看不到client IP 地址。此时需要将负载均衡 VIP 加入到安全组放通规则中去。 公网:创建监听器并关联云主机后,配置云主机的安全组,将负载均衡 VIP 加入到安全组放通规则中去。 |
负载均衡健康检查 | 内网:由于内网健康检查已经将拨测机加入到白名单,因此无需特殊配置。 公网:依据上一步的规则,放通 VIP 的访问即可,无需特殊配置。 |
使用控制台管理后端服务器安全组
1) 登录七牛云,前往 负载均衡管理页面,点击相应的负载均衡实例 ID 进入负载均衡详情页。
2) 在【绑定云主机】选项卡中,点击相应的后端服务器ID进入云主机详情页。
3) 点击进入【安全组】选项卡,点击【配置】按钮可以对云主机的安全组进行配置。点击安全组 ID 进入安全组详情页即可编辑安全组本身的规则;
七牛云建议用户将后端服务器安全组设置为全放通。若打开了安全组访问控制(禁止规则)功能,则需注意以下规则:
- 需要配置所有客户端 IP 到本云主机实例 IP 的安全组规则。
- 只要开启了安全组,必须将负载均衡 VIP 加入到后端服务器的放通规则中。
- 对于某些恶意 IP,可以设置把恶意 IP 加在安全组前排规则,禁止其访问后端服务器。再放通所有 IP(0.0.0.0)到本机服务端口,让正常客户端可以访问。根据安全组生效规则,即可屏蔽前排的 IP。
文档反馈
(如有产品使用问题,请 提交工单)