本文介绍常见应用的网络ACL规则配置示例。
若您将子网中的ECS实例作为负载均衡CLB的后端服务器使用,并关联了网络ACL,为保证您的业务使用不受影响,需要添加如下网络ACL规则。
入方向规则
| 优先级 | 协议 | 策略 | 源地址 | 目的端口 | 说明 |
|---|---|---|---|---|---|
1 | CLB监听协议 | 允许 | 允许接入CLB的客户端IP | 后端服务器端口 | 允许来自指定客户端IP的入方向流量。 说明 仅负载均衡四层监听配置此规则,如使用七层监听则无需配置此规则。 |
| 2 | 健康检查协议 | 允许 | 100.64.0.0/10 | 健康检查端口 | 在健康检查端口上允许来自健康检查地址的入方向流量。 |
出方向规则
| 优先级 | 协议 | 策略 | 目的地址 | 目的端口 | 说明 |
|---|---|---|---|---|---|
1 | ALL | 允许 | 允许接入CLB的客户端IP | ALL | 允许所有流向指定客户端IP的出方向流量。 说明 仅负载均衡四层监听配置此规则,如使用七层监听则无需配置此规则。 |
| 2 | ALL | 允许 | 100.64.0.0/10 | ALL | 允许所有流向健康检查地址的出方向流量。 |
以拒绝某IP地址,如:192.168.0.0访问100端口为例,配置网络ACL入方向规则如下:
| 优先级 | 协议 | 策略 | 源地址 | 目的端口 | 描述 |
|---|---|---|---|---|---|
| 1 | TCP | 拒绝 | 192.168.0.0/17 | 100 | 拒绝192.168.0.0访问子网100端口。 |
| 2 | ALL | 允许 | 0.0.0.0/0 | ALL | 默认规则 |