云服务器默认配置了安全组,为保证NLB正常提供服务,您需要在后端服务器安全组中放通来自NLB实例的流量,包括客户端访问流量和NLB健康检查流量。安全性要求高的场景下,云服务器所属子网还可能配置了网络ACL,此时还需要在网络ACL中放通与NLB实例通信的流量。
根据NLB配置不同,后端服务器安全组和后端服务器所属子网关联的网络ACL需要放通的地址、协议和端口有所不同,如下表所示。
说明
仅后端服务器所属子网与NLB流量所属子网不同时,后端服务器所属子网关联的网络ACL出入方向才需要放通来自NLB实例的流量。
| 服务器组配置 | 流量放通配置说明 | |
|---|---|---|
服务器类型 说明 默认开启客户端地址保持,可按需关闭。 | 开启客户端地址保持 | 客户端请求的源地址为客户端IP,健康检查请求的源地址为NLB的LIP地址(来自NLB实例所属子网的网段),所以需要放通:
|
关闭客户端地址保持 | 客户端请求和健康检查请求的源地址均为NLB的LIP地址(来自NLB实例所属子网的网段),所以需要放通:
| |
IP类型 说明 默认关闭客户端地址保持,不可开启。 | 客户端请求和健康检查请求的源地址均为NLB的LIP地址(来自NLB实例所属子网的网段),所以需要放通:
| |
说明
下文中,NLB实例所属子网网段指NLB实例支持的所有可用区内的子网网段。
后端服务器安全组入方向需要放通来自NLB实例的流量,出方向无特殊放通要求,建议您放通全部流量。
下面为您详细介绍入方向的放通规则:
配置方式一:引用NLB实例关联的安全组(推荐使用)
| 客户端地址保持 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址/目的地址 | 描述 |
|---|---|---|---|---|---|---|
| 开启 | 1 | 允许 | 监听协议 | 服务器提供服务的端口 | 客户端IP地址 | 放通客户端访问流量 |
| 1 | 允许 | 健康检查协议 | 健康检查端口 | NLB实例关联的任意一个安全组 | 放通NLB健康检查流量 | |
| 关闭 | 1 | 允许 | 监听协议 | 服务器提供服务的端口 | NLB实例关联的任意一个安全组 | 放通客户端访问流量 |
| 1 | 允许 | 健康检查协议 | 健康检查端口 | NLB实例关联的任意一个安全组 | 放通NLB健康检查流量 |
配置方式二:手动添加待放通的CIDR
| 客户端地址保持 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址/目的地址 | 描述 |
|---|---|---|---|---|---|---|
| 开启 | 1 | 允许 | 监听协议 | 服务器提供服务的端口 | 客户端IP地址 | 放通客户端访问流量 |
| 1 | 允许 | 健康检查协议 | 健康检查端口 | NLB实例所属子网网段 | 放通NLB健康检查流量 | |
| 关闭 | 1 | 允许 | 监听协议 | 服务器提供服务的端口 | NLB实例所属子网网段 | 放通客户端访问流量 |
| 1 | 允许 | 健康检查协议 | 健康检查端口 | NLB实例所属子网网段 | 放通NLB健康检查流量 |
后端服务器所属子网与NLB流量所属子网不同时,后端服务器所属子网关联的网络ACL出入方向均需要放通来自NLB实例的流量。
下面为您详细介绍出入方向的放通规则,出方向以放通全部流量为例:
| 客户端地址保持 | 规则方向 | 优先级 | 策略 | 协议 | 源地址/目的地址 | 目的端口 | 描述 |
|---|---|---|---|---|---|---|---|
| 开启 | 入方向 | 1 | 允许 | 监听协议 | 客户端IP地址 | 服务器提供服务的端口 | 放通客户端访问流量 |
| 入方向 | 1 | 允许 | 健康检查协议 | NLB实例所属子网网段 | 健康检查端口 | 放通NLB健康检查流量 | |
| 出方向 | 1 | 允许 | ALL | 0.0.0.0/0 | ALL | 放通全部流量 | |
| 关闭 | 入方向 | 1 | 允许 | 监听协议 | NLB实例所属子网网段 | 服务器提供服务的端口 | 放通客户端访问流量 |
| 入方向 | 1 | 允许 | 健康检查协议 | NLB实例所属子网网段 | 健康检查端口 | 放通NLB健康检查流量 | |
| 出方向 | 1 | 允许 | ALL | 0.0.0.0/0 | ALL | 放通全部流量 |