访问NLB实例的流量受到实例网卡关联的安全组和实例所属子网关联的网络ACL限制,NLB实例创建后,需要在其关联安全组和网络ACL中放通访问流量。
本文为您介绍NLB实例安全组和网络ACL的放通配置。
NLB实例关联的安全组和网络ACL需要放通与NLB实例通信的流量,详细说明如下表所示。
| 实例访问控制 | 流量放通配置说明 | |
|---|---|---|
安全组 | 需要放通客户端访问流量和系统探测NLB私网IP地址可用性的流量。
| |
| 网络ACL | NLB实例与后端服务器属于相同子网 | |
NLB实例与后端服务器属于不同子网 | 需要放通客户端访问流量、后端服务器返回给NLB的健康检查响应流量、后端服务器返回给NLB的客户端响应流量和系统探测NLB私网IP地址可用性的流量。
| |
说明
IPv4类型的NLB实例无需配置下文中放通IPv6流量的规则。
实例关联的安全组入方向需要放通来自NLB实例的流量,出方向无特殊放通要求,建议您放通全部流量。
下面以仅允许或拒绝特定IP访问NLB为例,为您详细介绍入方向的放通规则:
仅允许特定IP访问NLB
| 优先级 | 策略 | 协议类型 | 端口范围 | 源地址/目的地址 | 描述 |
|---|---|---|---|---|---|
| 1 | 允许 | ALL | 监听端口 | 客户端IP地址 | 放通客户端访问流量 |
| 1 | 允许 | ICMP | ALL | 100.64.0.0/10 | 放通探测NLB实例私网IPv4地址可用性的流量 |
| 1 | 允许 | ICMPV6 | ALL | fd00:64::/32 | 放通探测NLB实例私网IPv6地址可用性的流量 |
| 100 | 拒绝 | ALL | ALL | 0.0.0.0/0 | 全拒绝的兜底策略 |
拒绝特定IP访问NLB
| 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|---|---|---|---|---|
| 1 | 拒绝 | ALL | 监听端口 | 不允许访问NLB的IP地址 | 拒绝指定的IP地址访问NLB |
实例所属子网关联的网络ACL出入方向均需要放通来自NLB实例的流量。
下面为您详细介绍出入方向的放通规则,出方向以放通全部流量为例:
| NLB实例与后端服务器所属子网是否相同 | 规则方向 | 优先级 | 策略 | 协议 | 源地址/目的地址 | 目的端口 | 描述 |
|---|---|---|---|---|---|---|---|
| 相同子网 | 入方向 | 1 | 允许 | 监听协议 | 客户端IP地址 | 监听端口 | 放通客户端访问流量 |
| 2 | 允许 | ICMP | 100.64.0.0/10 | ALL | 放通系统探测NLB私网IPv4地址可用性的流量 | ||
| 3 | 允许 | ICMPV6 | fd00:64::/32 | ALL | 放通系统探测NLB私网IPv6地址可用性的流量 | ||
| 出方向 | 1 | 允许 | ALL | 0.0.0.0/0 | ALL | 放通全部IPv4流量 | |
| 2 | 允许 | ALL | ::/0 | ALL | 放通全部IPv6流量 | ||
| 不同子网 | 入方向 | 1 | 允许 | 监听协议 | 客户端IP地址 | 监听端口 | 放通客户端访问流量 |
| 2 | 允许 | 健康检查协议 | 后端服务器私网IP地址 | 健康检查端口 | 放通后端服务器返回给NLB的健康检查响应流量 | ||
| 3 | 允许 | 监听协议 | 后端服务器私网IP地址 | 后端服务器端口 | 放通后端服务器返回给NLB的客户端响应流量 | ||
| 4 | 允许 | ICMP | 100.64.0.0/10 | ALL | 放通系统探测NLB私网IPv4地址可用性的流量 | ||
| 5 | 允许 | ICMPV6 | fd00:64::/32 | ALL | 放通系统探测NLB私网IPv6地址可用性的流量 | ||
| 出方向 | 1 | 允许 | ALL | 0.0.0.0/0 | ALL | 放通全部IPv4流量 | |
| 2 | 允许 | ALL | ::/0 | ALL | 放通全部IPv6流量 |