云服务器作为负载均衡CLB的后端服务器,其安全组需要放通CLB的流量。
配置说明
IPv4 CLB实例的后端放通说明
根据后端服务器组类型和监听器类型不同,云服务器安全组需要放通的网段和协议不同。
| 监听器类型 | 请求地址 | 放通协议 | 安全组入方向流量放通说明 |
|---|
| TCP | 客户端请求 | 客户端IPv4地址 | TCP | 放通客户端IPv4地址基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
| UDP监听器 | 客户端请求 | 客户端IPv4地址 | UDP | 放通客户端IPv4地址基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | UDP、ICMP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
| HTTP/HTTPS监听器 | 客户端请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
| 监听器类型 | 请求地址 | 放通协议 | 安全组入方向流量放通说明 |
|---|
| TCP/HTTP/HTTPS监听器 | 客户端请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
| UDP | 客户端请求 | 私网网段100.64.0.0/10 | UDP | 放通100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | UDP、ICMP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
双栈CLB实例的后端放通说明
监听器类型 | 请求地址 | 放通协议 | 安全组入方向流量放通说明 |
|---|
TCP监听器 |
客户端请求 | - IPv4请求:客户端IPv4地址
- IPv6请求:私网网段
100.64.0.0/10
| TCP | 放通客户端IPv4地址/100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
UDP监听器 |
客户端请求 | - IPv4请求:客户端IPv4地址
- IPv6请求:私网网段
100.64.0.0/10
| UDP | 放通客户端IPv4地址/100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | UDP、ICMP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
| HTTP/HTTPS监听器 | 客户端请求 | IPv4&IPv6请求:私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
监听器类型 | 请求地址 | 放通协议 | 安全组入方向流量放通说明 |
|---|
TCP监听器 |
客户端请求 | - IPv4请求:私网网段
fd00:64::/32 - IPv6请求:客户端IPv6地址
| TCP | 放通fd00:64::/32/客户端IPv6地址基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段fd00:64::/32 | TCP | 放通fd00:64::/32基于健康检查协议和后端服务器端口的流量。 |
UDP监听器 |
客户端请求 | - IPv4请求:私网网段
fd00:64::/32 - IPv6请求:客户端IPv6地址
| UDP | 放通fd00:64::/32/客户端IPv6地址基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段fd00:64::/32 | UDP、ICMPv6 | 放通fd00:64::/32基于健康检查协议和后端服务器端口的流量。 |
监听器类型 | 请求地址 | 放通协议 | 安全组入方向流量放通说明 |
|---|
TCP监听器 |
客户端请求 | - IPv4请求:客户端IPv4地址
- IPv6请求:客户端IPv6地址
| TCP | 放通客户端IPv4地址/IPv6地址基于监听协议和后端服务器端口的流量。 |
健康检查请求 | - IPv4请求:私网网段
100.64.0.0/10 - IPv6请求:私网网段
fd00:64::/32
| TCP | 放通100.64.0.0/10/fd00:64::/32基于健康检查协议和后端服务器端口的流量。 |
UDP监听器 |
客户端请求 | - IPv4请求:客户端IPv4地址
- IPv6请求:客户端IPv6地址
| UDP | 放通客户端IPv4地址/IPv6地址基于监听协议和后端服务器端口的流量。 |
健康检查请求 | - IPv4请求:私网网段
100.64.0.0/10 - IPv6请求:私网网段
fd00:64::/32
| UDP、ICMP、ICMPv6 | 放通100.64.0.0/10/fd00:64::/32基于健康检查协议和后端服务器端口的流量。 |
HTTP/HTTPS监听器 | 客户端请求 | - IPv4请求:私网网段
100.64.0.0/10 - IPv6请求:私网网段
100.64.0.0/10
| TCP | 放通100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
健康检查请求 | - IPv4请求:私网网段
100.64.0.0/10 - IPv6请求:私网网段
100.64.0.0/10
| TCP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
监听器类型 | 请求地址 | 放通协议 | 安全组入方向流量放通说明 |
|---|
TCP/HTTP/HTTPS监听器 |
客户端请求 | - IPv4请求:私网网段
100.64.0.0/10 - IPv6请求:私网网段
100.64.0.0/10
| TCP | 放通100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | TCP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
UDP监听器 |
客户端请求 | - IPv4请求:私网网段
100.64.0.0/10 - IPv6请求:私网网段
100.64.0.0/10
| UDP | 放通100.64.0.0/10基于监听协议和后端服务器端口的流量。 |
| 健康检查请求 | 私网网段100.64.0.0/10 | UDP、ICMP | 放通100.64.0.0/10基于健康检查协议和后端服务器端口的流量。 |
配置示例
下文以双栈CLB实例、后端服务器端口80为例,为您介绍不同类型监听器及后端服务器的安全组放通配置,详细配置步骤可参见 添加安全组规则或调用AuthorizeSecurityGroupIngresss接口。
- TCP监听器:
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | TCP | 80 | 客户端地址 | 接收CLB转发的IPv4客户端请求 |
| 2 | 允许 | TCP | 80 | 100.64.0.0/10 | 接收健康检查请求和CLB转发的IPv6客户端请求 |
- UDP监听器:
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | UDP | 80 | 客户端地址 | 接收CLB转发的IPv4客户端请求 |
| 2 | 允许 | UDP | 80 | 100.64.0.0/10 | 接收健康检查请求、CLB转发的IPv6客户端请求 |
| 3 | 允许 | ICMP | ALL | 100.64.0.0/10 | 接收健康检查请求 |
- HTTP/HTTPS监听器
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | TCP | 80 | 100.64.0.0/10 | 接收健康检查请求、CLB转发的IPv4/IPv6客户端请求 |
- TCP监听器:
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | TCP | 80 | 客户端地址 | 接收CLB转发的IPv6客户端请求 |
| 2 | 允许 | TCP | 80 | fd00:64::/32 | 接收健康检查请求、CLB转发的IPv4客户端请求 |
- UDP监听器
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | UDP | 80 | 客户端地址 | 接收CLB转发的IPv6客户端请求 |
| 2 | 允许 | UDP | 80 | fd00:64::/32 | 接收健康检查请求、CLB转发的IPv4客户端请求 |
| 3 | 允许 | ICMPV6 | ALL | fd00:64::/32 | 接收健康检查请求 |
- TCP监听器:
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | TCP | 80 | 客户端地址 | 接收CLB转发的IPv4/IPv6客户端请求 |
| 2 | 允许 | TCP | 80 | 100.64.0.0/10 | IPv4后端服务器接收健康检查请求 |
| 3 | 允许 | TCP | 80 | fd00:64::/32 | IPv6后端服务器接收健康检查请求 |
- UDP监听器
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | UDP | 80 | 客户端地址 | 接收CLB转发的IPv4/IPv6客户端请求 |
| 2 | 允许 | UDP | 80 | 100.64.0.0/10 | IPv4后端服务器接收健康检查请求 |
| 3 | 允许 | ICMP | ALL | 100.64.0.0/10 | IPv4后端服务器接收健康检查请求 |
| 2 | 允许 | UDP | 80 | fd00:64::/32 | IPv6后端服务器接收健康检查请求 |
| 3 | 允许 | ICMPV6 | ALL | fd00:64::/32 | IPv6后端服务器接收健康检查请求 |
- HTTP/HTTPS监听器
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | TCP | 80 | 100.64.0.0/10 | IPv4后端服务器接收健康检查请求、接收CLB转发的IPv4/IPv6客户端请求 |
- TCP/HTTP/HTTPS监听器:
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | TCP | 80 | 100.64.0.0/10 | 接收健康检查请求、CLB转发的IPv4/IPv6客户端请求 |
- UDP监听器:
序号 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
|---|
| 1 | 允许 | UDP | 80 | 100.64.0.0/10 | 接收健康检查请求、CLB转发的IPv4/IPv6客户端请求 |
| 2 | 允许 | ICMP | ALL | 100.64.0.0/10 | 接收健康检查请求 |