后端云服务器安全组配置说明

最近更新时间: 2024-10-17 17:10:00

CVM 安全组简介

负载均衡的后端云服务器实例可以通过 安全组 进行访问控制,起到防火墙的作用。 您可以将一个或多个安全组与后端云服务器关联,并对每个安全组添加一条或多条规则控制不同服务器的流量访问权限。您可以随时修改某个安全组的规则,新规则会自动应用于与该安全组关联的所有实例。在 私有网络 环境中,您还可以使用 网络ACL 进行访问控制。

CVM 安全组配置说明

在 CVM 的安全组上,需放通 Client IP 和服务端口。 若您使用 CLB 转发业务流量到 CVM 上,为保障健康检查功能,在 CVM 的安全组上需做如下配置:

  1. 公网负载均衡:您需要在后端 CVM 的安全组上放通 CLB 的 VIP,CLB 使用 VIP 来探测后端 CVM 的健康状态。

  2. 内网负载均衡:CLB 属于 VPC 网络,您需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查)。

CVM 安全组配置示例

如下示例为通过 CLB 访问 CVM 时,CVM 安全组的配置示例。

  • 应用场景 1: 公网负载均衡,监听器配置为 TCP:80 监听器,后端服务端口为8080,希望只允许 Client IP(ClientA IP 和 ClientB IP)访问负载均衡,则后端服务器安全组入站规则配置如下:

     ClientA IP + 8080 allow
     ClientB IP + 8080 allow
     CLB VIP    + 8080 allow
     0.0.0.0/0  + 8080 drop
  • 应用场景 2: 公网负载均衡,监听器配置为 HTTP:80 监听器,后端服务端口为8080,希望开放所有 Client IP 的正常访问,则后端服务器安全组入站规则配置如下:

     0.0.0.0/0 + 8080 allow
  • 应用场景 3: 应用型内网负载均衡,网络类型为 VPC 网络,在 CVM 的安全组上需放通 CLB 的 VIP 来做健康检查。为该 CLB 配置 TCP:80 监听器,后端服务端口为8080,希望只允许 Client IP(ClientA IP 和ClientB IP)访问负载均衡的 VIP,并且希望限制 Client IP 只能访问该 CLB 下绑定的后端主机。

    1. 后端服务器安全组入站规则配置如下:

      ClientA IP + 8080 allow
      ClientB IP + 8080 allow
      CLB VIP    + 8080 allow
      0.0.0.0/0  + 8080 drop
    2. 用作 Client 的服务器安全组出站规则配置如下:

      CLB VIP    + 8080 allow
      0.0.0.0/0  + 8080 drop
  • 应用场景 4:黑名单 如用户需要给某些 Client IP 设置黑名单,拒绝其访问,可以通过配置云服务关联的安全组实现。安全组的规则需要按照如下步骤进行配置:

    2.1. 将需要拒绝访问的 Client IP + 端口添加至安全组中,并在策略栏中选取拒绝该 IP 的访问。

    2.2. 设置完毕后,再添加一条安全组规则,默认开放该端口全部 IP 的访问。 配置完成后,安全组规则如下:

     clientA IP + port drop
     clientB IP + port drop
     0.0.0.0/0  + port accept

    注意:

    • 上述配置步骤有顺序要求,顺序相反会导致黑名单配置失效。
  • 安全组是有状态的,因此上述配置均为入站规则的配置,出站规则无需特殊配置。

CVM 安全组操作指引

使用控制台管理后端服务器安全组

  1. 登录负载均衡控制台,单击相应的负载均衡实例 ID 进入负载均衡详情页。

  2. 在 CLB 绑定的云服务器页面中,单击相应的后端服务器 ID 进入云服务器详情页。

  3. 单击安全组选项卡,即可绑定/解绑安全组。