后端服务器配置安全组（共享型）_弹性负载均衡 ELB_用户指南_后

操作场景

由于ELB流量转到后端服务器以后，源IP会被转换为100.125.0.0/16的IP，所以添加后端服务器之前首先要检查后端服务器所在安全组规则是否配置放行100.125.0.0/16网段，并配置ELB用于健康检查的协议和端口，如果健康检查使用UDP协议，则还需要配置安全组规则放行ICMP协议，否则无法对已添加的后端服务器执行健康检查。

首次创建后端服务器时，如果用户未配置过VPC，系统将会创建默认VPC。由于默认VPC的安全组策略为组内互通、禁止外部访问，即外部网络无法访问后端服务器，为了确保负载均衡器可同时在监听器端口和健康检查端口上与已创建后端服务器的进行通信，就需要配置安全组入方向的访问规则。

配置安全组规则

1. 登录管理控制台。
2. 在管理控制台左上角单击图标，选择区域和项目。
3. 选择“计算 > 弹性云服务器”。
4. 在弹性云服务器列表，单击待变更安全组规则的弹性云服务器名称。

   系统跳转至该弹性云服务器详情页面。

5. 选择“安全组”页签，单击安全组名称，查看安全组规则。
6. 单击“ID”或者“更改安全组规则”，系统自动跳转至安全组界面。
7. 在入方向规则页签，单击“添加规则”，配置安全组入方向的访问规则。

   如果是TCP，HTTP或者HTTPS监听器：

   • 若配置了不同于后端服务器端口的健康检查端口，放通TCP协议，端口和ELB健康检查端口一致。
   • 若采用默认的健康检查方式，放通TCP协议，端口和后端服务器端口一致。
   • 安全组规则必须放通100.125.0.0/16网段，否则会导致健康检查异常。

   如果UDP监听器：

   • 若配置了不同于后端服务器端口的健康检查端口，放通UDP协议，端口和ELB健康检查端口一致。
   • 若采用默认的健康检查方式，放通UDP协议，端口和后端服务器端口一致。
   • 安全组规则必须放通100.125.0.0/16网段，否则会导致健康检查异常。
   • 放通ICMP协议。

   如果是经典型内网ELB：

   • 若配置了不同于后端服务器端口的健康检查端口，放通TCP协议，端口和ELB健康检查端口一致。
   • 若采用默认的健康检查方式，放通TCP协议，端口和后端服务器端口一致。
   • 安全组规则不需要放通100.125.0.0/16网段，但是需要放通本VPC网段。
8. 单击“确定”，完成安全组规则配置。

配置网络ACL规则

网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。但是网络ACL默认规则会拒绝所有入站和出站流量，如果此网络ACL和负载均衡所属同一个子网，或者此网络ACL和负载均衡相关联的后端服务器所属同一个子网那么负载均衡的业务也会受到影响，收不到来自于公网或者私网的任何请求流量，或者会导致后端服务器异常。

您可以通过配置网络ACL入方向规则，放行100.125.0.0/16网段。

由于ELB会将访问后端服务器的公网IP转换为内部的100.125.0.0/16网段的IP地址，所以无法通过配置网络ACL规则来限制公网IP访问后端服务器。

负载均衡器的IP地址不受所在VPC子网ACL配置的限制，所以能够被客户端直接访问。建议您使用监听器的访问控制功能限制客户端访问负载均衡器。

详细请参考访问控制策略。

1. 登录管理控制台。
2. 在管理控制台左上角单击图标，选择区域和项目。
3. 在系统首页，选择“网络 > 虚拟私有云”。
4. 在左侧导航栏选择“访问控制 > 网络ACL”。
5. 在“网络ACL”列表区域，选择网络ACL的名称列，单击您需要修改的“网络ACL名称”进入网络ACL详情页面。
6. 在入方向规则或出方向规则页签，单击“添加规则”，添加入方向或出方向规则。
   • 策略：选择允许。
   • 协议：和监听器协议一致。
   • 源地址：此方向允许的源地址，填写100.125.0.0/16。
   • 源端口范围：选择业务所在端口范围。
   • 目的地址：此方向允许的目的地址。选择默认值为0.0.0.0/0，代表支持所有的IP地址。
   • 目的端口范围：选择业务所在端口范围。
   • 描述：网络ACL规则的描述信息，非必填项。
7. 单击“确定”。