网络隔离是负载均衡系统中的一种重要安全措施,它可以将不同的网络流量隔离开来,从而提高系统的安全性和可靠性。负载均衡的基础设施主要包括网络隔离和控制网络流量。
网络隔离
VPC是阿里云自己的逻辑隔离区域中的云上虚拟网络。子网是VPC中的IP地址范围。当您创建负载均衡时,可以为负载均衡器实例指定一个或多个子网。您可以在您的VPC的子网中创建ECS实例,并将这些实例添加至负载均衡实例的后端服务器组中。更多信息,请参见什么是专有网络。
ALB和NLB实例的网络类型:
私网:每个可用区提供一个私网IP,只能通过阿里云内部网络访问ALB或NLB,无法从互联网访问。
公网:每个可用区提供一个公网IP和一个私网IP。公网ALB或NLB通过弹性公网IP(Elastic IP Address,简称EIP)提供公网能力,选择公网将会收取弹性公网IP的实例费、带宽或流量费用。
CLB实例的网络类型:
私网:私网实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从互联网访问。
公网:公网实例仅提供公网IP,可以通过互联网访问负载均衡服务。
负载均衡实例与后端ECS通过私网进行通信。如果后端ECS仅接收负载均衡实例的请求,则无需使用公网的IP地址,即后端ECS实例无需绑定EIP。
控制网络流量
当您使用负载均衡时,三个子产品可分别使用以下方式来保护网络流量的安全性。
应用型负载均衡ALB
控制网络流量方式 | 说明 | 文档链接 |
SSL证书加密传输 | 使用SSL证书对传输数据进行加密,防止数据在传输过程中被截获或篡改。 |
|
开启WAF防护 | 开启WAF(Web应用防火墙)功能,对网络流量进行实时监控和过滤,防止恶意攻击。 | 开通和管理ALB WAF增强版 |
开启访问控制ACL | 开启黑白名单,限制非法访问和恶意流量的入口。 | ALB访问控制 |
使用DDoS防护 | 使用DDoS防护服务,对大规模攻击进行实时防护。支持DDoS原生防护与DDoS高防。 |
|
设置TLS安全策略 | 使用安全策略,可提高您的业务安全性。 配置HTTPS监听时,支持使用TLS安全策略。TLS安全策略包含自定义策略和系统默认策略。 | ALB TLS安全策略 |
网络型负载均衡NLB
控制网络流量方式 | 说明 | 文档链接 |
SSL证书加密传输 | 使用SSL证书对传输数据进行加密,防止数据在传输过程中被截获或篡改。 |
|
使用DDoS防护 | 使用DDoS防护服务,对大规模攻击进行实时防护。支持DDoS原生防护与DDoS高防。 |
|
加入安全组 | 通过设置相应的安全组规则,实现对入流量的访问控制。 |
|
设置TLS安全策略 | 使用安全策略,可以提高您的业务安全性。 配置TCPSSL监听时,支持使用TLS安全策略。TLS安全策略包含自定义策略和系统默认策略。 | NLB TLS安全策略 |
传统型负载均衡CLB
控制网络流量方式 | 说明 | 文档链接 |
SSL证书加密传输 | 使用SSL证书对传输数据进行加密,防止数据在传输过程中被截获或篡改。 |
|
开启WAF防护 | 开启WAF(Web应用防火墙)功能,对网络流量进行实时监控和过滤,防止恶意攻击。 | CLB开启WAF防护的使用说明? |
开启访问控制ACL | 开启黑白名单,限制非法访问和恶意流量的入口。 | CLB访问控制 |
使用DDoS防护 | 使用DDoS防护服务,对大规模攻击进行实时防护。支持DDoS原生防护。 | CLB DDoS原生防护(基础版) |
设置TLS安全策略 | 使用安全策略,可以提高您的业务安全性。 配置HTTPS监听时,支持使用TLS安全策略。TLS安全策略包含自定义策略和系统默认策略 | CLB TLS安全策略 |