本文为您介绍如何通过网络ACL功能限制本地数据中心与云上的互通关系。
场景示例
某公司在云上创建了公网负载均衡实例和ECS实例,ECS实例部署了静态网页,负载均衡实例配置了监听并添加ECS实例作为后端服务器。默认情况下,本地数据中心1和本地数据中心2均可以通过负载均衡实例的公网IP地址访问静态网页。因公司业务需要,要求只允许本地数据中心1访问静态网页,禁止本地数据中心2访问静态网页。
各网络的公网IP地址如下表所示:
网络 | 公网IP地址 |
本地数据中心1 | 111.XX.XX.111 |
本地数据中心2 | 222.XX.XX.222 |
负载均衡实例 | 33.XX.XX.33 |
如上图,您可以将网络ACL与ECS实例所属的交换机绑定,然后通过配置网络ACL规则实现对交换机中ECS流量的访问控制。
前提条件
您已经创建了专有网络和交换机。具体操作,请参见创建和管理专有网络和创建和管理交换机。
您已经在交换机中创建了ECS实例。具体操作,请参见自定义购买实例。
ECS实例加入的安全组允许互联网访问ECS实例的HTTP服务。更多信息,请参见网站提供Web服务。
步骤一:创建网络ACL
- 登录专有网络管理控制台。
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择网络ACL的地域。
在网络ACL页面,单击创建网络ACL。
在创建网络ACL对话框中,根据以下信息配置网络ACL,然后单击确定。
所属专有网络:选择网络ACL所属的专有网络。
名称:输入网络ACL的名称。
描述:输入网络ACL的描述。
步骤二:绑定交换机
- 在网络ACL页面,找到目标网络ACL,单击网络ACL的ID。
在已绑定资源页签下,单击关联交换机。
在关联交换机对话框,选择交换机,然后单击确定关联。
步骤三:添加网络ACL规则
为网络ACL添加入方向规则和出方向规则。
在网络ACL页面,找到目标网络ACL,然后在操作列单击设置入方向规则。
在入方向规则页签下,单击管理入方向规则。
根据以下信息配置入方向规则,然后单击确定。
优先级
规则名称
策略
协议类型
源地址
端口范围
1
允许来自本地数据中心1的HTTP请求
允许
TCP
本地数据中心1的公网IP地址,本文输入111.XX.XX.111。
80/80
3
拒绝来自本地数据中心2的HTTP请求
拒绝
TCP
本地数据中心2的公网IP地址,本文输入222.XX.XX.222。
80/80
如果负载均衡实例开启了健康检查功能,您还需添加以下入方向规则。
优先级
规则名称
策略
协议类型
源地址
端口范围
2
允许健康检查
允许
ALL
负载均衡健康检查使用的地址段,为固定地址段,输入100.64.0.0/10。
-1/-1
单击出方向规则页签,然后单击管理出方向规则。
根据以下信息配置出方向规则,然后单击确定。
优先级
规则名称
策略
协议类型
目的地址
端口范围
1
允许去往本地数据中心1的HTTP流量
允许
TCP
本地数据中心1的公网IP地址,本文输入111.XX.XX.111。
1/65535
3
拒绝去往本地数据中心2的HTTP流量
拒绝
TCP
本地数据中心2的公网IP地址,本文输入222.XX.XX.222。
1/65535
如果负载均衡实例开启了健康检查功能,您还需添加以下出方向规则。
优先级
规则名称
策略
协议类型
目的地址
端口范围
2
允许健康检查
允许
ALL
负载均衡健康检查使用的地址段,为固定地址段,输入100.64.0.0/10。
-1/-1
步骤四:测试连通性
测试本地数据中心1、本地数据中心2与负载均衡实例间的连通性。
在本地数据中心1下,打开PC端的浏览器。
在浏览器中输入
http://33.XX.XX.33,验证通信是否正常。经验证,本地数据中心1下的PC可以访问ECS实例的静态网页。
在本地数据中心2下,打开PC端的浏览器。
在浏览器中输入
http://33.XX.XX.33,验证通信是否正常。经验证,本地数据中心2下的PC不可以访问ECS实例的静态网页。
