动态与公告

产品动态

产品公告

产品简介

产品概述

产品优势

使用场景

技术原理

产品对比

使用约束

Service Regions and Service Providers

购买指南

计费概述

计费项

CLB 资源包

购买方式

欠费说明

产品属性选择

快速入门

域名化负载均衡快速入门

负载均衡快速入门

IPv6 负载均衡快速入门

CentOS 下部署 Nginx

CentOS 下部署 Java Web

操作指南

负载均衡实例

负载均衡监听器

后端服务器

健康检查

证书管理

日志管理

监控告警

访问管理

传统型负载均衡

实践教程

部署证书到负载均衡（双向认证）

负载均衡开启 Gzip 配置及检测方法说明

HTTPS 转发配置入门指南

如何获取客户端真实 IP

负载均衡配置监控告警最佳实践

产品高可用说明

均衡算法选择与权重配置示例

配置 WAF 对负载均衡的监听域名进行 Web 安全防护

配置 IAP 对负载均衡的域名和路径的web访问进行身份验证

配置 IAP 对负载均衡的域名和路径的程序化访问进行身份验证

运维指南

客户端 timewait 过多解决方案

负载均衡HTTPS服务性能测试

压力测试常见问题

CLB 证书操作权限问题

故障处理

UDP 健康检查出现异常

API 文档

History

Introduction

API Category

Instance APIs

Listener APIs

Backend Service APIs

Target Group APIs

Redirection APIs

Other APIs

Classic CLB APIs

Load Balancing APIs

Making API Requests

Data Types

Error Codes

CLB API 2017

常见问题

计费相关

负载均衡配置相关

健康检查异常排查

HTTPS 相关

WS/WSS 协议支持相关

HTTP/2 协议支持相关

默认域名阻断提示

服务等级协议

联系我们

词汇表

后端云服务器的安全组配置

PDF

聚焦模式

字号

最后更新时间： 2024-10-10 17:37:19

CVM 安全组简介
负载均衡的后端云服务器实例可以通过 安全组 进行访问控制，起到防火墙的作用。
您可以将一个或多个安全组与后端云服务器关联，并对每个安全组添加一条或多条规则控制不同服务器的流量访问权限。您可以随时修改某个安全组的规则，新规则会自动应用于与该安全组关联的所有实例。有关更多信息，请参阅 安全组操作指南。在 私有网络 环境中，您还可以使用 网络 ACL 进行访问控制。
CVM 安全组配置说明
在 CVM 的安全组上，需放通 Client IP 和服务端口。
若您使用 CLB 转发业务流量到 CVM 上，为保障健康检查功能，在 CVM 的安全组上需做如下配置：
1. 公网负载均衡：您需要在后端 CVM 的安全组上放通 CLB 的 VIP，CLB 使用 VIP 来探测后端 CVM 的健康状态。
2. 内网负载均衡：
对于内网负载均衡（原“应用型内网负载均衡”），如果您的 CLB 属于 VPC 网络，您需要在后端 CVM 的安全组上放通 CLB 的 VIP（用作健康检查）；如果您的 CLB 属于基础网络，无需在后端 CVM 的安全组上配置，默认放通健康检查 IP。
对于传统型内网负载均衡，如果实例创建于2016年12月5日前且网络类型为 VPC 网络，则需要在后端 CVM 的安全组上放通 CLB 的 VIP（用作健康检查）；其他类型的传统型内网 CLB 无需在后端 CVM 的安全组上配置，默认放通健康检查 IP。
CVM 安全组配置示例
如下示例为通过 CLB 访问 CVM 时，CVM 安全组的配置示例。若您在 CLB 上也配置了安全组，请参照 配置负载均衡安全组
 来配置 CLB 上的安全组规则。
应用场景 1：
公网负载均衡，监听器配置为 TCP:80 监听器，后端服务端口为8080，希望只允许 Client IP（ClientA IP 和 ClientB IP）访问负载均衡，则后端服务器安全组入站规则配置如下：
ClientA IP + 8080 allow
ClientB IP + 8080 allow
CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
应用场景 2：
公网负载均衡，监听器配置为 HTTP:80 监听器，后端服务端口为8080，希望开放所有 Client IP 的正常访问，则后端服务器安全组入站规则配置如下：
0.0.0.0/0 + 8080 allow
应用场景 3：
内网负载均衡（原“应用型内网负载均衡”），网络类型为 VPC 网络，在 CVM 的安全组上需放通 CLB 的 VIP 来做健康检查。为该 CLB 配置 TCP:80 监听器，后端服务端口为8080，希望只允许 Client IP（ClientA IP 和ClientB IP）访问负载均衡的 VIP，并且希望限制 Client IP 只能访问该 CLB 下绑定的后端主机。
a.  后端服务器安全组入站规则配置如下：
ClientA IP + 8080 allow
ClientB IP + 8080 allow
CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
b.  用作 Client 的服务器安全组出站规则配置如下
CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
应用场景 4：
在2016年12月5日之后，新购的 VPC 网络类型的传统型内网负载均衡，CVM 安全组仅需放通 Client IP（无需放通 CLB 的 VIP，默认放通健康检查 IP）。为该 CLB 配置 TCP:80 监听器，后端服务端口为8080，希望只允许 Client IP（ClientA IP 和ClientB IP）访问负载均衡的 VIP，并且希望限制 Client IP 只能访问该 CLB 下绑定的后端主机。
a. 后端服务器安全组入站规则配置如下：
ClientA IP + 8080 allow
ClientB IP + 8080 allow
0.0.0.0/0  + 8080 drop
b. 用作 Client 的服务器安全组出站规则配置如下：
CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
应用场景 5：黑名单
如用户需要给某些 Client IP 设置黑名单，拒绝其访问，可以通过配置云服务关联的安全组实现。安全组的规则需要按照如下步骤进行配置：
将需要拒绝访问的 Client IP + 端口添加至安全组中，并在策略栏中选取拒绝该 IP 的访问。
设置完毕后，再添加一条安全组规则，默认开放该端口全部 IP 的访问。
配置完成后，安全组规则如下：
clientA IP + port drop
clientB IP + port drop
0.0.0.0/0  + port accept
注意：
上述配置步骤有顺序要求，顺序相反会导致黑名单配置失效。
安全组是有状态的，因此上述配置均为入站规则的配置，出站规则无需特殊配置。
CVM 安全组操作指引
使用控制台管理后端服务器安全组
1. 登录 负载均衡控制台，单击相应的负载均衡实例 ID 进入负载均衡详情页。
2. 在 CLB 绑定的云服务器页面中，单击相应的后端服务器 ID 进入云服务器详情页。
3. 单击安全组选项卡，即可绑定/解绑安全组。
使用云 API 管理后端服务器安全组
请参考 绑定安全组接口 和 解绑安全组接口。

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

负载均衡

后端云服务器的安全组配置

CVM 安全组简介

CVM 安全组配置说明

CVM 安全组配置示例

CVM 安全组操作指引

使用控制台管理后端服务器安全组

使用云 API 管理后端服务器安全组

帮助和支持