本文为您介绍如何通过网络ACL功能限制本地数据中心与云上的互通关系。

前提条件

开始操作前,请确保满足以下条件:
  • 已经注册了阿里云账号。如还未注册,请先完成账号注册。详细信息,请参见账号注册
  • 目前,各地域对网络ACL功能的支持情况不同,具体如下:
    • 默认支持网络ACL功能的地域:华北5(呼和浩特)、西南1(成都)、印度尼西亚(雅加达)、英国(伦敦)、印度(孟买)、华南2(河源)。
    • 白名单支持网络ACL功能的地域:华北1(青岛)、华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)、美国(硅谷)、新加坡、德国(法兰克福)。如需使用,请提交申请

    除以上地域外,其他地域不支持网络ACL功能。

  • 已经创建了专有网络和交换机。详细信息,请参见创建专有网络
  • 已经在交换机中创建了ECS实例。详细信息,请参见使用向导创建实例
  • ECS实例加入的安全组允许互联网访问ECS实例的HTTP服务。详细信息,请参见安全组应用案例ECS安全组配置操作指南中的案例八。

背景信息

某公司在云上创建了公网负载均衡实例和ECS实例,ECS实例部署了静态网页,负载均衡实例配置了监听并添加ECS实例作为后端服务器。默认情况下,本地数据中心1和本地数据中心2均可以通过负载均衡实例的公网IP地址访问静态网页。因公司业务需要,要求只允许本地数据中心1访问静态网页,禁止本地数据中心2访问静态网页。

各网络的公网IP地址如下表:
网络 公网IP地址
本地数据中心1 111.xx.xx.111
本地数据中心2 222.xx.xx.222
负载均衡实例 33.xx.xx.33

如上图,您可以将网络ACL与ECS实例所属的交换机绑定,然后通过配置网络ACL规则实现对交换机中ECS的流量的访问控制。

配置流程图如下:

步骤一:创建网络ACL

完成以下操作,创建网络ACL。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,单击创建网络ACL
  5. 创建网络ACL对话框中,根据以下信息配置网络ACL,然后单击确定
    • 专有网络:选择网络ACL所属的专有网络。
    • 名称:输入网络ACL的名称。

      名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短横线(-)。

    • 描述:输入网络ACL的描述。

      描述长度为2~256个字符,不能以http://https://开头。

步骤二:绑定交换机

完成以下操作,将交换机绑定到网络ACL。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击操作列下的管理
  5. 已绑定资源页签下,单击关联资源
  6. 关联资源对话框,选择交换机,然后单击确定

步骤三:添加网络ACL规则

完成以下操作,为网络ACL添加入方向规则和出方向规则。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击网络ACL
  3. 在顶部菜单栏处,选择网络ACL的地域。
  4. 网络ACL页面,找到目标网络ACL,单击操作列下的设置入方向规则
  5. 设置入方向规则页签下,单击创建入方向规则
  6. 创建入方向规则对话框,根据以下信息配置入方向规则,然后单击确定
    名称 生效顺序 策略 协议类型 源地址 目的端口范围
    允许来自本地数据中心1的HTTP请求 1 允许 TCP 本地数据中心1的公网IP地址,本示例输入111.xx.xx.111。 80/80
    拒绝来自本地数据中心2的HTTP请求 3 拒绝 TCP 本地数据中心2的公网IP地址,本示例输入222.xx.xx.222。 80/80
    如果负载均衡实例开启了健康检查功能,您还需添加以下入方向规则。
    名称 生效顺序 策略 协议类型 源地址 目的端口范围
    允许健康检查 2 允许 all 负载均衡健康检查使用的地址段,为固定地址段100.64.0.0/10。 -1/-1
  7. 单击出方向规则页签,然后单击创建出方向规则
  8. 创建出方向规则对话框,根据以下信息配置出方向规则,然后单击确定
    名称 生效顺序 策略 协议类型 目标地址 目的端口范围
    允许去往本地数据中心1的HTTP流量 1 允许 TCP 本地数据中心1的公网IP地址,本示例输入111.xx.xx.111。 80/80
    拒绝去往本地数据中心2的HTTP流量 3 拒绝 TCP 本地数据中心2的公网IP地址,本示例输入222.xx.xx.222。 80/80
    如果负载均衡实例开启了健康检查功能,您还需添加以下出方向规则。
    名称 生效顺序 策略 协议类型 目标地址 目的端口范围
    允许健康检查 2 允许 all 负载均衡健康检查使用的地址段,为固定地址段100.64.0.0/10。 -1/-1

步骤四:测试连通性

完成以下操作,测试本地数据中心1、本地数据中心2与负载均衡实例间的连通性。

  1. 在本地数据中心1下,打开PC端的浏览器。
  2. 在浏览器中输入http://33.xx.xx.33,验证通信是否正常。
    经验证,本地数据中心1下的PC可以访问ECS实例的静态网页。
  3. 在本地数据中心2下,打开PC端的浏览器。
  4. 在浏览器中输入http://33.xx.xx.33,验证通信是否正常。
    经验证,本地数据中心2下的PC不可以访问ECS实例的静态网页。