限制本地数据中心与云上的互通

本文为您介绍如何通过网络ACL功能限制本地数据中心与云上的互通关系。

背景信息

某公司在云上创建了公网负载均衡实例和ECS实例，ECS实例部署了静态网页，负载均衡实例配置了监听并添加ECS实例作为后端服务器。默认情况下，本地数据中心1和本地数据中心2均可以通过负载均衡实例的公网IP地址访问静态网页。因公司业务需要，要求只允许本地数据中心1访问静态网页，禁止本地数据中心2访问静态网页。

各网络的公网IP地址如下表：

网络	公网IP地址
本地数据中心1	111.xx.xx.111
本地数据中心2	222.xx.xx.222
负载均衡实例	33.xx.xx.33

如上图，您可以将网络ACL与ECS实例所属的交换机绑定，然后通过配置网络ACL规则实现对交换机中ECS的流量的访问控制。

配置流程图如下：

步骤一：创建网络ACL

完成以下操作，创建网络ACL。

1. 登录专有网络管理控制台。
2. 在左侧导航栏，单击网络ACL。
3. 在顶部状态栏处，选择网络ACL的地域。
   说明 目前，仅华北1（青岛）、华北2（北京）、华北5（呼和浩特）、西南1（成都）、华东1（杭州）、华东2（上海）、华南1（深圳）、华南2（河源）、中国香港、英国（伦敦）、美国（硅谷）、新加坡、德国（法兰克福）、印度（孟买）地域支持网络ACL功能。
4. 在网络ACL页面，单击创建网络ACL。
5. 在创建网络ACL对话框中，根据以下信息配置网络ACL，然后单击确定。
   • 专有网络：选择网络ACL所属的专有网络。
   • 名称：输入网络ACL的名称。
   • 描述：输入网络ACL的描述。

步骤二：绑定交换机

完成以下操作，将交换机绑定到网络ACL。

1. 登录专有网络管理控制台。
2. 在左侧导航栏，单击网络ACL。
3. 在顶部状态栏处，选择网络ACL的地域。
4. 在网络ACL页面，找到目标网络ACL，单击操作列下的管理。
5. 在已绑定资源页签下，单击关联资源。
6. 在关联资源对话框，选择交换机，然后单击确定。

步骤三：添加网络ACL规则

完成以下操作，为网络ACL添加入方向规则和出方向规则。

1. 登录专有网络管理控制台。
2. 在左侧导航栏，单击网络ACL。
3. 在顶部状态栏处，选择网络ACL的地域。
4. 在网络ACL页面，找到目标网络ACL，单击操作列下的设置入方向规则。
5. 在设置入方向规则页签下，单击创建入方向规则。
6. 在创建入方向规则对话框，根据以下信息配置入方向规则，然后单击确定。

   名称	生效顺序	策略	协议类型	源地址	目的端口范围
   允许来自本地数据中心1的HTTP请求	1	允许	TCP	本地数据中心1的公网IP地址，本示例输入111.xx.xx.111。	80/80
   拒绝来自本地数据中心2的HTTP请求	3	拒绝	TCP	本地数据中心2的公网IP地址，本示例输入222.xx.xx.222。	80/80

   如果负载均衡实例开启了健康检查功能，您还需添加以下入方向规则。

   名称	生效顺序	策略	协议类型	源地址	目的端口范围
   允许健康检查	2	允许	all	负载均衡健康检查使用的地址段，为固定地址段100.64.0.0/10。	-1/-1

7. 单击出方向规则页签，然后单击创建出方向规则。
8. 在创建出方向规则对话框，根据以下信息配置出方向规则，然后单击确定。

   名称	生效顺序	策略	协议类型	目的地址	目的端口范围
   允许去往本地数据中心1的HTTP流量	1	允许	TCP	本地数据中心1的公网IP地址，本示例输入111.xx.xx.111。	80/80
   拒绝去往本地数据中心2的HTTP流量	3	拒绝	TCP	本地数据中心2的公网IP地址，本示例输入222.xx.xx.222。	80/80

   如果负载均衡实例开启了健康检查功能，您还需添加以下出方向规则。

   名称	生效顺序	策略	协议类型	目的地址	目的端口范围
   允许健康检查	2	允许	all	负载均衡健康检查使用的地址段，为固定地址段100.64.0.0/10。	-1/-1

步骤四：测试连通性

完成以下操作，测试本地数据中心1、本地数据中心2与负载均衡实例间的连通性。

1. 在本地数据中心1下，打开PC端的浏览器。
2. 在浏览器中输入http://33.xx.xx.33，验证通信是否正常。
   经验证，本地数据中心1下的PC可以访问ECS实例的静态网页。
3. 在本地数据中心2下，打开PC端的浏览器。
4. 在浏览器中输入http://33.xx.xx.33，验证通信是否正常。
   经验证，本地数据中心2下的PC不可以访问ECS实例的静态网页。