阿里云配置ECS只允许从SLB访问

分类:Linux 评论: 0

需求

因 ECS 使用 SLB 进行公网转发及负载,因此无需用户通过 ECS 外网地址进行访问,因此配置安全组规则进行拦截用户直接访问 ECS 地址。

解决

查阅阿里云官方文档找到其工作原理(不得不说阿里云的官方文档质量很差),全部流量经过 SLB 后通过内网转发至 ECS 。

问:为什么有100开头的IP在频繁访问ECS实例?

负载均衡系统除了会通过系统服务器的内网IP将来自外部的访问请求转到后端ECS实例之外,还会对ECS实例进行健康检查和可用性监控,这些访问的来源都是由负载均衡系统发起的。

负载均衡系统的地址段为100.64.0.0/10(100.64.0.0/10 是阿里云保留地址,其他用户无法分配到该网段内,不会存在安全风险),所以会有很多100开头的IP地址访问ECS实例。

为了确保您对外服务的可用性,确保对上述地址的访问配置了放行规则。

附上安全组配置

注意:需要优先允许 SLB 访问 ECS (优先级1),然后创建通用规则(优先级2),拒绝其他连接。

附录

参考链接

回复