服务器使用负载均衡对外服务,因此可以将直接访问服务器的请求禁用,提高业务安全性。
需求
因 ECS 使用 SLB 进行公网转发及负载,因此无需用户通过 ECS 外网地址进行访问,因此配置安全组规则进行拦截用户直接访问 ECS 地址。
解决
查阅阿里云官方文档找到其工作原理(不得不说阿里云的官方文档质量很差),全部流量经过 SLB 后通过内网转发至 ECS 。
问:为什么有100开头的IP在频繁访问ECS实例?
负载均衡系统除了会通过系统服务器的内网IP将来自外部的访问请求转到后端ECS实例之外,还会对ECS实例进行健康检查和可用性监控,这些访问的来源都是由负载均衡系统发起的。
负载均衡系统的地址段为100.64.0.0/10(100.64.0.0/10 是阿里云保留地址,其他用户无法分配到该网段内,不会存在安全风险),所以会有很多100开头的IP地址访问ECS实例。
为了确保您对外服务的可用性,确保对上述地址的访问配置了放行规则。
附上安全组配置
注意:需要优先允许 SLB 访问 ECS (优先级1),然后创建通用规则(优先级2),拒绝其他连接。
附录
参考链接
本文由 柒 创作,采用 知识共享署名4.0
国际许可协议进行许可。
转载本站文章前请注明出处,文章作者保留所有权限。
最后编辑时间: 2023-12-07 17:20 PM
这个确实是一个安全策略,学习了。
确实可以提升有限的安全性(一丝丝),但是也算是对后端 NODE 有所保护效果。