筆者曾經遇過一位客戶,該公司有要辦活動,但只開放台灣IP的連線,又不想花額外的費用,這時可以透過SLB即透過訪問控制中白名單的方式,限制只有台灣IP能夠連線來協助客戶完成需求。阿里雲負載平衡主要分為兩種,分別是應用型負載均衡(Application Load Balancer;ALB)與傳統型負載均衡(Classic Load Balancer;CLB),兩種都有各自不同的應用場景,且都具有開啟即有HA架構的特性。
![筆者曾經遇過一位客戶,該公司有要辦活動,但只開放台灣IP的連線,又不想花額外的費用,這時可以透過SLB即透過訪問控制中白名單的方式,限制只有台灣IP能夠連線來協助客戶完成需求。阿里雲負載平衡主要分為兩種,分別是應用型負載均衡(Application Load Balancer;ALB)與傳統型負載均衡(Classic Load Balancer;CLB)](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%961.png)
在阿里雲上的負載均衡(Server Load Balancer;SLB)的訪問控制同時支援黑名單與白名單,如果開啟的是白名單那就僅有添加進白名單的IP才可以訪問到後端的服務,反之如果開啟的是黑名單那添加進去的IP就無法訪問到後端的服務,這部分是可以根據不同的需求有不同的做法,而開啟訪問控制也是對Server端較為安全的一個做法。
實務操作1
ALB黑名單教學
1.先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%962-1.jpg)
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%963-1.png)
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%964-1.png)
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%965.jpg)
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%966.png)
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%967.png)
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%968.png)
![先選定要在哪個Region部署ALB Instance,進入後購買ALB Instance,還有後端Server Group的設定](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%969.png)
![範例為ALB開啟黑名單情境下,在部署好ALB及後端服務的架構後,接著我們就可以進到SLB的選項後左列,選擇ALB訪問控制後,創建一個新的訪問控制策略組,就可選擇要單一新增或大量新增特定IP或是網段,最後也可以針對各別新增的IP/網段去做刪除的動作。](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%9610.png)
![創建完策略組後就可以回到ALB的實例裡面選擇Listener Details,開啟訪問控制後會跳出紅框4的視窗,接著根據個人需求選擇黑/白名單後,再選擇我們上一步所創建的策略組。](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%9611.png)
4.根據上述步驟做完以後,實測在同一台ip上訪問網站發現在開啟訪問控制後是連線不到的
![根據上述步驟做完以後,實測在同一台ip上訪問網站發現在開啟訪問控制後是連線不到的](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%9612.png)
實務操作2
CLB白名單教學
1.確保部署完CLB相關架構及監聽後,開啟SLB畫面並選取左列在CLB的訪問控制,新增一組網段或是特定IP。
![確保部署完CLB相關架構及監聽後,開啟SLB畫面並選取左列在CLB的訪問控制,新增一組網段或是特定IP。](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%9613.png)
2.開啟CLB實例後,選擇監聽並依照下圖開啟訪問控制,並選擇要使用白名單後再選擇上一步設定好的清單。
![開啟CLB實例後,選擇監聽並依照下圖開啟訪問控制,並選擇要使用白名單後再選擇上一步設定好的清單。](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%9614.png)
![根據上述步驟做完以後實測在同一台IP上訪問網站,發現在開啟訪問控制後是連線不到的](https://media.microfusion.cloud/wp-content/uploads/2022/09/%E5%9C%9615.jpg)
結語
在今天的文章實作中,雖然只做了一個簡單的動作,但卻非常重要,因為如果不開啟訪問控制的話相當於把自己的服務暴露在危險之中,任何人都可以連線,甚至攻擊你,但開啟後因為只有特定區域才可以連線,大大地降低了危險性,因此筆者建議做網站建置時,千萬不要省略這一個步驟。
*本文由宏庭架構師所撰寫,同步刊登於iThome 鐵人賽專區
.>更多阿里雲相關內容,再且密切追蹤阿里雲架構師專欄