操作場景

為了確保負載均衡器與后端服務器之間的正常通信和健康檢查，添加后端服務器后需要檢查后端服務器所屬的安全組規則和網絡ACL規則。當流量從彈性負載均衡器轉發到后端服務器時，源IP將被替換為100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）網段的IP地址。

后端服務器的安全組規則應配置為允許100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）網段的流量通過。

網絡ACL規則是子網級別的可選安全層，如果彈性負載均衡器的后端子網關聯了網絡ACL，則網絡ACL規則應配置為允許源地址為彈性負載均衡器的后端子網所屬網段的流量通過。

約束與限制

在啟用健康檢查的情況下，后端云主機組的安全組規則需要配置允許彈性負載均衡器進行健康檢查所需的協議和端口。如果健康檢查使用UDP協議，還需要配置安全組規則以允許ICMP協議通過，否則將無法對已添加的后端云主機執行健康檢查。

配置安全組規則

對于首次創建后端服務器時未配置過VPC的情況，系統會自動創建默認VPC。然而，默認VPC的安全組策略是禁止外部訪問的，即外部網絡無法直接訪問后端服務器。為了確保負載均衡器能夠在監聽器端口和健康檢查端口上與已創建的后端服務器進行通信，您需要配置安全組入方向的訪問規則。

操作步驟

1. 點擊天翼云門戶首頁的“控制中心”，輸入登錄的用戶名和密碼，進入控制中心頁面。
2. 在管理控制臺頂端單擊圖標，選擇區域，本文選擇華東-華東1。
3. 在系統首頁，選擇““網絡>彈性負載均衡>負載均衡器”。
4. 點擊指定的彈性負載均衡器名稱，進入負載均衡器詳情頁面，點擊后端主機組頁簽查看已添加的彈性云主機。

5. 點擊待變更安全組規則的彈性云主機名稱。
6. 在跳轉的彈性云主機詳情頁面，點擊“安全組”頁簽。

7. 點擊安全組名稱，在下拉頁面點擊“添加規則”。

8. 添加規則具體可參考幫助中心>虛擬私有云?>安全組?>添加安全組規則。
9. 根據所在后端主機組的后端協議類型在彈出的頁面配置入方向規則。

10. 點擊“確定”，完成安全組規則配置。

配置網絡ACL規則

網絡ACL是一個子網級別的可選安全層，用于控制進出子網的數據流，通過與子網關聯的入方向/出方向規則進行管理。與安全組類似，網絡ACL可以增加額外的安全防護層。

然而，需要注意的是，網絡ACL的默認規則會拒絕所有的入站和出站流量。如果網絡ACL與負載均衡所在的子網或與負載均衡關聯的后端服務器所在的子網相同，那么負載均衡的業務可能會受到影響，無法接收來自公網或私網的請求流量，導致后端服務器異常。

如果您想要允許來自特定IP網段（例如100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6））的流量通過網絡ACL，您可以配置入方向規則，放行該網段的流量。

需要特別注意的是，由于負載均衡會將公網IP轉換為內部的100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）網段的IP地址，因此無法通過配置網絡ACL規則來限制公網IP訪問后端服務器。所以，即使您修改了網絡ACL，也不會影響負載均衡將公網IP轉換為內部IP的行為。

使用須知

網絡ACL無法直接限制客戶端對負載均衡器的訪問。負載均衡器的IP地址不受后端子網所配置的網絡ACL規則的限制，因此客戶端仍然可以直接訪問負載均衡器。

如果您需要限制客戶端對負載均衡器的訪問，建議使用監聽器的訪問控制功能，具體可參考配置訪問控制。

操作步驟

1. 點擊天翼云門戶首頁的“控制中心”，輸入登錄的用戶名和密碼，進入控制中心頁面。
2. 在管理控制臺頂端單擊圖標，選擇區域，本文選擇華東-華東1。
3. 在系統首頁，選擇“網絡>虛擬私有云”。
4. 在左側導航欄選擇“訪問控制 > 網絡ACL”。
5. 在“網絡ACL”列表區域，選擇需要修改的“網絡ACL名稱”點擊“添加規則”。

6. 配置具體操作參數可參考幫助中心>虛擬私有云>網絡ACL> 添加ACL規則。

7. 單擊“確定”，完成相關配置。