现已全地域覆盖。
1. Greeting
大家好,很高兴告诉大家,阿里云负载均衡SLB已经在新加坡、澳大利亚(悉尼)、马来西亚(吉隆坡)、日本(东京)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、阿联酋(迪拜)、印度(孟买)上述地域支持新版访问控制(增加黑名单)功能。
2. 功能概述
负载均衡SLB原有的访问控制白名单功能,能够允许指定IP访问SLB,其他IP一律拒绝访问。现在新版访问控制支持了黑名单功能,即允许禁止某些IP访问SLB;同时新版访问控制功能够将访问控制条目进行分组管理,一次编辑,多次应用,提升了运维管理效率。
3. 新版访问控制功能相关概念
- 访问控制条目:即一个IP地址/CIDR段
- 访问控制策略组:包含一组访问控制条目
- 一个访问控制策略组可以在一个地域/Region范围被重复应用到负载均衡实例的监听上,避免以前每个监听都要配置一边访问控制的繁琐与尴尬
- 访问控制策略组本身只包地址/CIDR段,并不包含针对条目的动作(允许或禁止)
- 访问控制策略组在应用到监听上时可以选择按白名单方式应用或黑名单方式应用,以实现黑白名单访问控制的效果
- 策略组以白名单方式应用到监听可以实现除了策略组中指定的IP地址和CIDR段能够访问SLB,其他地址一律禁止
- 策略组以黑名单方式应用到监听可以实现除了策略组中指定的IP地址和CIDR段不能访问SLB,其他地址一律放行
4. 如何使用新版访问控制功能
登陆SLB控制台,在当前已经开放新版访问控制功能的地域,可以看到访问控制的入口,进入访问控制页面,点击创建访问控制策略组,如下图所示:
输入名称点击确定,即创建好了一个访问控制策略组
创建好策略组后,点击管理访问控制策略组,进入管理策略组界面添加具体的访问控制条目
进入到管理策略组界面可以看到,右上角有添加条目和批量添加两个按钮,我们可以一条一条的增加,也方便的将众多条目一次性添加
我们先添加单个条目,输入IP地址或CIDR段,填写备注,点击确认即可完成一个条目的添加
接下来我们再试试批量添加,我们需要用竖杠符号“|”来分隔IP地址和备注,一行一个条目来批量的输入访问控制条目,如下图所示:
点击确认后,批量创建成功
接下来我们就将创建好的访问控制策略组应用到监听,来到监听管理页面,我们点击设置访问控制
点击启用访问控制,并且选择访问控制方式,然后选择刚刚我们创建的访问控制策略组test-acl
点击确定,应用到监听,即完成了访问控制黑名单的配置
在监听状态上我们可以看到当前监听已经启用了黑名单,以及绑定的访问控制策略组test-acl
5. 将原有访问控制迁移到新版
另外阿里云的美女程序猿@玉倾同学还有心的添加了将老版的访问控制白名单配置一键转换到新版访问控制策略组的功能,方便老用户迁移,不要太赞。具体迁移方式可以参考文档:https://help.aliyun.com/document_detail/69671.html
6. 约束和限制
每个地域单账号可创建的访问控制策略组个数:50
单账号每次可添加的IP地址条目个数:50
每个访问控制策略组可包含的条目个数:300
每个访问控制策略组能够关联到监听的次数:50
5. 结尾
感谢大家的支持,祝大家工作生活愉快,我们下篇文章见,拜拜!
