ULB能做到访问控制吗?

发布于 2020-11-19 18:46:12

负载均衡ULB能做到访问控制吗?

查看更多

关注者
0
被浏览
127
1 个回答
云小U
云小U 2020-11-19
绑定邮箱,可随时随地接收消息通知~

目前ULB已经上线防火墙功能,防火墙仅对请求代理模式型、外网模式的ULB实例生效。具体操作请参考
https://docs.ucloud.cn/ulb/guide/firewall/bindfirewall
如果您的ULB不是上述类型,您可以通过修改Web server的配置对来源地址进行访问限制。 由于在ULB的HTTP模式下,真实源地址保存在HTTP消息的"X-Forwarded-For"字段中,目前大部分Web server对该字段都提供了屏蔽功能。 所以,如果用户急需要对某些源地址进行屏蔽,可以参考以下配置文件范例:
配置Apache屏蔽某源地址
参考下面的内容修改配置文件:
<Directory "/var/www/html"> #忽略其他配置 Order deny, allow SetEnvIf X-Forwarded-For "^(192.168.0.1)$" deny1 SetEnvIf X-Forwarded-For "^(172\.16\.0\.1)$" deny2 Deny from env=deny1 Deny from env=deny2 </Directory>
"Order deny, allow"的顺序可以根据使用方式自定义。 "SetEnvIf"用来定义一个环境变量。这里将"X-Forwarded-For"字段作为一个变量,并使用了一个正则表达式匹配某IP(192.168.0.1)。 后续的Deny将根据该变量将所匹配IP进行屏蔽。
配置Nginx屏蔽某源地址
参考下面的内容修改配置文件:
set_real_ip_from 10.10.192.0/18;
real_ip_header X-Forwarded-For;
deny 192.168.0.1
其中"set_real_ip_from"资源的"10.10.192.0/18"IP地址为北京二可用区C的ULB所在网段地址。 nginx会将来源为该网段的"X-Forwarded-For"作为真实IP地址。 deny后面的IP,既为所需要屏蔽的IP地址。

撰写答案

请登录后再发布答案,点击登录

发布
问题

分享
好友

手机
浏览

扫码手机浏览