操作场景

为了确保负载均衡器与后端服务器之间的正常通信和健康检查，添加后端服务器后需要检查后端服务器所属的安全组规则和网络ACL规则。当流量从弹性负载均衡器转发到后端服务器时，源IP将被替换为100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）网段的IP地址。

后端服务器的安全组规则应配置为允许100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）网段的流量通过。

网络ACL规则是子网级别的可选安全层，如果弹性负载均衡器的后端子网关联了网络ACL，则网络ACL规则应配置为允许源地址为弹性负载均衡器的后端子网所属网段的流量通过。

约束与限制

在启用健康检查的情况下，后端云主机组的安全组规则需要配置允许弹性负载均衡器进行健康检查所需的协议和端口。如果健康检查使用UDP协议，还需要配置安全组规则以允许ICMP协议通过，否则将无法对已添加的后端云主机执行健康检查。

配置安全组规则

对于首次创建后端服务器时未配置过VPC的情况，系统会自动创建默认VPC。然而，默认VPC的安全组策略是禁止外部访问的，即外部网络无法直接访问后端服务器。为了确保负载均衡器能够在监听器端口和健康检查端口上与已创建的后端服务器进行通信，您需要配置安全组入方向的访问规则。

操作步骤

1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。
2. 在管理控制台顶端单击图标，选择区域，本文选择华东-华东1。
3. 在系统首页，选择““网络>弹性负载均衡>负载均衡器”。
4. 点击指定的弹性负载均衡器名称，进入负载均衡器详情页面，点击后端主机组页签查看已添加的弹性云主机。

5. 点击待变更安全组规则的弹性云主机名称。
6. 在跳转的弹性云主机详情页面，点击“安全组”页签。

7. 点击安全组名称，在下拉页面点击“添加规则”。

8. 添加规则具体可参考帮助中心>虚拟私有云​>安全组​>添加安全组规则。
9. 根据所在后端主机组的后端协议类型在弹出的页面配置入方向规则。

10. 点击“确定”，完成安全组规则配置。

配置网络ACL规则

网络ACL是一个子网级别的可选安全层，用于控制进出子网的数据流，通过与子网关联的入方向/出方向规则进行管理。与安全组类似，网络ACL可以增加额外的安全防护层。

然而，需要注意的是，网络ACL的默认规则会拒绝所有的入站和出站流量。如果网络ACL与负载均衡所在的子网或与负载均衡关联的后端服务器所在的子网相同，那么负载均衡的业务可能会受到影响，无法接收来自公网或私网的请求流量，导致后端服务器异常。

如果您想要允许来自特定IP网段（例如100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6））的流量通过网络ACL，您可以配置入方向规则，放行该网段的流量。

需要特别注意的是，由于负载均衡会将公网IP转换为内部的100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）网段的IP地址，因此无法通过配置网络ACL规则来限制公网IP访问后端服务器。所以，即使您修改了网络ACL，也不会影响负载均衡将公网IP转换为内部IP的行为。

使用须知

网络ACL无法直接限制客户端对负载均衡器的访问。负载均衡器的IP地址不受后端子网所配置的网络ACL规则的限制，因此客户端仍然可以直接访问负载均衡器。

如果您需要限制客户端对负载均衡器的访问，建议使用监听器的访问控制功能，具体可参考配置访问控制。

操作步骤

1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。
2. 在管理控制台顶端单击图标，选择区域，本文选择华东-华东1。
3. 在系统首页，选择“网络>虚拟私有云”。
4. 在左侧导航栏选择“访问控制 > 网络ACL”。
5. 在“网络ACL”列表区域，选择需要修改的“网络ACL名称”点击“添加规则”。

6. 配置具体操作参数可参考帮助中心>虚拟私有云>网络ACL> 添加ACL规则。

7. 单击“确定”，完成相关配置。