Ограничить доступ к балансировщику нагрузки
Вы можете ограничить доступ к балансировщику нагрузки — указать разрешенные IP-адреса, с которых балансировщик будет принимать трафик.
Разрешенные IP-адреса указываются в правиле балансировщика и применяются только на порт и тип трафика, которые указаны в правиле. Вы можете указать разрешенные адреса при создании правила или в существующем правиле.
Для работы разрешенных адресов в сети балансировщика должна быть включена фильтрация трафика (port security). Если вы включите фильтрацию трафика в сети существующего балансировщика, это может вызвать сбои в его работе. Мы рекомендуем создать новую сеть с фильтрацией, создать в ней балансировщик и настроить балансировку.
Указать разрешенные IP-адреса в существующем правиле
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Балансировщики → вкладка Балансировщики.
-
Откройте страницу балансировщика.
-
Откройте карточку правила.
-
Если в карточке есть поле Разрешенные CIDR, в этом поле:
5.1. Нажмите .
5.2. Введите разрешенные IP-адреса или подсети через запятую.
5.3. Нажмите .
-
Если поле Разрешенные CIDR не отображается, включите фильтрацию трафика в сети балансировщика и повторите шаги 1-5.
-
Убедитесь, что в сети балансировщика включена фильтрация трафика — в поле
port_security_enabledзначениеtrue:openstack network show <network>Если значение поля —
false, включите фильтрацию трафика в сети балансировщика и вернитесь на шаг 1. -
Укажите разрешенные IP-адреса в правиле балансировщика:
openstack loadbalancer listener set \
--allowed-cidr <allowed_cidr>
<listener>Укажите:
<allowed_cidr>— IP-адрес или подсеть в формате CIDR. Если нужно указать несколько адресов, каждый укажите в отдельном параметре--allowed-cidr;<listener>— ID или имя правила. Список можно посмотреть с помощью командыopenstack loadbalancer listener list.