筆者曾經遇過一位客戶，該公司有要辦活動，但只開放台灣IP的連線，又不想花額外的費用，這時可以透過SLB即透過訪問控制中白名單的方式，限制只有台灣IP能夠連線來協助客戶完成需求。阿里雲負載平衡主要分為兩種，分別是應用型負載均衡(Application Load Balancer；ALB)與傳統型負載均衡(Classic Load Balancer；CLB)，兩種都有各自不同的應用場景，且都具有開啟即有HA架構的特性。

在阿里雲上的負載均衡(Server Load Balancer；SLB)的訪問控制同時支援黑名單與白名單，如果開啟的是白名單那就僅有添加進白名單的IP才可以訪問到後端的服務，反之如果開啟的是黑名單那添加進去的IP就無法訪問到後端的服務，這部分是可以根據不同的需求有不同的做法，而開啟訪問控制也是對Server端較為安全的一個做法。

實務操作-1:

ALB黑名單教學

1. 先選定要在哪個Region部署ALB Instance，進入後購買ALB Instance，還有後端Server Group的設定

2. 範例為ALB開啟黑名單情境下，在部署好ALB及後端服務的架構後，接著我們就可以進到SLB的選項後左列，選擇ALB訪問控制後，創建一個新的訪問控制策略組，就可選擇要單一新增或大量新增特定IP或是網段，最後也可以針對各別新增的IP/網段去做刪除的動作。

3. 創建完策略組後就可以回到ALB的實例裡面選擇Listener Details，開啟訪問控制後會跳出紅框4的視窗，接著根據個人需求選擇黑/白名單後，再選擇我們上一步所創建的策略組。

4. 根據上述步驟做完以後，實測在同一台ip上訪問網站發現在開啟訪問控制後是連線不到的

實務操作-2:

CLB白名單教學

1. 確保部署完CLB相關架構及監聽後，開啟SLB畫面並選取左列在CLB的訪問控制，新增一組網段或是特定IP。

2. 開啟CLB實例後，選擇監聽並依照下圖開啟訪問控制，並選擇要使用白名單後再選擇上一步設定好的清單。
   

3. 根據上述步驟做完以後實測在同一台IP上訪問網站，發現在開啟訪問控制後是連線不到的

結語

在今天的文章實作中，雖然只做了一個簡單的動作，但卻非常重要，因為如果不開啟訪問控制的話相當於把自己的服務暴露在危險之中，任何人都可以連線，甚至攻擊你，但開啟後因為只有特定區域才可以連線，大大地降低了危險性，因此筆者建議做網站建置時，千萬不要省略這一個步驟。

Reference:

SLB的類型介紹https://www.alibabacloud.com/help/en/server-load-balancer/latest/slb-overview
ACL的介紹https://www.alibabacloud.com/help/en/server-load-balancer/latest/safety-management-access-control
ACL的介紹https://www.alibabacloud.com/help/en/server-load-balancer/latest/access-control-overview