如何为网络负载均衡(NLB)设置IP白名单，并对LUC成本产生什么影响？

【以下的回答经过翻译处理】 使用NACL和/或SG不是二选一的选择。你可以同时使用两个。

NACL需要更加仔细的配置，以确保你出向时允许的临时范围（以便流量可以返回源），同时也要确保允许从目标到NLB的临时范围。一种方法是在NACL中只允许目标（例如：10.0.0.0/24，所有流量），以此来进行高级的配置，另一个优点是你可以拒绝和允许整个子网受保护（防止管理员启动一个实例不应用特殊安全组）。请注意，在NLB子网和目标子网的NACL都会参与到此过程中。

由于安全组是有状态的，他们会为你处理临时端口。然而，使用SG时你不能拒绝，只能允许。在你的情况下，听起来这样也可以，因为你的人想要只允许特定的IP。在我看来，这不像NACL强大，但相对来说更简单，尤其适合如果他们没有人手动启动实例（手动启动实例有遗漏的风险，如忘记应用特殊的SG）的情况。

一种选择是他可以主要使用安全组来控制流量，并使用网络ACL来阻止特定流量。例如 - 如果他想允许x.x.x.x/24，但x.x.x.30/32是滥用的，他可以在SG中允许/24并在NACL中放置特定的/32 DENY规则（在一般的ALLOW规则之前）。

NACL和SG都有限制：http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html 你需要注意。

关于LCUs - 因为被阻止的流量从来没有到达过NLB，所以不会被记入LCU。