Topik ini menjelaskan cara menggunakan AlbConfigs untuk mengonfigurasi grup keamanan guna mengelola lalu lintas secara aman pada instance Application Load Balancer (ALB). Topik ini juga mencakup kebijakan keamanan terkait dan saran konfigurasi.
Prasyarat
Sebuah grup keamanan telah dibuat dan aturan telah ditambahkan ke grup keamanan.
Kontroler ALB Ingress versi 2.15.0 atau lebih baru telah diinstal.
Sebuah klaster khusus ACK mengakses layanan menggunakan ALB Ingress. Sebelum menerapkan layanan, Anda harus mengizinkan klaster khusus Container Service for Kubernetes (ACK) untuk mengakses kontroler ALB Ingress.
Catatan penggunaan
Perhatikan hal-hal berikut saat mengonfigurasi grup keamanan:
Instance ALB yang ditingkatkan mendukung grup keamanan dan daftar kontrol akses (ACL) untuk mengontrol lalu lintas masuk, sedangkan instance ALB yang tidak ditingkatkan hanya mendukung ACL. Untuk menggunakan grup keamanan, buat instance ALB baru atau hubungi manajer akun Anda untuk meningkatkan instance ALB yang ada.
Kompatibilitas
Anda tidak dapat menggunakan grup keamanan dan daftar kontrol akses (ACL) untuk instance ALB yang sama. Anda juga tidak dapat beralih langsung antara grup keamanan dan ACL. Jika ingin beralih, lepaskan konfigurasi saat ini dan simpan AlbConfig. Setelah perubahan selesai, tambahkan ACL atau grup keamanan.
Logika Pembaruan
Sebagai contoh, jika Anda ingin mengubah grup keamanan
sg-1,sg-2, dansg-3menjadisg-3,sg-4, dansg-5, kontroler ALB Ingress akan menambahkan dan mengikatsg-4dansg-5, kemudian melepaskansg-1dansg-2. Kendalikan jumlah pembaruan per waktu untuk menghindari melebihi batas kuota.Tipe dan Kuota
Perilaku Grup Keamanan
Setelah instance ALB ditambahkan ke grup keamanan yang tidak mengandung aturan Tolak, port listener dari instance ALB mengizinkan semua permintaan secara default.
Jika Anda ingin mengizinkan hanya alamat IP tertentu untuk mengakses instance ALB, tambahkan aturan Tolak. Untuk informasi lebih lanjut, lihat Ikhtisar grup keamanan.
Saran dalam Mengonfigurasi Kebijakan Keamanan untuk Layanan Backend
Anda dapat mengonfigurasi kebijakan keamanan untuk node, elastic network interfaces (ENIs), dan pod dalam klaster ACK. Kami menyarankan Anda mengaktifkan blok CIDR dari vSwitch tempat instance ALB berada untuk memastikan komunikasi normal dengan layanan backend.
Prosedur
Sebelum membuat atau memperbarui grup keamanan dari sebuah AlbConfig, Anda harus mendapatkan ID grup keamanan tempat aturan keamanan ditambahkan.
Jalankan perintah berikut untuk mendapatkan ID grup keamanan:
Masuk ke konsol ECS.
Di panel navigasi di sebelah kiri, pilih .
Di pojok kiri atas bilah navigasi atas, pilih grup sumber daya tempat sumber daya tersebut berada dan wilayah tempat sumber daya tersebut berada.
Salin dan simpan ID grup keamanan.
Membuat atau memperbarui AlbConfig.
Tambahkan bidang
securityGroupIdske AlbConfig dan konfigurasikan ID grup keamanan yang telah disalin dan disimpan. Contoh berikut menunjukkan konfigurasi. Untuk mengonfigurasi beberapa grup keamanan, tentukan jumlah grup keamanan yang dapat ditambahkan berdasarkan tipe dan kuota grup keamanan tipe dan kuota.apiVersion: alibabacloud.com/v1 kind: AlbConfig metadata: name: alb spec: config: name: alb-test addressType: Intranet zoneMappings: - vSwitchId: vsw-uf6k2yoy************* - vSwitchId: vsw-uf6pv7wg************* securityGroupIds: # Konfigurasikan bidang grup keamanan. - sg-uf6blkp8************ # ID grup keamanan. - sg-djladhla************ # ID grup keamanan. addressAllocatedMode: Fixed listeners: - port: 80 protocol: HTTP