Grup keamanan berfungsi sebagai firewall virtual yang menyediakan kemampuan Stateful Packet Inspection (SPI) dan penyaringan paket, serta mendefinisikan domain keamanan di cloud. Anda dapat menambahkan aturan grup keamanan untuk mengontrol lalu lintas arah masuk dan keluar instans Elastic Container Instance dalam grup keamanan tersebut.
Ikhtisar grup keamanan
Definisi grup keamanan
Grup keamanan adalah kumpulan instans yang secara logis terisolasi dalam wilayah yang sama, saling dipercaya, dan memiliki persyaratan keamanan yang serupa. Aturan grup keamanan mengontrol akses ke atau dari Internet maupun jaringan internal untuk instans Elastic Container Instance dalam grup tersebut.
Setiap grup keamanan dapat mengelola beberapa instans Elastic Container Instance dalam wilayah yang sama.
Setiap instans Elastic Container Instance hanya dapat termasuk dalam satu grup keamanan.
Jenis grup keamanan
Grup keamanan diklasifikasikan menjadi kelompok keamanan dasar dan kelompok keamanan tingkat lanjut. Secara default, aturan berikut ditambahkan saat grup keamanan dibuat:
Aturan masuk yang mengizinkan akses pada port 80, 443, 22, dan 3389, serta aturan masuk yang mengizinkan akses melalui Protokol Pesan Kontrol Internet (ICMP) pada semua port. Aturan ini dapat dimodifikasi.
Aturan keluar yang mengizinkan semua akses pada semua port.
Tabel berikut menjelaskan perbedaan fitur antara kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.
Fitur | Kelompok keamanan dasar | Kelompok keamanan tingkat lanjut |
Kebijakan kontrol akses saat grup keamanan tidak memiliki aturan |
|
|
Jumlah maksimum Alamat IP pribadi | 2.000 | 65.536 |
Akses timbal balik antar instans dalam grup keamanan yang sama | Secara default, instans dalam grup keamanan yang sama dapat saling mengakses melalui jaringan internal. | Secara default, instans dalam grup keamanan yang sama diisolasi satu sama lain melalui jaringan internal. Anda harus menambahkan aturan grup keamanan secara manual untuk mengizinkan akses timbal balik melalui jaringan internal. |
Kontrol akses ke atau dari grup keamanan lain | Aturan dapat ditambahkan untuk mengontrol akses ke atau dari grup keamanan lain. | Aturan tidak dapat ditambahkan untuk mengontrol akses ke atau dari grup keamanan lain. |
Jika bisnis Anda memerlukan sejumlah besar instans Elastic Container Instance dan efisiensi O&M yang tinggi, kami menyarankan penggunaan kelompok keamanan tingkat lanjut. Dibandingkan dengan kelompok keamanan dasar, kelompok keamanan tingkat lanjut dapat menampung lebih banyak instans Elastic Container Instance dan mempermudah konfigurasi aturan grup keamanan.
Aturan grup keamanan
Aturan dapat ditambahkan ke grup keamanan untuk mengontrol lalu lintas arah masuk dan keluar. Aturan grup keamanan didefinisikan berdasarkan atribut seperti arah, aksi, jenis protokol, range port, dan objek otorisasi. Perhatikan hal-hal berikut mengenai aturan grup keamanan:
Jumlah gabungan aturan masuk dan keluar dalam setiap grup keamanan tidak boleh melebihi 200.
Ikuti prinsip Hak istimewa minimal saat menambahkan aturan grup keamanan. Contoh:
Tentukan satu port tunggal seperti port 80 dalam format 80/80, bukan range port seperti port 1 hingga 80 dalam format 1/80.
0.0.0.0/0 menunjukkan semua alamat IP. Jangan tetapkan sebagai objek otorisasi kecuali benar-benar diperlukan.
Untuk informasi selengkapnya, lihat Ikhtisar.
Tentukan grup keamanan
Saat membuat instans Elastic Container Instance, Anda harus menentukan grup keamanan untuk instans tersebut.
Anda tidak dapat mengubah grup keamanan untuk instans Elastic Container Instance. Untuk menggunakan instans Elastic Container Instance dalam grup keamanan yang berbeda, buat instans Elastic Container Instance baru dalam grup keamanan tersebut.
Tentukan grup keamanan untuk instans Elastic Container Instance dalam kluster Kubernetes
Saat menggunakan Elastic Container Instance berdasarkan Virtual Node dalam skenario Kubernetes, semua instans Elastic Container Instance dalam kluster ditambahkan ke grup keamanan default yang dikonfigurasi oleh Virtual Node. Anda dapat menentukan grup keamanan sesuai kebutuhan bisnis.
Cluster
Anda dapat menjalankan perintah kubectl edit untuk memodifikasi ConfigMap eci-profile kluster dan mengubah ID grup keamanan default di bagian data untuk instans Elastic Container Instance dalam kluster tersebut.
CatatanVirtual Node versi 2.0.0.90-15deb126e-aliyun dan yang lebih baru mendukung modifikasi eci-profile untuk pembaruan langsung (hot update). Jika versi Virtual Node Anda lebih lama dari 2.0.0.90-15deb126e-aliyun, kami menyarankan Anda melakukan peningkatan Virtual Node.
kubectl edit configmap eci-profile -n kube-systemModifikasi bidang securityGroupId di bagian data. Contoh kode:
data: enableClusterIp: "true" enableHybridMode: "false" enablePrivateZone: "false" resourceGroupId: "" securityGroupId: sg-2ze0b9o8pjjzts4h**** # Tentukan ID grup keamanan. selectors: "" vSwitchIds: vsw-2zeet2ksvw7f14ryz****,vsw-2ze94pjtfuj9vaymf**** vpcId: vpc-2zeghwzptn5zii0w7****Tentukan grup keamanan untuk instans Elastic Container Instance
Anda dapat menambahkan anotasi ke bagian metadata dalam konfigurasi Pod untuk menentukan grup keamanan bagi instans Elastic Container Instance. Contoh kode:
apiVersion: apps/v1 kind: Deployment metadata: name: demo labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.aliyun.com/eci-security-group: "sg-bp1dktddjsg5nktv****" # Tentukan ID grup keamanan. labels: app: nginx spec: containers: - name: nginx image: nginx:latest
Tentukan grup keamanan untuk instans Elastic Container Instance dengan memanggil API
Saat memanggil operasi CreateContainerGroup untuk membuat instans Elastic Container Instance, Anda dapat menggunakan parameter SecurityGroupId untuk menentukan grup keamanan. Tabel berikut menjelaskan parameter SecurityGroupId. Untuk informasi selengkapnya, lihat CreateContainerGroup.
Parameter | Tipe | Contoh | Deskripsi |
SecurityGroupId | String | sg-uf66jeqopgqa9hdn**** | ID grup keamanan |
Tentukan grup keamanan untuk instans Elastic Container Instance di Konsol
Saat membuat instans Elastic Container Instance di halaman pembelian instans di Konsol Elastic Container Instance, Anda dapat menentukan grup keamanan untuk instans tersebut.
Tambahkan aturan grup keamanan
Anda dapat menambahkan aturan ke grup keamanan untuk mengontrol lalu lintas arah masuk dan keluar bagi instans Elastic Container Instance dalam grup keamanan tersebut. Contoh:
Jika instans Elastic Container Instance Anda perlu berkomunikasi dengan jaringan di luar grup keamanan tempat instans tersebut berada, tambahkan aturan grup keamanan untuk mengizinkan akses ke jaringan tersebut.
Saat serangan dari sumber permintaan terdeteksi, Anda dapat menambahkan aturan grup keamanan untuk memblokir akses dari sumber tersebut.
Untuk informasi selengkapnya tentang cara menambahkan aturan grup keamanan, lihat Tambahkan aturan grup keamanan.