Cloud-native API Gateway dan layanan backend Anda mungkin berada dalam grup keamanan yang berbeda. Tambahkan aturan grup keamanan untuk memberikan akses gateway ke layanan backend Anda.
Latar Belakang
Grup keamanan adalah firewall virtual yang mengontrol lalu lintas inbound dan outbound untuk Instance ECS dan ENI melalui inspeksi dan penyaringan paket stateful. Konfigurasikan aturan grup keamanan untuk mengisolasi domain keamanan di cloud. Ikhtisar grup keamanan.
Saat membuat instans Cloud-native API Gateway, Anda memilih VPC dan tipe grup keamanan. Pilih tipe yang sama dengan layanan backend Anda. Gateway membuat grup keamanan terkelola untuk node instansnya. Karena gateway dan node layanan backend berada dalam grup keamanan yang berbeda, Anda harus menambahkan aturan ke grup keamanan layanan backend untuk mengizinkan akses gateway pada range port yang diperlukan.
Gambar berikut menunjukkan cara Cloud-native API Gateway menggunakan grup keamanan untuk mengontrol akses jaringan dan mengarahkan traffic:
-
Klien mengirim permintaan melalui Cloud-native API Gateway ke jaringan internal.
-
Gateway mengarahkan traffic ke
service-sg1danservice-sg2berdasarkan aturan routing. -
Pod di
service-sg1menangani permintaan pada port 8080. -
Instance ECS di
service-sg2menangani permintaan pada port 80 hingga 9000.
Langkah 1: Temukan security group
Layanan backend untuk Cloud-native API Gateway biasanya dideploy di Container Service for Kubernetes (ACK) atau pada Instance ECS. Temukan ID grup keamanan layanan backend Anda.
Container Service (ACK)
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, klik nama kluster Anda. Di panel navigasi kiri, klik .
-
Pada halaman Node Pools, klik node target, lalu klik tab Basic Information untuk menemukan ID grup keamanan.
Instance ECS
Masuk ke Konsol ECS.
Di panel navigasi kiri, pilih .
-
Pada halaman Instances, klik instance ECS target, lalu klik tab Security Groups untuk menemukan ID grup keamanan.
Langkah 2: Tambahkan aturan security group
Masuk ke Konsol API Gateway.
Di panel navigasi kiri, klik . Di bilah navigasi atas, pilih wilayah.
Pada halaman Instance, klik ID instans target.
-
Di panel navigasi kiri, klik Overview, lalu klik tab Security Group Authorizations.
-
Klik Add Security Group Rule. Di kotak teks Security Group ID, tempel ID grup keamanan dari Langkah 1, lalu pilih grup keamanan tersebut.
-
Masukkan Port Range untuk otorisasi grup keamanan: Port awal/Port akhir.
Anda dapat memasukkan beberapa range port. Tekan Enter setelah setiap range.
-
Klik Save.
-
Cloud-native API Gateway membuat aturan yang sesuai.
-
Aturan tersebut juga muncul di grup keamanan node target.
-
Hapus aturan security group
Masuk ke Konsol API Gateway.
Di panel navigasi kiri, klik . Di bilah navigasi atas, pilih wilayah.
Pada halaman Instance, klik ID instans target.
-
Klik tab Security Group Authorizations. Temukan aturan yang ingin dihapus, klik Delete di kolom Actions, lalu klik OK.
Secara default, hanya aturan grup keamanan gateway yang dihapus. Untuk menghapus juga aturan inbound dari grup keamanan node target, pilih The preceding inbound rules in the security group are also deleted.
FAQ
Layanan tidak dapat diakses setelah menambahkan aturan
Periksa hal berikut:
-
Periksa apakah Anda menambahkan aturan ke grup keamanan yang benar.
Contohnya, layanan berjalan di Node A, tetapi aturan ditambahkan ke grup keamanan Node B.
-
Periksa apakah node target termasuk dalam beberapa grup keamanan.
Jika ya, tambahkan aturan otorisasi ke setiap grup keamanan tersebut.
Layanan yang sebelumnya dapat diakses kini gagal
Periksa hal berikut:
-
Verifikasi bahwa layanan Anda berjalan dengan benar.
Jalankan
curldari node lain dalam grup keamanan yang sama untuk memverifikasi konektivitas. -
Periksa apakah port yang diekspos oleh layanan Anda telah berubah.
Contohnya, jika layanan dipindahkan dari port 8080 ke 8081 tetapi aturan hanya mencakup 8080, akses akan gagal. Untuk menghindari hal ini, gunakan range port yang lebih luas seperti 1–65535.