Jika instance Cloud-native API Gateway dan node tempat layanan backend Anda berada termasuk dalam grup keamanan yang berbeda, Anda dapat mengonfigurasi aturan grup keamanan untuk memberikan akses dari instance Cloud-native API Gateway ke layanan backend.
Informasi latar belakang
Grup keamanan berfungsi sebagai firewall virtual untuk mengontrol lalu lintas arah masuk dan arah keluar dari Instance ECS (Elastic Compute Service) dan elastic network interfaces (ENIs). Grup keamanan meningkatkan keamanan Instance ECS dengan menyediakan inspeksi paket stateful (SPI) dan penyaringan paket. Anda dapat menggunakan grup keamanan dan aturan grup keamanan untuk mendefinisikan domain keamanan di cloud. Untuk informasi lebih lanjut, lihat Ikhtisar.
Saat membeli instance Cloud-native API Gateway, Anda harus memilih Virtual Private Cloud (VPC) dan tipe grup keamanan. Kami menyarankan Anda memilih tipe grup keamanan yang sama dengan layanan backend Anda. Setelah konfigurasi selesai, instance Cloud-native API Gateway akan membuat grup keamanan terkelola berdasarkan tipe grup keamanan yang dipilih. Grup keamanan terkelola ini digunakan untuk mengelola node dari instance gateway. Karena instance Cloud-native API Gateway dan node layanan backend Anda berada dalam grup keamanan yang berbeda, Anda perlu memberikan otorisasi kepada instance Cloud-native API Gateway untuk mengakses layanan backend melalui range port tertentu.
Gambar di atas mengilustrasikan cara menggunakan Cloud-native API Gateway untuk menerapkan kontrol akses aman dan distribusi lalu lintas di antara berbagai jenis layanan. Secara spesifik:
Anda menggunakan klien (seperti komputer) untuk mengakses jaringan internal Cloud-native API Gateway.
Cloud-native API Gateway mendistribusikan permintaan Anda ke service-sg1 dan service-sg2 berdasarkan konfigurasi.
Pod di service-sg1 memproses permintaan dari port 8080/8080.
Pod di service-sg2 memproses permintaan dari port 80/9000.
Langkah 1: Dapatkan informasi grup keamanan dari node tempat layanan backend Anda ditempatkan
Layanan upstream yang terkait dengan instance Cloud-native API Gateway ditempatkan di kluster Container Service for Kubernetes (ACK) atau pada instance ECS. Bagian ini menjelaskan cara mendapatkan ID grup keamanan.
Layanan backend diterapkan di kluster ACK
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang ingin dikelola dan klik namanya. Di panel navigasi kiri, pilih .
Di halaman Node Pools, klik node yang diinginkan. Di tab Overview, dapatkan ID grup keamanan.
Layanan backend ditempatkan pada instance ECS
Masuk ke Konsol ECS.
Di panel navigasi kiri, pilih .
Di halaman Instance, klik instance ECS tempat layanan backend Anda berada. Di tab Security Groups, dapatkan ID grup keamanan.
Langkah 2: Tambahkan aturan grup keamanan
Masuk ke Konsol API Gateway.
Di panel navigasi kiri, klik . Di bilah navigasi atas, pilih wilayah.
Di halaman Instance, klik ID instance target.
Di panel navigasi kiri, klik Overview. Di halaman yang muncul, klik tab Security Group Authorizations.
Klik Add Security Group Rule. Salin ID grup keamanan yang didapat di Langkah 1 ke bidang Security Group ID dan pilih grup keamanan yang muncul.
Masukkan port ranges dalam format Port Awal/Port Akhir.
Anda dapat memasukkan beberapa range port. Setiap kali Anda memasukkan range port, tekan Enter untuk memvalidasi pengaturan.
Klik Save.
Aturan grup keamanan dibuat untuk instance Cloud-native API Gateway.
Anda juga dapat melihat aturan grup keamanan di grup keamanan dari node tempat layanan backend Anda berada.
Hapus aturan grup keamanan
Masuk ke Konsol API Gateway.
Di panel navigasi kiri, klik . Di bilah navigasi atas, pilih wilayah.
Di halaman Instance, klik ID instance target.
Klik tab Security Group Authorizations. Temukan aturan grup keamanan yang ingin dihapus, dan klik Delete di kolom Actions. Di pesan yang muncul, klik OK.
Secara default, aturan grup keamanan untuk instance Cloud-native API Gateway dihapus. Jika Anda ingin menghapus aturan grup keamanan untuk node tempat layanan ditempatkan, pilih The preceding inbound rules in the security group are also deleted di pesan yang muncul.
Tanya Jawab Umum
Mengapa saya tidak bisa mengakses layanan dari instance Cloud-native API Gateway setelah mengonfigurasi aturan grup keamanan?
Lakukan langkah-langkah berikut:
Periksa apakah node tempat Anda mengonfigurasi aturan grup keamanan adalah node tempat layanan ditempatkan.
Sebagai contoh, layanan ditempatkan di Node A, tetapi Anda mengonfigurasi aturan grup keamanan untuk Node B.
Periksa apakah ada beberapa grup keamanan yang dikonfigurasi untuk node layanan Anda.
Jika beberapa grup keamanan dikonfigurasi untuk node layanan Anda, kami menyarankan Anda mengonfigurasi aturan grup keamanan untuk setiap grup keamanan.
Saya telah mengonfigurasi aturan grup keamanan untuk instance Cloud-native API Gateway untuk mengakses layanan dan akses berhasil. Namun, akses gagal sekarang. Mengapa?
Lakukan langkah-langkah berikut:
Periksa apakah layanan Anda normal.
Anda dapat menjalankan perintah
curldi node lain dalam grup keamanan yang sama untuk memeriksa konektivitas layanan.Periksa apakah port yang diekspos oleh layanan telah berubah.
Sebagai contoh, port yang diekspos berubah dari 8080 menjadi 8081 tetapi hanya port 8080 yang dibuka. Dalam kasus ini, Anda perlu mengubah nomor port di aturan grup keamanan. Untuk mencegah masalah ini, kami menyarankan Anda mengatur Rentang Port menjadi 1/65535 saat Anda membuat aturan grup keamanan.