All Products
Search

This Product

    Elastic Compute Service:Grup keamanan

    Document Center

    Elastic Compute Service:Grup keamanan

    Last Updated:Jun 12, 2026

    Grup keamanan berfungsi sebagai firewall virtual untuk instance ECS, menggunakan aturan untuk memberikan isolasi jaringan dan kontrol akses detail halus.

    Contoh berikut menunjukkan cara mengonfigurasi dua aturan grup keamanan: satu untuk mengizinkan manajemen jarak jauh instance hanya dari alamat IP yang diotorisasi, dan satu lagi untuk memblokir instance agar tidak mengakses situs berisiko tinggi di jaringan publik.

    • Aturan masuk: Mengizinkan akses ke instance melalui SSH (port 22) dari alamat IP tertentu (121.XX.XX.XX).

    • Aturan keluar: Memblokir instance agar tidak mengakses alamat IP berisiko tinggi yang diketahui (XX.XX.XX.XX).

    image

    Konfigurasikan grup keamanan

    1. Buka halaman pembelian instance: Di halaman Konsol ECS - Custom Launch, pilih konfigurasi instance.

    2. Buat grup keamanan: Di bagian Network and Security Group, buat grup keamanan dasar atau grup keamanan enterprise dan tentukan nama.

    3. Konfigurasi cepat aturan umum: Saat membeli instance, konsol menyediakan daftar aturan umum. Anda dapat memilih aturan ini untuk mengizinkan traffic dari semua alamat IP (0.0.0.0/0) mengakses port atau protokol tertentu pada instance.

    Anda tidak dapat mengonfigurasi aturan grup keamanan detail halus selama pembuatan instance. Aturan tersebut dapat dikonfigurasi setelah instance dibuat. Jika Anda memilih port manajemen jarak jauh seperti SSH (22) dan RDP (3389) selama konfigurasi cepat, kami menyarankan agar Anda memodifikasi aturan grup keamanan setelah membuat instance untuk hanya mengizinkan akses dari alamat IP tepercaya.

    1. Konfigurasikan aturan grup keamanan setelah pembuatan: Setelah membeli instance, rujuk ke Aturan grup keamanan untuk mengonfigurasi aturan grup keamanan.

    Untuk contoh tambahan konfigurasi aturan grup keamanan dalam berbagai skenario bisnis, seperti membatasi akses instance dan menerapkan kebijakan keamanan database, lihat Aplikasi dan kasus penggunaan grup keamanan.

    Buat grup keamanan

    Anda dapat membuat grup keamanan saat membuat instance ECS. Untuk informasi lebih lanjut, lihat Konfigurasikan grup keamanan untuk instance baru. Untuk membuat grup keamanan secara terpisah dan menambahkannya ke instance yang sudah ada, ikuti langkah-langkah di tab Konsol atau API.

    Konsol

    1. Buka halaman Konsol ECS - Security Groups dan klik Create Security Group.

    2. Tentukan nama grup keamanan dan pilih Virtual Private Cloud.

    3. Pilih Basic Security Group atau Advanced Security Group sebagai jenis grup keamanan.

    4. Konfigurasi aturan grup keamanan. Aturan grup keamanan bersifat stateful. Anda hanya perlu mengonfigurasi aturan masuk karena sistem secara otomatis mengizinkan traffic respons keluar yang sesuai. Untuk informasi tentang port umum dan sumber yang direkomendasikan, lihat tabel berikut. Untuk contoh lengkap, lihat Aplikasi dan kasus penggunaan grup keamanan.

      Contoh aturan port umum

      Port

      Protokol

      Tujuan

      Sumber

      Referensi

      22

      TCP

      Koneksi jarak jauh SSH (Linux)

      Jaringan kantor Anda atau alamat IP publik tetap. Penggunaan jangka panjang 0.0.0.0/0 tidak disarankan.

      Kasus Penggunaan 2

      3389

      TCP

      Remote Desktop RDP (Windows)

      Jaringan kantor Anda atau alamat IP publik tetap. Penggunaan jangka panjang 0.0.0.0/0 tidak disarankan.

      Kasus Penggunaan 2

      80

      TCP

      HTTP

      Anda dapat menggunakan 0.0.0.0/0 untuk situs web publik.

      Kasus Penggunaan 1

      443

      TCP

      HTTPS

      Anda dapat menggunakan 0.0.0.0/0 untuk situs web publik.

      Kasus Penggunaan 1

      8888

      TCP

      Digunakan untuk panel manajemen, seperti BT-Panel. Port aktual tergantung pada konfigurasi panel.

      Izinkan traffic hanya dari alamat IP administrator. Buka port yang ditentukan selama instalasi panel.

      -

      3306 atau port lainnya

      TCP

      Akses aplikasi ke database dalam VPC

      Dalam aturan masuk grup keamanan database, otorisasi grup keamanan sumber. Jangan membuka port ini ke publik.

      Kasus Penggunaan 3

      Port layanan

      TCP

      Komunikasi antar grup keamanan berbeda (misalnya, pada port 8080 dan 3306)

      Dalam aturan masuk grup keamanan tujuan, otorisasi ID grup keamanan sumber.

      Kasus Penggunaan 5

      Di halaman detail grup keamanan, pilih arah aturan dan klik Add Rule. Anda juga dapat Modify atau Delete aturan yang ada di bagian Access Rule.

      Peringatan

      • Prinsip hak istimewa minimal: Port 80/443 dapat dibuka ke publik sesuai kebutuhan. Akses melalui SSH (port 22), RDP (port 3389), dan port panel manajemen harus dibatasi hanya untuk alamat IP tepercaya. Hindari penggunaan 0.0.0.0/0 atau ::/0.

      • Prioritas aturan: Untuk aturan dengan prioritas yang sama, aturan deny memiliki prioritas lebih tinggi. Grup keamanan secara default mengizinkan jenis traffic jaringan tertentu.

      • Manajemen perubahan: Hindari modifikasi langsung grup keamanan di lingkungan produksi. Kami menyarankan agar Anda terlebih dahulu mengkloning grup keamanan, memverifikasinya di lingkungan pengujian, lalu menyesuaikan aturan produksi.

    5. Klik OK.

    API

    Panggil CreateSecurityGroup untuk membuat grup keamanan.

    Setelah membuat grup keamanan, panggil operasi API berikut untuk mengelola aturan grup keamanannya:

    Grup Keamanan Dasar baru tanpa aturan yang dikonfigurasi memiliki perilaku default: semua traffic keluar diizinkan, dan traffic masuk dari instance ECS lain dalam grup keamanan yang sama juga diizinkan. Semua traffic masuk lainnya ditolak.

    Asosiasikan grup keamanan dengan instance

    Saat Anda mengasosiasikan grup keamanan dengan instance ECS, grup keamanan tersebut diterapkan pada antarmuka jaringan utama instance.

    Konsol

    1. Di halaman Konsol ECS - Instances, klik ID instance untuk membuka halaman detail instance.

    2. Di halaman detail instance, buka tab Security Group. Di daftar grup keamanan, klik Change Security Groups untuk menambahkan atau menghapus grup keamanan. Saat beberapa grup keamanan diasosiasikan, aturannya digabung dan diterapkan sesuai prioritas.

    API

    Asosiasikan ENI sekunder dengan grup keamanan

    Grup keamanan berlaku untuk antarmuka jaringan elastis instance ECS. Jika instance memiliki beberapa antarmuka jaringan elastis, Anda dapat mengasosiasikan grup keamanan berbeda dengan masing-masing dan mengonfigurasi aturan berbeda untuk kontrol traffic bertingkat dan isolasi layanan.

    Konsol

    1. Buka halaman Konsol ECS - Network Interfaces dan klik ID antarmuka jaringan elastis sekunder target untuk membuka halaman detailnya.

    2. Klik Change Security Groups, pilih grup keamanan yang akan diasosiasikan, lalu klik OK.

    API

    Komunikasi jaringan intra-grup

    Secara default, instance ECS dalam grup keamanan dasar yang sama dapat saling berkomunikasi melalui jaringan internal. Untuk meningkatkan keamanan, Anda dapat mengubah kebijakan konektivitas intra-grup menjadi isolasi internal untuk mencegah komunikasi jaringan internal.

    Anda tidak dapat memodifikasi kebijakan konektivitas intra-grup untuk grup keamanan enterprise.

    • Jika instance diasosiasikan dengan beberapa grup keamanan, komunikasi jaringan internal diizinkan jika kebijakan konektivitas intra-grup setidaknya satu grup keamanan mengizinkan komunikasi.

    • Jika kebijakan konektivitas intra-grup grup keamanan diatur ke isolasi internal, Anda masih dapat mengonfigurasi aturan grup keamanan untuk mengizinkan komunikasi antar instance.

    Konsol

    1. Buka halaman Konsol ECS - Security Groups, lalu klik ID grup keamanan target untuk membuka halaman detailnya.

    2. Di halaman Security Group Details, di bagian Basic Information, klik Modify Internal Access Control Policy.

    3. Verifikasi bahwa kebijakan konektivitas intra-grup grup keamanan sekarang adalah Internal Isolation.

    API

    Untuk memodifikasi kebijakan konektivitas intra-grup grup keamanan dasar, panggil operasi ModifySecurityGroupPolicy.

    Akses jaringan antar grup keamanan

    Saat Anda menetapkan grup keamanan lain sebagai sumber aturan, instance dalam grup keamanan sumber dapat mengakses instance dalam grup keamanan saat ini melalui jaringan internal. Misalnya, jika Anda menambahkan aturan masuk ke grup keamanan A dan menetapkan grup keamanan B sebagai sumber, instance dalam grup keamanan B dapat mengakses instance dalam grup keamanan A.

    Anda tidak dapat menambahkan aturan ke grup keamanan enterprise yang menentukan grup keamanan sebagai sumber.

    image

    Konsol

    1. Buka halaman Konsol ECS - Security Groups dan klik ID grup keamanan untuk membuka halaman detailnya.

    2. Di halaman Security Group Details target, pilih arah aturan dan klik Add Rule.

    3. Di halaman Create Security Group Rule, atur Source ke Security Group atau Cross-account Security Group.

    API

    • Panggil AuthorizeSecurityGroup dan atur parameter SourceGroupId dalam aturan masuk untuk menentukan grup keamanan sumber.

    • Panggil AuthorizeSecurityGroupEgress dan atur parameter DestGroupId dalam aturan keluar untuk menentukan grup keamanan tujuan.

    Operasi lainnya

    Daftar awalan

    Gunakan daftar awalan untuk mengelola izin untuk beberapa rentang alamat IP secara terpusat. Hal ini menyederhanakan konfigurasi aturan grup keamanan dan meningkatkan efisiensi pemeliharaan batch.

    Konsol

    1. Buat daftar awalan:

      1. Buka Konsol ECS - Prefix Lists.

      2. Klik Create Prefix List.

        Untuk grup keamanan yang mereferensikan daftar awalan, jumlah aturan didasarkan pada jumlah maksimum entri yang ditentukan untuk daftar tersebut.

    2. Di halaman detail grup keamanan target, tambahkan atau modifikasi aturan di bagian Access Rule:

      1. Atur Source ke daftar awalan dan pilih daftar awalan target.

    API

    Aturan redundan

    Fitur pemeriksaan kesehatan dapat mengidentifikasi aturan redundan. Suatu aturan dianggap redundan jika kondisinya sepenuhnya dicakup oleh aturan lain yang memiliki prioritas sama atau lebih tinggi. Aturan redundan menghabiskan kuota aturan grup keamanan. Hapus secara berkala untuk mencegah kegagalan saat menambahkan aturan baru akibat kuota habis.

    1. Buka Konsol ECS - Security Groups. Di halaman detail grup keamanan target, klik tab Access Rule lalu klik Health Check.

    2. Di kotak dialog Health Check, pilih aturan redundan yang ingin dihapus dan klik Delete Selected Rules.

    Kloning grup keamanan

    Anda dapat mengkloning grup keamanan untuk membuat beberapa grup keamanan dengan konfigurasi yang sama secara cepat, atau untuk membuat backup grup keamanan dengan menyalinnya lintas wilayah atau jenis jaringan. Setelah dikloning, grup keamanan baru muncul di daftar grup keamanan wilayah tujuan.

    1. Buka Konsol ECS - Security Groups. Di kolom Operation grup keamanan target, klik Clone Security Group.

    2. Konfigurasikan grup keamanan tujuan. Setelah dikloning, grup keamanan baru muncul di daftar grup keamanan wilayah tujuan.

      • VPC ID: VPC tempat grup keamanan baru berada.

      • Retention Rule: Pilih opsi ini untuk mempertahankan semua aturan dari grup keamanan sumber. Aturan dengan prioritas lebih dari 100 akan ditetapkan ulang prioritasnya menjadi 100.

      • Copy Tags of Current Security Group: Tentukan apakah akan menyalin tag dari grup keamanan sumber ke grup keamanan baru.

    Aturan impor dan ekspor

    Anda dapat mengimpor dan mengekspor aturan untuk membuat backup, memulihkan, atau memigrasikannya.

    Impor aturan

    Aturan grup keamanan yang diimpor harus memenuhi persyaratan berikut:

    • Format file: JSON atau CSV.

    • Jumlah aturan: Maksimal 200 aturan dapat diimpor sekaligus.

    • Prioritas aturan: 1 hingga 100. Aturan dengan prioritas lebih dari 100 akan diabaikan.

    Saat mengimpor aturan lintas wilayah, aturan yang mereferensikan grup keamanan lain, daftar awalan, atau daftar port tidak didukung.

    1. Buka Konsol ECS - Security Groups. Di halaman detail grup keamanan target, klik Import Security Group Rule di bagian Access Rule.

    2. Di halaman Import Security Group Rule, klik Select a file, pilih file JSON atau CSV lokal, lalu klik OK.

    Jika impor gagal, Anda dapat mengarahkan kursor ke ikon peringatan untuk melihat penyebabnya.

    Ekspor aturan

    Buka Konsol ECS - Security Groups. Di halaman detail grup keamanan target, klik Export di bagian Access Rule. File aturan yang diekspor diberi nama dalam salah satu format berikut:

    • Format JSON: ecs_${region_id}_${groupID}.json.

      Contoh: Jika ID wilayah adalah cn-qingdao dan ID grup keamanan adalah sg-123, file yang diekspor diberi nama ecs_cn-qingdao_sg-123.json.

    • Format CSV: ecs_sgRule_${groupID}_${region_id}_${time}.csv.

      Contoh: Jika ID wilayah adalah cn-qingdao, ID grup keamanan adalah sg-123, dan tanggal ekspor adalah 2020-01-20, file yang diekspor diberi nama ecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv.

    Snapshot grup keamanan

    Snapshot grup keamanan dapat secara otomatis membuat backup aturan grup keamanan. Saat aturan grup keamanan diubah, sistem secara otomatis membuat snapshot. Anda dapat menggunakan snapshot untuk memulihkan aturan ke titik waktu tertentu dan mencegah kehilangan aturan akibat operasi tidak disengaja.

    Penting

    • Sistem membuat snapshot 5 menit setelah aturan diubah. Jika terjadi beberapa perubahan dalam jendela 5 menit tersebut, sistem hanya membuat satu snapshot berdasarkan aturan yang berlaku sebelum perubahan pertama.

    • Snapshot grup keamanan menggunakan Object Storage Service (OSS) untuk menyimpan data backup. OSS adalah layanan bayar sesuai penggunaan. Jika Anda menggunakan snapshot grup keamanan, Anda akan dikenai biaya untuk penyimpanan dan permintaan OSS.

    Buat kebijakan snapshot

    1. Buka Konsol ECS - Security Group Snapshots dan klik Create Security Group Snapshot Policy.

    2. Di kotak dialog Create Snapshot Policy, konfigurasikan parameter berikut:

      • Policy Name:: Masukkan nama untuk kebijakan snapshot.

      • Status: Pilih Enable atau Disable. Snapshot hanya dapat dibuat untuk grup keamanan yang diasosiasikan jika kebijakan diaktifkan.

      • Retention Period: Tentukan jumlah hari untuk menyimpan snapshot. Nilai valid: 1 hingga 30. Nilai default: 1. Snapshot yang kedaluwarsa akan dihapus secara otomatis.

      • OSS Storage Configuration: Konfigurasikan bucket OSS yang ingin digunakan untuk menyimpan data snapshot. Jika Anda mengosongkan nama bucket, sistem akan menggunakan bucket default.

    3. Klik OK.

      Saat membuat kebijakan snapshot untuk pertama kalinya, Anda akan diminta untuk mengotorisasi peran terkait layanan (SLR) ALIYUNSECURITYGROUPSNAPSHOTROLE agar dapat mengakses bucket OSS Anda. Jika peran tersebut sudah ada, Anda tidak perlu mengotorisasi ulang.

    Asosiasikan kebijakan dengan grup keamanan

    Setelah membuat kebijakan snapshot, Anda harus mengasosiasikan kebijakan tersebut dengan grup keamanan untuk mulai membuat backup aturannya.

    Saat Anda mengasosiasikan grup keamanan dengan kebijakan snapshot, sistem segera membuat snapshot untuk grup keamanan tersebut.

    1. Buka Konsol ECS - Security Group Snapshots. Temukan kebijakan snapshot dan klik Associated Security Group di kolom Operation.

    2. Di kotak dialog Associated Security Group, pilih grup keamanan yang ingin diasosiasikan.

      Anda dapat mengasosiasikan kebijakan snapshot dengan maksimal 10 grup keamanan. Satu grup keamanan dapat diasosiasikan dengan beberapa kebijakan snapshot yang memiliki pengaturan berbeda.

    3. Klik OK.

    Pulihkan aturan dari snapshot

    Penting

    Operasi pemulihan berlaku segera dan tidak dapat dibatalkan. Operasi ini akan menimpa semua aturan saat ini dalam grup keamanan dengan aturan dari snapshot.

    1. Buka halaman Konsol ECS - Security Groups dan klik ID grup keamanan target.

    2. Di halaman detail grup keamanan, klik tab Snapshots. Temukan snapshot yang ingin digunakan untuk rollback dan klik Restore Snapshot di kolom Operation.

    3. Di kotak dialog Restore Security Group, konfirmasi informasi yang akan dipulihkan.

      • Di tab Inbound dan Outbound, bandingkan Current Security Group Rules dengan Restored Security Group Rules.

      • Setelah mengonfirmasi informasi, klik OK.

    Hapus grup keamanan

    Peringatan

    Menghapus grup keamanan adalah operasi yang tidak dapat dikembalikan dan akan menghapus permanen semua aturan dalam grup keamanan tersebut. Sebelum menghapus grup keamanan, pastikan Anda telah membuat backup konfigurasinya.

    Konsol

    1. Buka Konsol ECS - Security Groups. Di kolom Operation grup keamanan target, klik Delete.

    2. Di kotak dialog Delete Security Group, konfirmasi informasi dan klik OK.

      Jika grup keamanan tidak diasosiasikan dengan instance ECS atau antarmuka jaringan elastis apa pun, tetapi kotak dialog Delete Security Group tetap menampilkan indikasi Undeletable, Anda dapat mengklik Force-delete.

    API

    Panggil DeleteSecurityGroup untuk menghapus grup keamanan.

    Grup keamanan tidak dapat dihapus dalam skenario berikut:

    • Grup keamanan diasosiasikan dengan instance ECS atau antarmuka jaringan elastis. Anda harus memutuskan asosiasi grup keamanan dari instance atau antarmuka jaringan elastis sebelum dapat menghapusnya.

    • Grup keamanan direferensikan oleh aturan di grup keamanan lain. Anda harus menghapus aturan yang mereferensikan terlebih dahulu.

    • Grup keamanan terkelola hanya dapat dilihat dan tidak dapat dihapus.

    • Perlindungan penghapusan diaktifkan untuk grup keamanan. Anda harus menonaktifkan perlindungan penghapusan lalu mencoba lagi. Jika Anda tidak dapat menonaktifkan perlindungan penghapusan, Anda tidak dapat menghapus grup keamanan tersebut.

      Perlindungan penghapusan diaktifkan jika pemanggilan operasi DeleteSecurityGroup mengembalikan kode kesalahan InvalidOperation.DeletionProtection, atau jika konsol menampilkan pesan tentang deletion protection.

    Rekomendasi produksi

    • Perencanaan grup keamanan

      • Tanggung jawab tunggal: Gunakan grup keamanan terpisah untuk beban kerja berbeda, seperti tier web, database, dan cache.

      • Isolasi lingkungan: Pisahkan grup keamanan untuk lingkungan produksi dan pengujian.

      • Konvensi penamaan: Gunakan format konsisten, seperti environment-application-purpose-sg. Contohnya, prod-mysql-db-sg.

    • Konfigurasi aturan

      • Prinsip hak istimewa minimal: Buka hanya port yang diperlukan untuk sumber yang diperlukan. Hindari membuka port manajemen seperti SSH (22) dan RDP (3389) ke 0.0.0.0/0. Akses harus selalu dibatasi hanya untuk alamat IP tetap yang tepercaya.

      • Penolakan default: Tolak semua traffic masuk secara default. Tambahkan aturan masuk untuk mengizinkan akses dari sumber tertentu ke port tertentu hanya jika diperlukan.

      • Konflik prioritas aturan: Jika instance diasosiasikan dengan beberapa grup keamanan, aturan deny dengan prioritas lebih tinggi akan menggantikan aturan allow dengan prioritas lebih rendah. Untuk troubleshooting masalah konektivitas jaringan, periksa semua grup keamanan yang diasosiasikan.

    • Manajemen perubahan

      • Hindari perubahan langsung di lingkungan produksi: Memodifikasi grup keamanan di lingkungan produksi adalah operasi berisiko tinggi. Pertama, kloning grup keamanan dan validasi perubahan di lingkungan pengujian. Setelah memastikan traffic instance tidak terpengaruh, modifikasi aturan grup keamanan di lingkungan produksi.

    Penagihan

    Grup keamanan tidak dikenai biaya.

    Batasan

    Batasan

    Grup keamanan dasar

    Grup keamanan enterprise

    Jumlah maksimum grup keamanan per akun per wilayah

    ID Kuota: q_security-groups. Lihat Lihat atau tingkatkan kuota ECS.

    Sama dengan grup keamanan dasar

    Grup keamanan per ENI

    10

    Sama dengan grup keamanan dasar

    Jumlah maksimum aturan (masuk + keluar) di semua grup keamanan per ENI

    1.000

    Sama dengan grup keamanan dasar

    Aturan yang menggunakan grup keamanan lain sebagai objek otorisasi

    20

    0. Grup keamanan enterprise tidak mendukung objek otorisasi grup keamanan, dan tidak dapat digunakan sebagai objek otorisasi dalam aturan grup keamanan lain.

    Instance ECS per grup keamanan VPC

    Tidak tetap; tergantung pada jumlah alamat IP privat yang dapat dimuat oleh grup keamanan.

    Tidak ada batasan

    Jumlah maksimum alamat IP privat per grup keamanan VPC per akun per wilayah

    6.000. Jumlah alamat IP mencakup semua jenis alamat pada ENI yang diasosiasikan (IPv4 privat utama, IPv6, IPv4 privat sekunder, awalan IPv4, dan awalan IPv6). Jika Anda memerlukan lebih dari 6.000 alamat IP privat untuk berkomunikasi melalui jaringan internal, distribusikan instance ECS ke beberapa grup keamanan dan izinkan akses antar-grup. Lihat kuota ini menggunakan ID kuota q_vpc-normal-security-group-ip-count di Pusat Kuota.

    65.536. Jumlah alamat IP mewakili total jumlah ENI (utama dan sekunder) yang diasosiasikan dengan grup keamanan.

    Port publik 25

    Dibatasi secara default karena alasan keamanan. Gunakan port 465 terenkripsi SSL untuk mengirim email sebagai gantinya.

    Sama dengan grup keamanan dasar

    FAQ

    Tidak dapat melakukan ping ke instance 

    Kegagalan ping ke instance ECS sering disebabkan oleh tidak adanya aturan grup keamanan untuk traffic ICMP masuk (protokol yang digunakan oleh perintah ping). Anda dapat menggunakan tool Diagnosis Aturan Grup Keamanan untuk mengidentifikasi masalah dengan cepat.

    1. Buka halaman Konsol ECS - Instances, temukan instance target, dan catat ID instansnya.

    2. Klik untuk membuka halaman troubleshooting self-service dan pilih wilayah target.

    3. Pilih Security Group Rule Diagnosis dan klik Start Diagnosis.

    4. Pilih ID instance yang telah dicatat dan antarmuka jaringannya yang sesuai. Lalu, klik Check.

      Dalam kebanyakan kasus, instance hanya memiliki satu antarmuka jaringan.

    5. Tinjau hasil diagnosis. Jika diagnosis menunjukkan bahwa traffic ICMP diblokir, klik Enable Port.

      Selain ICMP, tool diagnosis juga memeriksa apakah port umum berikut diizinkan: 80, 443, 22, 3389, dan 8080.

    6. Jika masalah tetap berlanjut setelah diagnosis, lihat Troubleshoot ping failures to the public IP address of an ECS instance untuk langkah troubleshooting tambahan.

    Masalah koneksi 

    Jika layanan tidak dapat diakses, kemungkinan besar grup keamanan memblokir traffic pada port yang diperlukan. Gunakan tool diagnosis aturan grup keamanan untuk mengidentifikasi masalah dengan cepat.

    1. Buka halaman Konsol ECS - Instances, temukan instance target, dan catat ID instansnya.

    2. Klik untuk membuka halaman troubleshooting self-service dan pilih wilayah target.

    3. Pilih Security group rule diagnosis dan klik Start diagnosis.

    4. Pilih ID instance yang telah dicatat dan antarmuka jaringan elastisnya. Pilih metode diagnosis untuk port layanan, klik Check, dan tinjau hasil diagnosis.

      • Deteksi satu-klik: Gunakan metode ini untuk port 80, 443, 22, 3389, atau 8080.

      • Deteksi kustom: Gunakan metode ini untuk semua port lainnya. Anda harus memasukkan informasi berikut:

        • Alamat sumber: Masukkan alamat IP publik mesin lokal atau client Anda.

        • Port tujuan: Masukkan nomor port yang digunakan oleh layanan.

        • Jenis protokol: Pilih protokol untuk port tersebut.

    Grup keamanan vs. ACL jaringan

    Fitur

    Grup keamanan

    ACL jaringan

    Cakupan

    Antarmuka jaringan elastis

    Subnet

    Statefulness

    Stateful

    Stateless

    Tujuan

    Firewall detail halus untuk instance

    Kontrol akses batas untuk subnet

    Grup keamanan ENI utama

    Grup keamanan berlaku untuk antarmuka jaringan elastis instance ECS. Grup keamanan untuk antarmuka jaringan utama instance dikonfigurasi di tab Security Group halaman detail instance. Untuk mengubah grup keamanan antarmuka jaringan utama, lihat Asosiasikan grup keamanan dengan instance.

    Izinkan akses internal Alibaba Cloud

    Tambahkan aturan grup keamanan masuk untuk mengizinkan akses dari blok CIDR 100.64.0.0/10. Alibaba Cloud menggunakan blok alamat reservasi ini untuk menjalankan pemeriksaan kesehatan dan memantau ketersediaan instance.

    Dokumen terkait