全部产品
Search

搜索本产品

    Elastic Compute Service:Gunakan daftar awalan untuk menyederhanakan pengelolaan aturan grup keamanan

    文档中心

    Elastic Compute Service:Gunakan daftar awalan untuk menyederhanakan pengelolaan aturan grup keamanan

    更新时间:Jul 16, 2025

    Topik ini menjelaskan cara menggunakan daftar awalan untuk menyederhanakan pengelolaan aturan grup keamanan.

    Informasi latar belakang

    Daftar awalan adalah kumpulan satu atau lebih awalan jaringan (blok CIDR). Anda dapat merujuk daftar awalan untuk mengonfigurasi aturan grup keamanan. Saat entri dalam daftar awalan dimodifikasi, semua aturan grup keamanan yang merujuk daftar tersebut juga diperbarui. Anda dapat menempatkan alamat IP yang sering digunakan dalam daftar awalan dan merujuk daftar tersebut dalam aturan grup keamanan daripada merujuk alamat IP secara individual. Dengan cara ini, Anda dapat menggabungkan aturan grup keamanan yang memiliki atribut sama kecuali objek otorisasi menjadi satu aturan yang menggunakan daftar awalan sebagai objek otorisasi, serta mengurangi beban pengelolaan aturan grup keamanan. Untuk informasi lebih lanjut tentang daftar awalan, lihat Ikhtisar.

    Skenario penggunaan

    Misalkan Anda telah merencanakan beberapa domain keamanan untuk sumber daya Anda di cloud guna memastikan keamanan sumber daya. Setiap domain keamanan sesuai dengan sebuah grup keamanan. Sumber daya publik seperti jaringan kantor di luar cloud memerlukan akses ke sumber daya Anda di beberapa domain keamanan. Sumber daya publik ini memiliki beberapa blok CIDR yang berubah-ubah.

    Jika Anda tidak menggunakan fitur daftar awalan, Anda harus mengonfigurasi beberapa aturan yang merujuk blok CIDR dari sumber daya publik sebagai objek otorisasi di beberapa grup keamanan untuk mengizinkan akses dari sumber daya publik. Aturan grup keamanan yang dikonfigurasi harus memiliki atribut yang sama kecuali objek otorisasi. Jika blok CIDR dari sumber daya publik berubah, Anda harus memodifikasi aturan terkait dari grup keamanan. Semakin banyak jumlah grup keamanan dan blok CIDR, semakin sulit untuk mengelola aturan grup keamanan.

    Jika Anda menggunakan fitur daftar awalan, Anda dapat membuat daftar awalan dari blok CIDR sumber daya publik dan mengonfigurasi aturan yang merujuk daftar awalan sebagai objek otorisasi di beberapa grup keamanan untuk mengizinkan akses dari sumber daya publik. Jika blok CIDR dari sumber daya publik berubah, Anda hanya perlu memodifikasi entri terkait dalam daftar awalan, dan aturan grup keamanan terkait juga diperbarui. Ini menghilangkan kebutuhan untuk memodifikasi aturan grup keamanan satu per satu dan menyederhanakan pengelolaan aturan grup keamanan.

    Jika Anda memiliki sumber daya di beberapa wilayah Alibaba Cloud, Anda dapat menggunakan fitur kloning untuk mengkloning daftar awalan lintas wilayah.

    Prosedur

    Bagian ini menjelaskan cara menambahkan atau memodifikasi aturan grup keamanan dengan menggunakan daftar awalan untuk menolak atau mengizinkan akses dari alamat IP tertentu. Dalam contoh-contoh ini, dua alamat IP digunakan.

    1. Masuk ke Konsol ECS.

    2. Buat daftar awalan.

      1. Di panel navigasi di sebelah kiri, pilih Network & Security > icon1 > Prefix Lists.

      2. Di sudut kiri atas bilah navigasi atas, pilih wilayah.

      3. Klik Create Prefix List.

      4. Di kotak dialog Create Prefix List, konfigurasikan parameter dan klik OK.

        Dalam contoh ini, dua entri IPv4 ditambahkan. Contoh nilai parameter dalam kotak dialog Buat Daftar Awalan:

        • Nama: RemoteLogon

        • Deskripsi: Izinkan akses dari blok CIDR dalam daftar awalan ke instance Elastic Compute Service (ECS) dalam grup keamanan.

        • Keluarga Alamat: IPv4

        • Entri Maksimum: 2

          Catatan

          Kuota aturan sumber daya (seperti grup keamanan) yang terkait dengan daftar awalan dihitung berdasarkan jumlah maksimum entri dalam daftar awalan, bukan jumlah entri aktual. Tetapkan nilai yang tepat untuk Entri Maksimum.

        • Entri: Klik Add Entries dan masukkan 192.168.1.0/24 untuk satu entri. Klik Tambah Entri lagi dan masukkan 192.168.2.0/24 untuk entri lainnya.

          Masing-masing blok CIDR di atas adalah kumpulan alamat IP berturut-turut.

          • 192.168.1.0/24: 192.168.1.0 hingga 192.168.1.255.

          • 192.168.2.0/24: 192.168.2.0 hingga 192.168.2.255.

    3. Tambahkan aturan grup keamanan yang merujuk daftar awalan.

      Ulangi langkah-langkah berikut untuk menambahkan aturan yang merujuk daftar awalan RemoteLogon untuk mengizinkan akses ke port koneksi jarak jauh di beberapa grup keamanan:

      1. Di panel navigasi di sebelah kiri, pilih Network & Security > Security Groups.

      2. Temukan grup keamanan tempat Anda ingin menambahkan aturan dan klik Manage Rules di kolom Operation.

      3. Pada tab Inbound, klik Add Rule.

        Catatan

        Dalam contoh ini, grup keamanan tipe Virtual Private Cloud (VPC) digunakan. Untuk grup keamanan tipe jaringan klasik, pilih tab berdasarkan apakah blok CIDR bersifat publik.

      4. Konfigurasikan parameter untuk menambahkan aturan dan klik Save.

        Dalam contoh ini, aturan ditambahkan untuk mengizinkan akses SSH dan Remote Desktop Protocol (RDP) ke instance ECS dalam grup keamanan. Contoh nilai parameter dalam entri aturan:

        • Tindakan: Allow

        • Prioritas: 1

        • Jenis Protokol: Custom TCP

        • Rentang Port: SSH (22) dan RDP (3389)

        • Objek Otorisasi: daftar awalan RemoteLogon

        Setelah aturan ditambahkan, blok CIDR yang terkandung dalam daftar awalan RemoteLogon diizinkan untuk terhubung ke instance dalam grup keamanan.

    4. Modifikasi entri dalam daftar awalan.

      Setelah aturan ditambahkan ke grup keamanan, jika Anda ingin menolak akses dari alamat IP tertentu yang terkandung dalam daftar awalan RemoteLogon, modifikasi entri terkait dalam daftar awalan, bukan memodifikasi aturan grup keamanan satu per satu. Sebagai contoh, misalkan Anda menggunakan instance yang alamat IP privatnya adalah 192.168.1.1 dan 192.168.2.1 sebagai server lompatan dan Anda ingin mengizinkan akses ke grup keamanan hanya dari server lompatan. Lakukan langkah-langkah berikut untuk memodifikasi entri dalam daftar awalan:

      1. Di panel navigasi di sebelah kiri, pilih Network & Security > icon1 > Prefix Lists.

      2. Temukan daftar awalan RemoteLogon dan klik View Details di kolom Actions.

      3. Klik tab Entries.

      4. Klik Modify di kolom Actions yang sesuai dengan satu entri.

      5. Ubah blok CIDR dan klik Save.

        Ulangi langkah-langkah di atas untuk memodifikasi entri lainnya. Blok CIDR dalam satu entri diubah menjadi 192.168.1.1/32, dan blok CIDR dalam entri lainnya diubah menjadi 192.168.2.1/32.

        Setelah entri dimodifikasi, modifikasi tersebut langsung berlaku. Aturan grup keamanan yang menggunakan daftar awalan RemoteLogon diperbarui untuk mengizinkan akses hanya dari 192.168.1.1/32 dan 192.168.2.1/32.

    Lebih banyak skenario penggunaan

    Bagian ini membandingkan jumlah operasi yang diperlukan untuk aturan grup keamanan yang merujuk alamat IP individu dan untuk aturan grup keamanan yang merujuk daftar awalan untuk menunjukkan keuntungan daftar awalan dalam meningkatkan efisiensi. Misalkan Anda memiliki 50 grup keamanan. Tabel berikut menggambarkan jumlah operasi yang diperlukan dalam skenario berbeda saat daftar awalan digunakan dan saat daftar awalan tidak digunakan.

    Skema

    Aturan grup keamanan yang merujuk alamat IP individu

    Aturan grup keamanan yang merujuk daftar awalan

    Tolak akses dari lima alamat IP

    Jika Anda menghapus lima aturan izin yang merujuk lima alamat IP satu per satu dari masing-masing 50 grup keamanan, diperlukan 250 operasi penghapusan. Bahkan jika Anda menghapus lima aturan izin secara massal dari setiap grup keamanan, tetap diperlukan 50 operasi penghapusan.

    Jika Anda menghapus lima entri yang berisi lima alamat IP satu per satu dari daftar awalan, diperlukan lima operasi penghapusan. Jika Anda menghapus lima entri secara massal dari daftar awalan, hanya diperlukan satu operasi penghapusan.

    Modifikasi aturan atau entri untuk mengizinkan akses dari lima alamat IP

    Jika Anda memodifikasi lima aturan di masing-masing 50 grup keamanan untuk mengizinkan akses dari lima alamat IP, diperlukan 250 operasi modifikasi.

    Jika Anda memodifikasi lima entri untuk mencakup lima alamat IP dalam daftar awalan, diperlukan lima operasi modifikasi.

    Tambahkan aturan atau entri untuk mengizinkan akses dari lima alamat IP

    Jika Anda menambahkan lima aturan di masing-masing 50 grup keamanan untuk mengizinkan akses dari lima alamat IP. Dalam hal ini, diperlukan 250 operasi penambahan. Bahkan jika Anda menambahkan satu aturan yang merujuk lima alamat IP ke setiap grup keamanan, tetap diperlukan 50 operasi penambahan.

    Jika Anda menambahkan lima entri yang mencakup lima alamat IP ke daftar awalan, diperlukan lima operasi penambahan. Jika Anda menambahkan satu entri yang mencakup lima alamat IP ke daftar awalan, hanya diperlukan satu operasi penambahan.

    Modifikasi aturan atau entri untuk mengizinkan akses dari lima alamat IP, dan tambahkan aturan atau entri untuk akses dari lima alamat IP lainnya

    Jika Anda memodifikasi lima aturan di masing-masing 50 grup keamanan untuk mengizinkan akses dari lima alamat IP dan kemudian menambahkan lima aturan ke setiap grup keamanan untuk mengizinkan akses dari lima alamat IP lainnya, total diperlukan 500 operasi. Bahkan jika Anda memodifikasi lima aturan yang merujuk lima alamat IP dan menambahkan satu aturan yang merujuk lima alamat IP lainnya di setiap grup keamanan, total tetap diperlukan 300 operasi.

    Jika Anda memodifikasi lima entri untuk mencakup lima alamat IP dan menambahkan lima entri untuk mencakup lima alamat IP lainnya dalam daftar awalan, total diperlukan 10 operasi. Jika Anda memodifikasi lima entri dan menambahkan satu entri yang mencakup lima alamat IP lainnya dalam daftar awalan, total diperlukan enam operasi.