Aplikasi global harus menangani akses dari pengguna di seluruh dunia serta memerlukan manajemen terpusat dan perlindungan terhadap seluruh lalu lintas inbound maupun outbound. Global Accelerator GA memanfaatkan bandwidth Border Gateway Protocol (BGP) premium Alibaba Cloud dan jaringan transmisi global untuk menyediakan layanan akselerasi jaringan yang andal dan berkinerja tinggi. Firewall internet dari Cloud Firewall menyediakan kemampuan kontrol dan perlindungan lalu lintas dengan detail halus. Dengan mengintegrasikan GA dan Cloud Firewall, Anda dapat meningkatkan keamanan, kinerja, dan stabilitas aplikasi secara signifikan.
Contoh skenario
Sebuah perusahaan men-deploy aplikasinya di US (Silicon Valley), dengan sebagian besar klien berlokasi di Tiongkok. Perusahaan tersebut menghadapi dua masalah utama:
-
Ketidakstabilan jaringan publik lintas batas menyebabkan latency, jitter, dan packet loss yang sering terjadi bagi klien.
-
Lalu lintas dari luar negeri mencakup proporsi tinggi serangan berbahaya, web crawler, dan kunjungan dari pengguna non-target. Hal ini tidak hanya menimbulkan risiko keamanan, tetapi juga menghasilkan lalu lintas yang tidak perlu, meningkatkan beban server, dan menurunkan kinerja keseluruhan.
Untuk mengatasi masalah tersebut, perusahaan memutuskan menggunakan GA untuk meningkatkan pengalaman akses bagi klien di Tiongkok dan menggunakan fitur kebijakan kontrol akses Batas Internet dari Cloud Firewall untuk memblokir lalu lintas dari luar Tiongkok.
Batasan
Firewall internet Cloud Firewall mendukung jenis aset jaringan publik berikut: alamat IP yang dipercepat dari GA (yaitu tipe GA EIP), tetapi alamat IP yang dipercepat ini harus memenuhi kondisi berikut:
-
Instans GA tempat alamat IP yang dipercepat tersebut berasal harus merupakan Standard Instance.
-
Tipe alamat IP yang dipercepat harus berupa Elastic IP Address.
-
Wilayah akselerasi dari alamat IP yang dipercepat tidak boleh merupakan titik kehadiran (POP) Alibaba Cloud.
Untuk memeriksa apakah suatu wilayah akselerasi merupakan POP Alibaba Cloud, lihat ListAvailableBusiRegions.
Prasyarat
-
Server origin Anda telah menjalankan layanan aplikasi.
Dokumen ini menggunakan Alibaba Cloud Linux 3 sebagai sistem operasi dan mengonfigurasi layanan backend HTTP 80 menggunakan Nginx.
-
Anda telah membeli layanan Cloud Firewall. Untuk informasi lebih lanjut, lihat Pembelian layanan Cloud Firewall.
Prosedur
Langkah 1: Konfigurasi instans GA
Dokumen ini menggunakan instans GA medium bayar sesuai penggunaan sebagai contoh.
Di halaman di Konsol Global Accelerator, klik Create Standard Pay-as-you-go Instance.
Pada langkah Basic Instance Configuration, konfigurasi parameter dan klik Next.

Pada langkah Configure Acceleration Area, tambahkan area percepatan, alokasikan bandwidth ke wilayah tersebut, lalu klik Next.
Pada contoh ini, atur parameter Acceleration Area menjadi China (Hong Kong), dan ISP Line Type menjadi BGP (Multi-ISP). Anda dapat menggunakan nilai default untuk parameter lain atau menyesuaikannya sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Tambah dan kelola area percepatan.
PentingJika Anda memerlukan area percepatan di Tiongkok daratan, Anda harus memiliki Pendaftaran ICP untuk nama domain guna menyediakan layanan.
Rencanakan bandwidth yang Anda butuhkan secara tepat. Bandwidth maksimum yang tidak mencukupi dapat menyebabkan throttling dan masalah packet loss.

-
Di halaman wizard Configure Listeners, atur protokol dan port forwarding, lalu klik Next.
Pada skenario ini, atur Protocol menjadi HTTP dan Port menjadi 80. Biarkan parameter listener lainnya pada nilai default atau sesuaikan sesuai kebutuhan.
-
Di halaman wizard Configure an Endpoint Group, konfigurasi layanan backend untuk titik akhir dan klik Next.
Pada skenario ini, pilih US (Silicon Valley) untuk Region, pilih Custom IP untuk Backend Service Type, masukkan alamat IP publik server origin Anda untuk Backend Service, baca dan pilih Compliance Commitments Regarding Cross-border Data Transfers, dan biarkan parameter kelompok titik akhir lainnya pada nilai default atau sesuaikan sesuai kebutuhan.

-
Di halaman wizard Configuration Review, konfirmasi pengaturan GA Anda dan klik Submit.
-
Opsi: Setelah pembuatan selesai, di daftar detail tugas, klik Go to Instance Details. Di halaman detail instans, lihat informasi konfigurasi di tab seperti Instance Information, Listeners, dan Acceleration Areas.
Misalnya, alamat IP yang dipercepat untuk GA dapat diperoleh dari tab Acceleration Areas.
Langkah 2: Konfigurasi Cloud Firewall
-
Di halaman Firewall Switch di Konsol Cloud Firewall, pilih tab Internet Firewall. Di tab IPv4, temukan alamat IP yang dipercepat untuk GA Anda, lalu klik Actions di kolom Enable Protection.
Anda dapat memilih tipe aset sebagai GA EIP dan memasukkan ID instans GA untuk memfilter aset. Setelah diaktifkan, kolom status firewall akan menampilkan Protected, yang menunjukkan bahwa perlindungan telah berhasil diaktifkan. Untuk informasi lebih lanjut tentang cara mengaktifkan switch firewall, lihat Firewall internet.
-
Di Konsol Cloud Firewall, navigasikan ke . Pilih tab Inbound dan klik Create Policy.
-
Di panel Create Inbound Policy, pilih tab Create Policy, konfigurasi kebijakan, klik OK, dan ikuti petunjuk untuk membuat buku alamat jika diperlukan.
Untuk skenario ini, gunakan pengaturan dalam tabel berikut. Sesuaikan sesuai kebutuhan kasus penggunaan Anda. Untuk instruksi lengkap tentang konfigurasi kebijakan kontrol akses, lihat Konfigurasi kebijakan kontrol akses Batas Internet.
Item konfigurasi
Deskripsi
Nilai contoh untuk skenario ini
Source Type
Pihak yang memulai lalu lintas jaringan. Pilih tipe sumber dan masukkan alamat sumber yang mengirimkan lalu lintas.
Location
Source
All Locations Outside China (wilayah di luar Tiongkok)
Destination Type
Penerima lalu lintas jaringan. Pilih tipe tujuan dan masukkan alamat tujuan yang menerima lalu lintas.
IP, masukkan alamat IP yang dipercepat dari GA (dengan akhiran /32)
Protocol Type
Tipe protokol lapisan transport. Opsi meliputi TCP, UDP, ICMP, dan ANY. Pilih ANY jika Anda tidak yakin dengan protokol spesifiknya.
ANY
Application
Atur tipe aplikasi untuk lalu lintas masuk.
ANY
Port
Atur tipe port tujuan dan port tujuan.
Port. Masukkan 0/0 untuk mengizinkan semua port.
Action
Tentukan cara penanganan lalu lintas yang cocok dengan kebijakan ini.
-
Allow: Izinkan lalu lintas.
-
Deny: Blokir lalu lintas tanpa mengirimkan notifikasi apa pun.
-
Monitor: Izinkan lalu lintas secara default. Setelah memantau selama periode tertentu, ubah aksi menjadi Allow atau Deny sesuai kebutuhan.
Deny
Priority
Atur prioritas kebijakan. Nilai default adalah Lowest, artinya prioritas terendah.
Highest
Policy Validity Period
Atur periode waktu berlakunya kebijakan. Lalu lintas hanya dicocokkan dengan kebijakan selama periode ini.
Always
Status
Aktifkan atau nonaktifkan kebijakan. Jika Anda membuat kebijakan dalam keadaan nonaktif, Anda dapat mengaktifkannya nanti dari daftar kebijakan.
Enable
-
Langkah 3: Verifikasi hasil
Verifikasi efektivitas kebijakan kontrol akses Cloud Firewall
Dokumen ini menguji akses dari klien di Tiongkok (Hong Kong) dan Jerman (Frankfurt).
-
Dari klien di wilayah Tiongkok (Hong Kong) dan Jerman (Frankfurt), akses alamat IP yang dipercepat dari GA melalui browser dan periksa apakah Anda dapat mengakses layanan backend secara normal.
-
Klien di wilayah Tiongkok (Hong Kong) mengakses alamat IP yang dipercepat dari GA, dan hasilnya sebagai berikut: klien di wilayah Tiongkok (Hong Kong) berhasil mengakses layanan backend, dan halaman menampilkan
Hello World! This is the Silicon Valley data center test page. Saat klien di wilayah Jerman (Frankfurt) mengakses alamat IP yang dipercepat dari GA, hasilnya sebagai berikut:
Halaman tampak kosong dan gagal memuat konten dengan benar, menunjukkan bahwa kebijakan kontrol akses Cloud Firewall telah berhasil memblokir permintaan akses dari wilayah tersebut.
Verifikasi menegaskan bahwa konfigurasi kebijakan kontrol akses Batas Internet dari Cloud Firewall telah berlaku dan berhasil memblokir lalu lintas dari wilayah di luar Tiongkok.
-
-
Di Daftar Kebijakan Kontrol Akses, periksa kolom Hits untuk melihat jumlah pencocokan kebijakan. Klik jumlah hit untuk menuju halaman Traffic Logs guna melihat detailnya.
Sebagai contoh, Anda dapat mengatur Destination IP Address dalam kondisi kueri menjadi alamat IP yang dipercepat dari GA, dan Application Protocol Detection Status menjadi Blocked by Policy, untuk melihat detail lalu lintas yang diblokir.
Dalam tabel catatan lalu lintas yang difilter, kolom Action menampilkan Drop dan kolom Rule Source menampilkan Access Control, yang mengonfirmasi intersepsi berhasil oleh kebijakan kontrol akses.
Anda juga dapat menggunakan Log Audit untuk meninjau peristiwa serangan dan log operasi. Untuk informasi lebih lanjut, lihat Audit log.
-
Di halaman Pencegahan Intrusi, di bawah tab Perlindungan Internet, lihat statistik perlindungan dan catatan perlindungan detail.
Sebagai contoh, Anda dapat memasukkan alamat IP yang dipercepat yang alamat IP tujuannya adalah GA di atas daftar detail perlindungan untuk mencari dan melihat detail perlindungan Cloud Firewall terhadap lalu lintas serangan.
Untuk informasi lebih lanjut tentang kemampuan pencegahan intrusi, lihat Pencegahan intrusi.
Verifikasi efektivitas akselerasi GA
Dokumen ini menggunakan titik deteksi di Tiongkok (Hong Kong) sebagai contoh. Gunakan tool probe satu kali untuk melakukan probe jaringan terhadap alamat IP publik server origin dan alamat IP yang dipercepat dari GA sebelum dan setelah Anda mengonfigurasi GA, lalu bandingkan hasilnya untuk mengevaluasi efek akselerasi. Untuk langkah-langkah spesifik, lihat Gunakan tool probe jaringan untuk menguji kinerja akselerasi.
-
Lakukan probe jaringan terhadap alamat IP yang dipercepat dari GA untuk memeriksa latency jaringan setelah mengonfigurasi GA.

-
Probe alamat IP publik server origin untuk memeriksa latency jaringan sebelum konfigurasi GA.

Verifikasi menegaskan bahwa GA mengurangi latency bagi klien di Tiongkok (Hong Kong) saat mengakses layanan di US (Silicon Valley).
Hasil akselerasi GA yang sebenarnya bergantung pada pengujian bisnis spesifik Anda.
Referensi
-
Untuk informasi lebih lanjut tentang cara penagihan GA, lihat Ikhtisar penagihan GA.
-
Untuk mempelajari cara penagihan Cloud Firewall, lihat Ikhtisar penagihan Cloud Firewall.
-
Untuk mempelajari lebih lanjut tentang kemampuan mitigasi Cloud Firewall, lihat Perbandingan fitur.