Aplikasi global memproses permintaan dari pengguna di seluruh dunia dan memerlukan manajemen terpusat atas lalu lintas masuk dan keluar. Global Accelerator (GA) mengandalkan bandwidth BGP berkualitas tinggi dan jaringan transmisi global dari Alibaba Cloud untuk menyediakan layanan akselerasi jaringan yang andal dan berperforma tinggi. Firewall internet dari Cloud Firewall memberikan kemampuan kontrol lalu lintas granular dan perlindungan. Anda dapat menggunakan GA bersama dengan Cloud Firewall untuk meningkatkan keamanan, performa, dan stabilitas aplikasi.
Skenario
Aplikasi perusahaan diterapkan di wilayah AS (Silicon Valley), dan sebagian besar klien berada di Tiongkok. Perusahaan tersebut menghadapi masalah berikut:
Jaringan lintas batas tidak stabil. Masalah seperti latensi tinggi, jitter jaringan, dan kehilangan paket sering terjadi.
Serangan jahat, crawler, dan permintaan dari non-pengguna di wilayah di luar Tiongkok mengancam keamanan aplikasi, meningkatkan beban server, dan mempengaruhi performa keseluruhan.
Untuk menyelesaikan masalah ini dan meningkatkan pengalaman pengguna, perusahaan menggunakan GA. Perusahaan juga menggunakan fitur kontrol akses dari firewall internet Cloud Firewall untuk memblokir lalu lintas dari wilayah di luar Tiongkok.
Batasan
Firewall internet dari Cloud Firewall melindungi jenis aset berikut: instance GA dan alamat IP yang dipercepat dari tipe elastic IP address (EIP) type. Alamat IP yang dipercepat harus memenuhi persyaratan berikut:
Instance GA tempat alamat IP yang dipercepat milik harus merupakan instance standard GA instance.
Alamat IP yang dipercepat harus bertipe EIP.
Wilayah akselerasi tempat alamat IP yang dipercepat milik tidak boleh menjadi titik kehadiran (POP) Alibaba Cloud.
Untuk memeriksa apakah wilayah akselerasi adalah POP Alibaba Cloud, panggil operasi ListAvailableBusiRegions.
Prasyarat
Aplikasi diterapkan pada server asal.
Dalam contoh ini, sistem operasi Alibaba Cloud Linux 3 digunakan. NGINX digunakan untuk mengonfigurasi layanan HTTP backend yang menggunakan port 80.
Cloud Firewall telah dibeli. Untuk informasi lebih lanjut, lihat Pembelian Cloud Firewall.
Prosedur
Langkah 1: Konfigurasikan instance GA
Dalam contoh ini, instance GA standar bayar sesuai pemakaian digunakan.
Pada halaman di konsol GA, klik Create Standard Pay-as-you-go Instance.
Pada langkah Basic Instance Configuration, konfigurasikan informasi dasar dan klik Next.
Pada langkah Configure Acceleration Area, tambahkan wilayah akselerasi, alokasikan bandwidth ke wilayah tersebut, lalu klik Next.
Dalam contoh ini, wilayah Tiongkok (Hong Kong) digunakan. Parameter Acceleration Area disetel ke China (Hong Kong) dan parameter ISP Line Type disetel ke BGP (Multi-ISP). Anda dapat menggunakan nilai default untuk parameter lain atau memodifikasi parameter berdasarkan kebutuhan bisnis. Untuk informasi lebih lanjut, lihat Tambah dan Kelola Area Akselerasi.
PentingJika Anda menentukan nilai kecil untuk bandwidth maksimum, throttling mungkin terjadi dan paket mungkin dijatuhkan. Tentukan bandwidth maksimum berdasarkan kebutuhan bisnis Anda.
Pada langkah Configure listeners, konfigurasikan protokol penerusan dan port, lalu klik Next.
Dalam contoh ini, parameter Protocol disetel ke HTTP dan parameter Port disetel ke 80. Anda dapat menggunakan nilai default untuk parameter lain atau memodifikasi parameter berdasarkan kebutuhan bisnis. Untuk informasi lebih lanjut tentang cara mengonfigurasi listener, lihat Tambah dan Kelola Listener Routing Cerdas.
Pada langkah Configure an endpoint group, konfigurasikan endpoint dan klik Next.
Dalam contoh ini, Region disetel ke US (Silicon Valley), Backend Service Type disetel ke Custom IP, dan Backend Service disetel ke alamat IP publik server asal. Bacalah dan pilih Compliance Commitments Regarding Cross-border Data Transfers. Anda dapat menggunakan nilai default untuk parameter lain atau memodifikasi parameter berdasarkan kebutuhan bisnis. Untuk informasi lebih lanjut tentang cara mengonfigurasi grup endpoint, lihat Tambah dan Kelola Listener Routing Cerdas.
Pada langkah Configuration Review, konfirmasikan konfigurasi dan klik Submit.
(Opsional) Setelah membuat instance GA, Anda dapat mengklik ID instance pada halaman Instances untuk melihat konfigurasi instance. Di halaman detail instance, Anda dapat mengklik tab seperti Instance Information, Listeners, dan Acceleration Areas untuk melihat lebih banyak detail.
Sebagai contoh, Anda dapat melihat alamat IP yang dipercepat dari instance GA dari tab Acceleration Areas.
Langkah 2: Konfigurasikan Cloud Firewall
Pada halaman Pengaturan Firewall di konsol Cloud Firewall, klik tab Internet Firewall. Pada tab IPv4, temukan alamat IP yang dipercepat dari instance GA dan aktifkan perlindungan.
Anda dapat menyetel tipe aset ke GA EIP dan memasukkan ID instance GA untuk menyaring aset. Jika Protected ditampilkan di kolom Status Firewall, perlindungan telah diaktifkan. Untuk informasi lebih lanjut tentang cara mengaktifkan firewall internet, lihat Firewall Internet.
Pada halaman di konsol Cloud Firewall, klik tab Inbound dan klik Create Policy.
Di panel Create Inbound Policy, klik tab Create Policy, konfigurasikan kebijakan, lalu klik OK. Kemudian, buat buku alamat sesuai petunjuk.
Dalam contoh ini, Anda dapat merujuk pada tabel berikut untuk konfigurasi. Anda dapat memodifikasi kebijakan berdasarkan kebutuhan bisnis. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kontrol Akses untuk Firewall Internet.
Parameter
Deskripsi
Contoh
Source Type
Penginisiasi lalu lintas jaringan. Anda harus memilih jenis sumber dan memasukkan alamat sumber dari mana lalu lintas jaringan dimulai berdasarkan jenis sumber yang dipilih.
Location
Source
All Locations Outside China
Destination Type
Penerima lalu lintas jaringan. Anda harus memilih jenis tujuan dan memasukkan alamat tujuan ke mana lalu lintas jaringan dikirim berdasarkan jenis tujuan yang dipilih.
IP
Destination
Masukkan alamat IP yang dipercepat dari GA. Gunakan akhiran /32.
Protocol Type
Protokol lapisan transport. Nilai valid: TCP, UDP, ICMP, dan ANY. Jika Anda tidak mengetahui jenis protokol, pilih ANY.
ANY
Port Type
Tipe port dan nomor port dari tujuan.
Port
Port
0/0, yang menunjukkan semua port
Application
Jenis aplikasi lalu lintas.
ANY
Action
Aksi pada lalu lintas jika lalu lintas memenuhi kondisi yang Anda tentukan untuk kebijakan kontrol akses. Nilai valid:
Allow: Trafik diizinkan.
Deny: Lalu lintas ditolak, dan tidak ada notifikasi yang dikirim.
Monitor: Lalu lintas dicatat dan diizinkan. Anda dapat mengamati lalu lintas selama periode waktu tertentu dan mengubah tindakan kebijakan menjadi Allow atau Deny berdasarkan kebutuhan bisnis Anda.
Deny
Priority
Prioritas kebijakan kontrol akses. Nilai default: Lowest. Nilai valid:
Highest
Policy Validity Period
Periode berlakunya kebijakan kontrol akses. Kebijakan hanya dapat digunakan untuk mencocokkan lalu lintas selama periode berlaku.
Always
Enabling Status
Tentukan apakah akan mengaktifkan kebijakan. Jika Anda mematikan Status Aktivasi saat membuat kebijakan kontrol akses, Anda dapat mengaktifkan kebijakan dalam daftar kebijakan kontrol akses.
Enabled
Langkah 3: Verifikasi hasil
Verifikasi kebijakan kontrol akses
Dalam contoh ini, permintaan dikirim dari klien di wilayah Tiongkok (Hong Kong) dan Jerman (Frankfurt).
Di wilayah Tiongkok (Hong Kong) dan Jerman (Frankfurt), akses alamat IP yang dipercepat dari GA di browser untuk memeriksa apakah layanan backend dapat diakses.
Klien di wilayah Tiongkok (Hong Kong) mengakses alamat IP yang dipercepat dari instance GA. Hasil berikut dikembalikan.
Klien di wilayah Jerman (Frankfurt) mengakses alamat IP yang dipercepat dari instance GA. Hasil berikut dikembalikan.
Hasil menunjukkan bahwa kebijakan kontrol akses dari Cloud Firewall berfungsi dan lalu lintas dari wilayah di luar Tiongkok diblokir.
Dalam daftar kebijakan kontrol akses, lihat jumlah hit di kolom Hits/Last Hit At dari kebijakan akses. Anda dapat mengklik jumlah hit untuk pergi ke halaman Traffic Logs untuk melihat detail lalu lintas.
Sebagai contoh, Anda dapat menyetel Destination IP Address ke alamat IP yang dipercepat dari GA dan Application Identification Status ke Blocked by Policy untuk melihat detail lalu lintas yang diblokir.
Anda juga dapat melihat serangan dan log operasi di halaman Log Audit. Untuk informasi lebih lanjut, lihat Audit Operasi.
Di tab Status Perlindungan halaman Pencegahan Intrusi, Anda dapat melihat statistik dan detail data perlindungan.
Sebagai contoh, Anda dapat menyetel alamat IP tujuan ke alamat IP yang dipercepat dari GA untuk melihat detail perlindungan.
Untuk informasi lebih lanjut tentang kemampuan pencegahan intrusi, lihat Pencegahan Intrusi.
Verifikasi performa akselerasi GA
Dalam contoh ini, alat deteksi instan digunakan di wilayah Tiongkok (Hong Kong). Sebelum dan sesudah GA dikonfigurasi, alamat IP publik server asal dan alamat IP yang dipercepat dari instance GA dideteksi untuk memeriksa performa akselerasi. Untuk informasi lebih lanjut, lihat Gunakan Alat Deteksi Jaringan untuk Memverifikasi Performa Akselerasi.
Mulai deteksi untuk alamat IP yang dipercepat dari GA untuk memeriksa latensi jaringan setelah GA dikonfigurasi.
Mulai deteksi untuk alamat IP publik server asal untuk memeriksa latensi jaringan sebelum GA dikonfigurasi.
Hasil pengujian menunjukkan bahwa latensi jaringan transmisi data dari wilayah Tiongkok (Hong Kong) ke wilayah AS (Silicon Valley) berkurang.
Performa akselerasi bervariasi berdasarkan beban kerja aktual.
Referensi
Untuk informasi lebih lanjut tentang cara GA dibebankan, lihat Penagihan GA.
Untuk informasi lebih lanjut tentang cara Cloud Firewall dibebankan, lihat Penagihan.
Untuk informasi lebih lanjut tentang kemampuan perlindungan Cloud Firewall, lihat Fungsi dan Fitur.