Security group adalah firewall virtual yang mengontrol lalu lintas inbound dan outbound Application Load Balancer (ALB) berdasarkan aturan inbound dan outbound. Untuk mengizinkan atau menolak akses dari alamat IP tertentu ke instans ALB, Anda dapat menambahkan instans tersebut ke dalam security group. Security group dapat berfungsi sebagai daftar hitam atau daftar putih bagi instans ALB, serta memungkinkan penerapan kontrol akses yang lebih terperinci melalui aturan khusus.
Skenario
Secara default—baik instans ALB dikaitkan dengan security group maupun tidak—port listener-nya menerima semua permintaan inbound. Menambahkan security group yang hanya berisi aturan Allow tidak mengubah perilaku ini. Untuk membatasi akses hanya ke alamat IP tertentu, tambahkan setidaknya satu aturan Deny ke dalam security group.
Security group ALB hanya berlaku untuk lalu lintas inbound. Lalu lintas outbound (respons terhadap permintaan klien) tidak pernah dibatasi, sehingga tidak diperlukan aturan outbound.
Security group terkelola
Saat Anda membuat instans ALB, sistem secara otomatis membuat security group terkelola di virtual private cloud (VPC) yang sama. Security group ini bersifat read-only—Anda dapat melihat aturannya tetapi tidak dapat mengubahnya.
Security group terkelola berisi aturan-aturan berikut:
Priority | Action | Protocol | Source | Port range | Description |
1 | Allow | All | NLB local IP addresses | All | Mengaktifkan komunikasi antara instans ALB dan server backend-nya, serta mengizinkan traffic health check |
100 | Allow | All | 0.0.0.0/0 | All | Mengizinkan semua lalu lintas inbound secara default |
(invisible) | Deny | All | 0.0.0.0/0 | All | Aturan deny-all default yang tertanam di security group dasar dan advanced; aturan Allow dengan prioritas 100 memiliki prioritas lebih tinggi |
Jangan menambahkan aturan Deny dengan prioritas 1 yang menargetkan alamat IP lokal ALB. Aturan semacam itu bertentangan dengan security group terkelola dan dapat mengganggu komunikasi antara instans ALB dan server backend-nya. Untuk memeriksa alamat IP lokal instans ALB Anda, login ke ALB console.
Topik ini menjelaskan cara menggunakan security group sebagai daftar hitam dan daftar putih dalam dua skenario. Untuk informasi lebih lanjut tentang prioritas aturan security group, lihat Kebijakan pengurutan aturan security group.
Daftar Hitam: Konfigurasikan security group ALB untuk menolak akses dari alamat IP tertentu
Sebuah perusahaan men-deploy bisnisnya pada ALB di suatu wilayah Alibaba Cloud. Pemeriksaan keamanan mendeteksi Permintaan Serangan dari alamat IP tertentu, misalnya 121.XX.XX.12. Perilaku semacam ini dapat menyebabkan risiko bisnis dan risiko keamanan seperti kebocoran data.
Untuk mengatasi masalah ini, perusahaan dapat mengonfigurasi aturan security group untuk instans ALB guna menolak akses dari alamat IP tersebut, seperti 121.XX.XX.12. Aturan security group tersebut dapat memblokir Permintaan Serangan dari alamat IP tertentu untuk meningkatkan keamanan dan stabilitas bisnis.
Daftar Putih: Konfigurasikan security group ALB untuk mengizinkan akses hanya dari alamat IP tertentu
Sebuah perusahaan men-deploy bisnis yang berisi data sensitif pada ALB di suatu wilayah Alibaba Cloud. Untuk membatasi akses ke instans ALB, perusahaan dapat mengonfigurasi aturan security group agar hanya mengizinkan akses dari alamat IP tertentu, seperti 121.XX.XX.12. Permintaan dari alamat IP lainnya akan ditolak.
Batasan
Instans ALB yang telah di-upgrade mendukung baik security group maupun access control list (ACL) untuk mengontrol traffic masuk, sedangkan instans ALB yang belum di-upgrade hanya mendukung ACL. Untuk menggunakan security group, buatlah instans ALB baru atau hubungi account manager Anda untuk meng-upgrade instans ALB yang ada.
Security group kustom untuk instans ALB tunduk pada batasan-batasan berikut:
Mereka harus bekerja pada VPC untuk Instans ALB.
Jumlah security group kustom yang dapat dikaitkan dengan instans ALB sama dengan kuota security group untuk satu elastic network interface (ENI) instans Elastic Compute Service (ECS) dikurangi 1, yang digunakan oleh security group terkelola.
Jumlah aturan yang dapat dikaitkan dengan instans ALB sama dengan kuota aturan untuk satu ENI instans ECS dikurangi jumlah aturan dalam security group terkelola.
Satu instans ALB hanya dapat ditambahkan ke satu jenis security group kustom, yaitu dasar atau advanced. Untuk mengganti jenis security group untuk instans ALB Anda, pertama-tama hapus instans tersebut dari semua security group yang terkait, lalu tambahkan ke security group jenis lainnya.
Prasyarat
Virtual private cloud (VPC) bernama VPC1 telah dibuat di wilayah China (Hangzhou). vSwitch bernama VSW1 dibuat di Zona H dan vSwitch lain bernama VSW2 dibuat di Zona I. Untuk informasi lebih lanjut, lihat Buat VPC dan vSwitch.
Dua instans Elastic Compute Service (ECS) telah dibuat di VSW1, dan aplikasi telah dideploy di ECS01 dan ECS02.
Untuk informasi lebih lanjut tentang cara membuat instans ECS, lihat Buat instans menggunakan wizard.
Perintah berikut menunjukkan cara mendeploy aplikasi di ECS01 dan ECS02:
Nama domain telah didaftarkan, dan nomor Internet content provider (ICP) telah diperoleh untuk nama domain tersebut. Untuk informasi lebih lanjut, lihat Daftarkan nama domain di Alibaba Cloud dan Ikhtisar.
Tabel berikut menjelaskan alamat IP klien dan server. Alamat IP ini hanya untuk referensi.
Kategori | IP | Deskripsi |
ECS01 (server) |
| Server backend instans ALB. |
ECS02 (server) |
| |
Client03 | Public: 121.XX.XX.12 | Client yang mengakses instans ALB. |
Client04 | Public: 121.XX.XX.45 |
Prosedur
Langkah 1: Buat kelompok server
Login ke ALB console.
Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server group. Pada contoh ini, China (Hangzhou) dipilih.
Pada panel navigasi kiri, pilih .
Pada halaman Server Groups, klik Create Server Group.
Pada dialog Create Server Group, konfigurasikan parameter dan klik Create.
Tabel berikut menjelaskan parameter yang relevan dengan topik ini. Anda dapat menggunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola server group.
Parameter
Deskripsi
Server Group Type
Tentukan jenis server group. Pada contoh ini, Server dipilih.
Server Group Name
Masukkan nama untuk server group.
VPC
Pilih VPC tempat Anda ingin membuat server group. Pada contoh ini, VPC1 dipilih.
Backend Server Protocol
Pilih protokol backend. HTTP dipilih pada contoh ini.
Scheduling Algorithm
Algoritma penjadwalan. Pada contoh ini, Weighted Round-robin dipilih.
Pada dialog The server group is created, klik Add Backend Server.
Pada tab Backend Servers, klik Add Backend Server.
Pada panel Add Backend Server, pilih ECS01 dan ECS02 lalu klik Next.
Tentukan port dan bobot untuk server backend lalu klik OK.
Langkah 2: Buat instans ALB dan tambahkan listener
Login ke ALB console.
Pada halaman Instances, klik Create ALB.
Pada halaman pembelian, konfigurasikan parameter berikut.
Tabel berikut hanya menjelaskan sebagian parameter. Parameter lain menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan kelola instans ALB.
Region: wilayah tempat Anda ingin membuat instans ALB. Pada contoh ini, China (Hangzhou) dipilih.
Network Type: jenis jaringan instans ALB. Pada contoh ini, Public dipilih.
VPC: VPC tempat Anda ingin membuat instans ALB. Pada contoh ini, VPC1 dipilih.
Klik Buy Now dan selesaikan pembayaran.
Kembali ke halaman Instances lalu klik ID instans ALB.
Klik tab Listener lalu klik Quick Create Listener.
Pada dialog Quick Create Listener, konfigurasikan parameter dan klik OK. Pada contoh ini, listener HTTP yang mendengarkan pada port 80 dibuat. Tabel berikut menjelaskan parameter tersebut.
Parameter
Deskripsi
Listener Protocol
Pilih protokol listener. Pada contoh ini, HTTP dipilih.
Listener Port
Masukkan port listener. Pada contoh ini, 80 ditentukan.
Server Group
Pilih jenis server group pada daftar drop-down kiri dan pilih server group dari daftar drop-down kanan. Pada contoh ini, server group yang dibuat pada Langkah 1 dipilih.
Langkah 3: Konfigurasikan rekaman CNAME
Untuk produksi, kami merekomendasikan memetakan nama domain kustom ke nama domain instans ALB dengan membuat rekaman CNAME.
-
Di panel navigasi kiri, pilih .
-
Pada halaman Instances, salin nama DNS instans ALB yang telah dibuat.
-
Ikuti langkah-langkah berikut untuk menambahkan rekaman CNAME.
CatatanJika nama domain Anda didaftarkan oleh penyedia selain Alibaba Cloud, Anda harus menambahkan nama domain tersebut ke Konsol DNS Alibaba Cloud sebelum dapat mengonfigurasi resolusi DNS. Untuk informasi lebih lanjut, lihat Kelola nama domain. Jika nama domain Anda didaftarkan di Alibaba Cloud, lanjutkan ke langkah berikut.
-
Masuk ke Alibaba Cloud DNS console.
-
Pada halaman Authoritative DNS Resolution, temukan nama domain target, lalu klik Settings pada kolom Operations.
-
Pada halaman Settings, klik Add Record.
-
Pada panel Add Record, konfigurasikan rekaman CNAME dengan mengatur parameter berikut, lalu klik OK.
Parameter
Deskripsi
Record Type
Pilih CNAME dari daftar drop-down.
Hostname
Awalan nama domain Anda. Tutorial ini menggunakan @.
CatatanUntuk menggunakan domain root, atur hostname menjadi
@.Query Source
Pilih Default.
Record Value
Masukkan nama DNS instans ALB yang telah Anda salin.
TTL
Time to live (TTL) adalah durasi rekaman DNS disimpan dalam cache di server DNS. Gunakan nilai default.
-
Langkah 4: Buat security group
Buat security group di ECS console. Pada contoh ini, dua security group dibuat.
Gunakan Security Group 1 sebagai daftar hitam
Tambahkan aturan Deny yang menolak akses dari alamat IP tertentu. Pada contoh ini, dibuat security group yang menolak akses dari alamat IP publik 121.XX.XX.12. Anda dapat mempertahankan aturan security group default.
Action
Priority
Protocol Type
Port Range
Authorization Object
Deny
1
All
Destination: -1/-1
Source: 121.XX.XX.12
Gunakan Security Group 2 sebagai daftar putih
Tambahkan aturan Allow yang mengizinkan akses dari alamat IP tertentu dan aturan Deny yang menolak akses dari alamat IP lainnya. Pada contoh ini, dibuat aturan Allow yang mengizinkan akses dari alamat IP publik 121.XX.XX.12 dan aturan Deny.
Action
Priority
Protocol Type
Port Range
Authorization Object
Allow
1
All
Destination: -1/-1
Source: 121.XX.XX.12
Deny
100
All
Destination: -1/-1
Source: 0.0.0.0/0
Login ke ECS console.
Pada panel navigasi kiri, pilih .
Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat security group. Pada contoh ini, China (Hangzhou) dipilih.
Pada halaman Security Groups, klik Create Security Group.
Pada halaman Create Security Group, atur parameter pada bagian Basic Information.
Tentukan parameter berikut. Untuk informasi lebih lanjut tentang parameter lainnya, lihat Security group.
Network: Pada contoh ini, VPC dipilih.
Security Group Type: Pada contoh ini, Basic Security Group dipilih.
Pada halaman Create Security Group, atur parameter pada bagian Rules.
Klik Add Rule untuk menambahkan aturan berdasarkan konfigurasi aturan pada Security Group 1 dan Security Group 2.
Klik OK.
Langkah 5: Uji kontrol akses sebelum instans ALB ditambahkan ke security group
Gunakan Client03 dan Client04 untuk menguji ketersediaan ECS01 dan ECS02.
Login ke Client03 dan jalankan perintah
curl http://Custom domain name. PaketHello World! This is ECS01.dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client03 dapat mengakses instans ALB.
Login ke Client04 dan jalankan perintah
curl http://Custom domain name. PaketHello World! This is ECS02.dikembalikan, seperti yang ditunjukkan pada gambar berikut, yang menunjukkan bahwa Client04 dapat mengakses instans ALB.
Langkah 6: Tambahkan instans ALB ke security group dan verifikasi hasilnya
Gunakan Security Group 1 sebagai daftar hitam
Tambahkan instans ALB ke Security Group 1 yang dibuat pada Langkah 4: Buat security group untuk menguji apakah aturan dalam Security Group 1 berlaku pada instans ALB.
Login ke ALB console.
Pada bilah navigasi atas, pilih wilayah instans ALB. Pada contoh ini, China (Hangzhou) dipilih.
Pada halaman Instances, klik ID instans ALB yang ingin Anda kelola. Pada halaman detail instans, klik tab Security Groups.
Pada tab Security Groups, klik Create Security Group. Pada dialog Add ALB to Security Group, pilih Security Group 1 yang dibuat pada Langkah 4: Buat security group lalu klik OK.
Pada panel kiri, klik ID security group yang ingin Anda kelola. Anda dapat mengklik tab Inbound atau Outbound untuk melihat aturan security group.
Tabel berikut hanya menjelaskan aturan security group inbound yang relevan dengan topik ini.
Action
Priority
Protocol Type
Port Range
Authorization Object
Deny
1
All
Destination: -1/-1
Source: 121.XX.XX.12
Tambahkan instans ALB ke security group dan uji hasilnya.
Login ke Client03 dan jalankan perintah
curl http://Custom domain name. Respons diterima, seperti yang ditunjukkan pada gambar berikut, yang menunjukkan bahwa akses dari Client03 ditolak oleh instans ALB.
Login ke Client04 dan jalankan perintah
curl http://Custom domain name. PaketHello World! This is ECS01.dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client04 dapat mengakses instans ALB.
Hasil menunjukkan bahwa setelah instans ALB ditambahkan ke Security Group 1 yang berfungsi sebagai daftar hitam, aturan Deny dari Security Group 1 menolak akses dari alamat IP tertentu ke instans ALB. Alamat IP yang tidak disebutkan dalam aturan Deny tetap dapat mengakses instans ALB.
Gunakan Security Group 2 sebagai daftar putih
Tambahkan instans ALB ke Security Group 2 yang dibuat pada Langkah 4: Buat security group dan uji apakah aturan Security Group 2 berlaku pada instans ALB.
Login ke ALB console.
Pada bilah navigasi atas, pilih wilayah instans ALB. Pada contoh ini, China (Hangzhou) dipilih.
Pada halaman Instances, klik ID instans ALB yang ingin Anda kelola. Pada tab Instance Details, klik tab Security Groups.
Pada tab Security Groups, klik Create Security Group. Pada dialog Add ALB to Security Group, pilih Security Group 2 yang dibuat pada Langkah 4: Buat security group lalu klik OK.
Pada panel kiri, klik ID security group yang ingin Anda kelola. Anda dapat mengklik tab Inbound atau Outbound untuk melihat aturan security group.
Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini.
Action
Priority
Protocol Type
Port Range
Authorization Object
Yes
1
All
Destination: -1/-1
Source: 121.XX.XX.12
Deny
100
All
Destination: -1/-1
Source: All IPv4 Addresses (0.0.0.0/0)
Tambahkan instans ALB ke security group dan uji hasilnya.
Login ke Client03 dan jalankan perintah
curl http://Custom domain name. PaketHello World! This is ECS01.dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client03 dapat mengakses instans ALB.
Login ke Client04 dan jalankan perintah
curl http://Custom domain name. Respons diterima, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa akses dari Client04 ditolak oleh instans ALB.
Hasil pengujian menunjukkan bahwa setelah instans ALB ditambahkan ke Security Group 2 yang berfungsi sebagai daftar putih, hanya alamat IP dalam aturan Allow yang dapat mengakses instans ALB.
Referensi
Dokumentasi Konsol
Untuk informasi lebih lanjut tentang cara menambahkan dan menghapus instans ALB dari security group, lihat Tambahkan instans ALB ke security group.
Untuk informasi lebih lanjut tentang cara menerapkan kontrol akses untuk ALB berdasarkan listener dan port, lihat Terapkan kontrol akses tingkat port dengan security group.
Untuk perbedaan antara security group dasar dan advanced, lihat Security group dasar dan advanced.
Referensi
Konsol
Untuk mengaitkan atau memutuskan kaitan security group dengan instans ALB, lihat Kaitkan instans ALB dengan security group.
Untuk membuat daftar izin atau daftar blokir untuk instans ALB menggunakan security group, lihat Konfigurasikan security group untuk instans ALB guna menerapkan daftar izin atau daftar blokir.
Untuk informasi lebih lanjut tentang security group dasar dan security group enterprise, lihat Security group dasar dan security group enterprise.
API
LoadBalancerJoinSecurityGroup: Mengaitkan security group dengan instans Application Load Balancer.
LoadBalancerLeaveSecurityGroup: Memutuskan kaitan security group dari instans Application Load Balancer.