All Products
Search
Document Center

Server Load Balancer:Gunakan security group sebagai daftar hitam atau daftar putih untuk ALB

Last Updated:Jul 08, 2026

Security group adalah firewall virtual yang mengontrol lalu lintas inbound dan outbound Application Load Balancer (ALB) berdasarkan aturan inbound dan outbound. Untuk mengizinkan atau menolak akses dari alamat IP tertentu ke instans ALB, Anda dapat menambahkan instans tersebut ke dalam security group. Security group dapat berfungsi sebagai daftar hitam atau daftar putih bagi instans ALB, serta memungkinkan penerapan kontrol akses yang lebih terperinci melalui aturan khusus.

Skenario

Secara default—baik instans ALB dikaitkan dengan security group maupun tidak—port listener-nya menerima semua permintaan inbound. Menambahkan security group yang hanya berisi aturan Allow tidak mengubah perilaku ini. Untuk membatasi akses hanya ke alamat IP tertentu, tambahkan setidaknya satu aturan Deny ke dalam security group.

Security group ALB hanya berlaku untuk lalu lintas inbound. Lalu lintas outbound (respons terhadap permintaan klien) tidak pernah dibatasi, sehingga tidak diperlukan aturan outbound.

Security group terkelola

Saat Anda membuat instans ALB, sistem secara otomatis membuat security group terkelola di virtual private cloud (VPC) yang sama. Security group ini bersifat read-only—Anda dapat melihat aturannya tetapi tidak dapat mengubahnya.

Security group terkelola berisi aturan-aturan berikut:

Priority

Action

Protocol

Source

Port range

Description

1

Allow

All

NLB local IP addresses

All

Mengaktifkan komunikasi antara instans ALB dan server backend-nya, serta mengizinkan traffic health check

100

Allow

All

0.0.0.0/0

All

Mengizinkan semua lalu lintas inbound secara default

(invisible)

Deny

All

0.0.0.0/0

All

Aturan deny-all default yang tertanam di security group dasar dan advanced; aturan Allow dengan prioritas 100 memiliki prioritas lebih tinggi

Penting

Jangan menambahkan aturan Deny dengan prioritas 1 yang menargetkan alamat IP lokal ALB. Aturan semacam itu bertentangan dengan security group terkelola dan dapat mengganggu komunikasi antara instans ALB dan server backend-nya. Untuk memeriksa alamat IP lokal instans ALB Anda, login ke ALB console.

Topik ini menjelaskan cara menggunakan security group sebagai daftar hitam dan daftar putih dalam dua skenario. Untuk informasi lebih lanjut tentang prioritas aturan security group, lihat Kebijakan pengurutan aturan security group.

Daftar Hitam: Konfigurasikan security group ALB untuk menolak akses dari alamat IP tertentu

Sebuah perusahaan men-deploy bisnisnya pada ALB di suatu wilayah Alibaba Cloud. Pemeriksaan keamanan mendeteksi Permintaan Serangan dari alamat IP tertentu, misalnya 121.XX.XX.12. Perilaku semacam ini dapat menyebabkan risiko bisnis dan risiko keamanan seperti kebocoran data.

Untuk mengatasi masalah ini, perusahaan dapat mengonfigurasi aturan security group untuk instans ALB guna menolak akses dari alamat IP tersebut, seperti 121.XX.XX.12. Aturan security group tersebut dapat memblokir Permintaan Serangan dari alamat IP tertentu untuk meningkatkan keamanan dan stabilitas bisnis.

Daftar Putih: Konfigurasikan security group ALB untuk mengizinkan akses hanya dari alamat IP tertentu

Sebuah perusahaan men-deploy bisnis yang berisi data sensitif pada ALB di suatu wilayah Alibaba Cloud. Untuk membatasi akses ke instans ALB, perusahaan dapat mengonfigurasi aturan security group agar hanya mengizinkan akses dari alamat IP tertentu, seperti 121.XX.XX.12. Permintaan dari alamat IP lainnya akan ditolak.

Batasan

Penting

Instans ALB yang telah di-upgrade mendukung baik security group maupun access control list (ACL) untuk mengontrol traffic masuk, sedangkan instans ALB yang belum di-upgrade hanya mendukung ACL. Untuk menggunakan security group, buatlah instans ALB baru atau hubungi account manager Anda untuk meng-upgrade instans ALB yang ada.

Security group kustom untuk instans ALB tunduk pada batasan-batasan berikut:

  • Mereka harus bekerja pada VPC untuk Instans ALB.

  • Jumlah security group kustom yang dapat dikaitkan dengan instans ALB sama dengan kuota security group untuk satu elastic network interface (ENI) instans Elastic Compute Service (ECS) dikurangi 1, yang digunakan oleh security group terkelola.

  • Jumlah aturan yang dapat dikaitkan dengan instans ALB sama dengan kuota aturan untuk satu ENI instans ECS dikurangi jumlah aturan dalam security group terkelola.

  • Satu instans ALB hanya dapat ditambahkan ke satu jenis security group kustom, yaitu dasar atau advanced. Untuk mengganti jenis security group untuk instans ALB Anda, pertama-tama hapus instans tersebut dari semua security group yang terkait, lalu tambahkan ke security group jenis lainnya.

Prasyarat

  • Virtual private cloud (VPC) bernama VPC1 telah dibuat di wilayah China (Hangzhou). vSwitch bernama VSW1 dibuat di Zona H dan vSwitch lain bernama VSW2 dibuat di Zona I. Untuk informasi lebih lanjut, lihat Buat VPC dan vSwitch.

  • Dua instans Elastic Compute Service (ECS) telah dibuat di VSW1, dan aplikasi telah dideploy di ECS01 dan ECS02.

    • Untuk informasi lebih lanjut tentang cara membuat instans ECS, lihat Buat instans menggunakan wizard.

    • Perintah berikut menunjukkan cara mendeploy aplikasi di ECS01 dan ECS02:

      Perintah untuk mendeploy aplikasi di ECS01

      yum install -y nginx
      systemctl start nginx.service
      cd /usr/share/nginx/html/
      echo "Hello World !  This is ECS01." > index.html

      Perintah untuk mendeploy aplikasi di ECS02

      yum install -y nginx
      systemctl start nginx.service
      cd /usr/share/nginx/html/
      echo "Hello World !  This is ECS02." > index.html
  • Nama domain telah didaftarkan, dan nomor Internet content provider (ICP) telah diperoleh untuk nama domain tersebut. Untuk informasi lebih lanjut, lihat Daftarkan nama domain di Alibaba Cloud dan Ikhtisar.

Tabel berikut menjelaskan alamat IP klien dan server. Alamat IP ini hanya untuk referensi.

Kategori

IP

Deskripsi

ECS01 (server)

  • Private: 192.168.10.22

  • Public: not assigned

Server backend instans ALB.

ECS02 (server)

  • Private: 192.168.10.35

  • Public: not assigned

Client03

Public: 121.XX.XX.12

Client yang mengakses instans ALB.

Client04

Public: 121.XX.XX.45

Prosedur

Langkah 1: Buat kelompok server

  1. Login ke ALB console.

  2. Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server group. Pada contoh ini, China (Hangzhou) dipilih.

  3. Pada panel navigasi kiri, pilih ALB > Server Groups.

  4. Pada halaman Server Groups, klik Create Server Group.

  5. Pada dialog Create Server Group, konfigurasikan parameter dan klik Create.

    Tabel berikut menjelaskan parameter yang relevan dengan topik ini. Anda dapat menggunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola server group.

    Parameter

    Deskripsi

    Server Group Type

    Tentukan jenis server group. Pada contoh ini, Server dipilih.

    Server Group Name

    Masukkan nama untuk server group.

    VPC

    Pilih VPC tempat Anda ingin membuat server group. Pada contoh ini, VPC1 dipilih.

    Backend Server Protocol

    Pilih protokol backend. HTTP dipilih pada contoh ini.

    Scheduling Algorithm

    Algoritma penjadwalan. Pada contoh ini, Weighted Round-robin dipilih.

  6. Pada dialog The server group is created, klik Add Backend Server.

  7. Pada tab Backend Servers, klik Add Backend Server.

  8. Pada panel Add Backend Server, pilih ECS01 dan ECS02 lalu klik Next.

  9. Tentukan port dan bobot untuk server backend lalu klik OK.

Langkah 2: Buat instans ALB dan tambahkan listener

  1. Login ke ALB console.

  2. Pada halaman Instances, klik Create ALB.

  3. Pada halaman pembelian, konfigurasikan parameter berikut.

    Tabel berikut hanya menjelaskan sebagian parameter. Parameter lain menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan kelola instans ALB.

    • Region: wilayah tempat Anda ingin membuat instans ALB. Pada contoh ini, China (Hangzhou) dipilih.

    • Network Type: jenis jaringan instans ALB. Pada contoh ini, Public dipilih.

    • VPC: VPC tempat Anda ingin membuat instans ALB. Pada contoh ini, VPC1 dipilih.

  4. Klik Buy Now dan selesaikan pembayaran.

  5. Kembali ke halaman Instances lalu klik ID instans ALB.

  6. Klik tab Listener lalu klik Quick Create Listener.

  7. Pada dialog Quick Create Listener, konfigurasikan parameter dan klik OK. Pada contoh ini, listener HTTP yang mendengarkan pada port 80 dibuat. Tabel berikut menjelaskan parameter tersebut.

    Parameter

    Deskripsi

    Listener Protocol

    Pilih protokol listener. Pada contoh ini, HTTP dipilih.

    Listener Port

    Masukkan port listener. Pada contoh ini, 80 ditentukan.

    Server Group

    Pilih jenis server group pada daftar drop-down kiri dan pilih server group dari daftar drop-down kanan. Pada contoh ini, server group yang dibuat pada Langkah 1 dipilih.

Langkah 3: Konfigurasikan rekaman CNAME

Untuk produksi, kami merekomendasikan memetakan nama domain kustom ke nama domain instans ALB dengan membuat rekaman CNAME.

  1. Di panel navigasi kiri, pilih ALB > Instances.

  2. Pada halaman Instances, salin nama DNS instans ALB yang telah dibuat.

  3. Ikuti langkah-langkah berikut untuk menambahkan rekaman CNAME.

    Catatan

    Jika nama domain Anda didaftarkan oleh penyedia selain Alibaba Cloud, Anda harus menambahkan nama domain tersebut ke Konsol DNS Alibaba Cloud sebelum dapat mengonfigurasi resolusi DNS. Untuk informasi lebih lanjut, lihat Kelola nama domain. Jika nama domain Anda didaftarkan di Alibaba Cloud, lanjutkan ke langkah berikut.

    1. Masuk ke Alibaba Cloud DNS console.

    2. Pada halaman Authoritative DNS Resolution, temukan nama domain target, lalu klik Settings pada kolom Operations.

    3. Pada halaman Settings, klik Add Record.

    4. Pada panel Add Record, konfigurasikan rekaman CNAME dengan mengatur parameter berikut, lalu klik OK.

      Parameter

      Deskripsi

      Record Type

      Pilih CNAME dari daftar drop-down.

      Hostname

      Awalan nama domain Anda. Tutorial ini menggunakan @.

      Catatan

      Untuk menggunakan domain root, atur hostname menjadi @.

      Query Source

      Pilih Default.

      Record Value

      Masukkan nama DNS instans ALB yang telah Anda salin.

      TTL

      Time to live (TTL) adalah durasi rekaman DNS disimpan dalam cache di server DNS. Gunakan nilai default.

Langkah 4: Buat security group

Buat security group di ECS console. Pada contoh ini, dua security group dibuat.

  • Gunakan Security Group 1 sebagai daftar hitam

    Tambahkan aturan Deny yang menolak akses dari alamat IP tertentu. Pada contoh ini, dibuat security group yang menolak akses dari alamat IP publik 121.XX.XX.12. Anda dapat mempertahankan aturan security group default.

    Action

    Priority

    Protocol Type

    Port Range

    Authorization Object

    Deny

    1

    All

    Destination: -1/-1

    Source: 121.XX.XX.12

  • Gunakan Security Group 2 sebagai daftar putih

    Tambahkan aturan Allow yang mengizinkan akses dari alamat IP tertentu dan aturan Deny yang menolak akses dari alamat IP lainnya. Pada contoh ini, dibuat aturan Allow yang mengizinkan akses dari alamat IP publik 121.XX.XX.12 dan aturan Deny.

    Action

    Priority

    Protocol Type

    Port Range

    Authorization Object

    Allow

    1

    All

    Destination: -1/-1

    Source: 121.XX.XX.12

    Deny

    100

    All

    Destination: -1/-1

    Source: 0.0.0.0/0

  1. Login ke ECS console.

  2. Pada panel navigasi kiri, pilih Network & Security > Security Group.

  3. Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat security group. Pada contoh ini, China (Hangzhou) dipilih.

  4. Pada halaman Security Groups, klik Create Security Group.

  5. Pada halaman Create Security Group, atur parameter pada bagian Basic Information.

    Tentukan parameter berikut. Untuk informasi lebih lanjut tentang parameter lainnya, lihat Security group.

    • Network: Pada contoh ini, VPC dipilih.

    • Security Group Type: Pada contoh ini, Basic Security Group dipilih.

  6. Pada halaman Create Security Group, atur parameter pada bagian Rules.

    1. Klik Add Rule untuk menambahkan aturan berdasarkan konfigurasi aturan pada Security Group 1 dan Security Group 2.

    2. Klik OK.

Langkah 5: Uji kontrol akses sebelum instans ALB ditambahkan ke security group

Gunakan Client03 dan Client04 untuk menguji ketersediaan ECS01 dan ECS02.

  1. Login ke Client03 dan jalankan perintah curl http://Custom domain name. Paket Hello World! This is ECS01. dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client03 dapat mengakses instans ALB.

    image

  2. Login ke Client04 dan jalankan perintah curl http://Custom domain name. Paket Hello World! This is ECS02. dikembalikan, seperti yang ditunjukkan pada gambar berikut, yang menunjukkan bahwa Client04 dapat mengakses instans ALB.

    image

Langkah 6: Tambahkan instans ALB ke security group dan verifikasi hasilnya

Gunakan Security Group 1 sebagai daftar hitam

Tambahkan instans ALB ke Security Group 1 yang dibuat pada Langkah 4: Buat security group untuk menguji apakah aturan dalam Security Group 1 berlaku pada instans ALB.

  1. Login ke ALB console.

  2. Pada bilah navigasi atas, pilih wilayah instans ALB. Pada contoh ini, China (Hangzhou) dipilih.

  3. Pada halaman Instances, klik ID instans ALB yang ingin Anda kelola. Pada halaman detail instans, klik tab Security Groups.

  4. Pada tab Security Groups, klik Create Security Group. Pada dialog Add ALB to Security Group, pilih Security Group 1 yang dibuat pada Langkah 4: Buat security group lalu klik OK.

  5. Pada panel kiri, klik ID security group yang ingin Anda kelola. Anda dapat mengklik tab Inbound atau Outbound untuk melihat aturan security group.

    Tabel berikut hanya menjelaskan aturan security group inbound yang relevan dengan topik ini.

    Action

    Priority

    Protocol Type

    Port Range

    Authorization Object

    Deny

    1

    All

    Destination: -1/-1

    Source: 121.XX.XX.12

  6. Tambahkan instans ALB ke security group dan uji hasilnya.

    1. Login ke Client03 dan jalankan perintah curl http://Custom domain name. Respons diterima, seperti yang ditunjukkan pada gambar berikut, yang menunjukkan bahwa akses dari Client03 ditolak oleh instans ALB.

      image

    2. Login ke Client04 dan jalankan perintah curl http://Custom domain name. Paket Hello World! This is ECS01. dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client04 dapat mengakses instans ALB.

      image

Hasil menunjukkan bahwa setelah instans ALB ditambahkan ke Security Group 1 yang berfungsi sebagai daftar hitam, aturan Deny dari Security Group 1 menolak akses dari alamat IP tertentu ke instans ALB. Alamat IP yang tidak disebutkan dalam aturan Deny tetap dapat mengakses instans ALB.

Gunakan Security Group 2 sebagai daftar putih

Tambahkan instans ALB ke Security Group 2 yang dibuat pada Langkah 4: Buat security group dan uji apakah aturan Security Group 2 berlaku pada instans ALB.

  1. Login ke ALB console.

  2. Pada bilah navigasi atas, pilih wilayah instans ALB. Pada contoh ini, China (Hangzhou) dipilih.

  3. Pada halaman Instances, klik ID instans ALB yang ingin Anda kelola. Pada tab Instance Details, klik tab Security Groups.

  4. Pada tab Security Groups, klik Create Security Group. Pada dialog Add ALB to Security Group, pilih Security Group 2 yang dibuat pada Langkah 4: Buat security group lalu klik OK.

  5. Pada panel kiri, klik ID security group yang ingin Anda kelola. Anda dapat mengklik tab Inbound atau Outbound untuk melihat aturan security group.

    Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini.

    Action

    Priority

    Protocol Type

    Port Range

    Authorization Object

    Yes

    1

    All

    Destination: -1/-1

    Source: 121.XX.XX.12

    Deny

    100

    All

    Destination: -1/-1

    Source: All IPv4 Addresses (0.0.0.0/0)

  6. Tambahkan instans ALB ke security group dan uji hasilnya.

    1. Login ke Client03 dan jalankan perintah curl http://Custom domain name. Paket Hello World! This is ECS01. dikembalikan, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa Client03 dapat mengakses instans ALB.

      image

    2. Login ke Client04 dan jalankan perintah curl http://Custom domain name. Respons diterima, seperti yang ditunjukkan pada gambar berikut. Paket ini menunjukkan bahwa akses dari Client04 ditolak oleh instans ALB.

      image

Hasil pengujian menunjukkan bahwa setelah instans ALB ditambahkan ke Security Group 2 yang berfungsi sebagai daftar putih, hanya alamat IP dalam aturan Allow yang dapat mengakses instans ALB.

Referensi

Dokumentasi Konsol

Referensi

Konsol

API