全部产品
Search

搜索本产品

    Server Load Balancer:Tambahkan instance ALB ke kelompok keamanan

    文档中心

    Server Load Balancer:Tambahkan instance ALB ke kelompok keamanan

    更新时间:Jul 06, 2025

    Kelompok keamanan adalah firewall virtual yang melindungi keamanan instance Anda. Dengan kemampuan inspeksi stateful dan penyaringan paket, kelompok keamanan mengontrol lalu lintas masuk dan keluar dari instance yang terkait.

    Penting

    Instance ALB yang ditingkatkan mendukung kelompok keamanan dan daftar kontrol akses (ACL) untuk mengontrol lalu lintas masuk, sedangkan instance ALB yang tidak ditingkatkan hanya mendukung ACL. Untuk menggunakan kelompok keamanan, buat instance ALB baru atau hubungi manajer akun Anda untuk meningkatkan instance ALB yang ada.

    Ikhtisar kelompok keamanan

    Kelompok keamanan diklasifikasikan menjadi kelompok keamanan terkelola dan kelompok keamanan kustom. Kelompok keamanan terkelola dibuat dan dikelola oleh layanan cloud, dan Anda hanya dapat melihat tetapi tidak dapat memodifikasi, menghapus, atau menambahkan instance ke dalamnya. Kelompok keamanan kustom adalah yang Anda buat, dan berdasarkan kapasitas serta kebijakan keamanan, mereka dibagi menjadi kelompok keamanan dasar dan tingkat lanjut.

    Saat membuat instance ALB, kelompok keamanan terkelola secara otomatis dibuat di virtual private cloud (VPC) untuk instance ALB Anda. Kelompok keamanan ini mencakup aturan-aturan berikut:

    • Aturan dengan prioritas 1 yang mengizinkan lalu lintas masuk ke alamat IP lokal instance ALB Anda. Alamat IP lokal digunakan untuk pemeriksaan kesehatan pada server backend.

    • Aturan dengan prioritas 100 yang mengizinkan semua lalu lintas masuk.

    • Aturan dengan prioritas 1 yang mengizinkan semua lalu lintas keluar.

    Dengan hanya kelompok keamanan terkelola, semua lalu lintas masuk dan keluar diizinkan untuk instance ALB Anda. Untuk mencapai kontrol akses, Anda dapat menambahkannya ke kelompok keamanan kustom.

    Cara kerja aturan

    Saat instance ALB Anda ditambahkan ke kelompok keamanan kustom:

    • Jika Anda hanya mengonfigurasi aturan Izinkan, semua lalu lintas masuk dan keluar masih diizinkan.

    • Jika Anda mengonfigurasi aturan Izinkan dengan prioritas lebih tinggi dan aturan Tolak yang menolak semua alamat IP dengan prioritas terendah, hanya lalu lintas ke dan dari alamat IP yang Anda tentukan yang diizinkan.

    • Jika Anda hanya mengonfigurasi aturan Tolak, lalu lintas ke dan dari alamat IP yang Anda tentukan akan ditolak.

    Dengan menyesuaikan aturan kelompok keamanan, Anda dapat mengizinkan atau menolak akses dari alamat IP tertentu atau berdasarkan protokol dan port.

    Batasan

    Kelompok keamanan kustom untuk instance ALB tunduk pada batasan berikut:

    • Mereka harus bekerja pada VPC untuk instance ALB.

    • Jumlah kelompok keamanan kustom yang dapat dikaitkan dengan instance ALB sama dengan kuota kelompok keamanan untuk satu antarmuka jaringan elastis (ENI) dari Instance ECS dikurangi 1, yang diambil oleh kelompok keamanan terkelola.

    • Jumlah aturan yang dapat dikaitkan dengan instance ALB sama dengan kuota aturan untuk ENI satu instance ECS dikurangi jumlah aturan dalam kelompok keamanan terkelola.

    • Satu instance ALB hanya dapat ditambahkan ke satu jenis kelompok keamanan kustom, baik dasar maupun tingkat lanjut. Untuk mengubah jenis kelompok keamanan untuk instance ALB Anda, pertama-tama hapus dari semua yang terkait, lalu tambahkan ke kelompok keamanan dari jenis lainnya.

    Pertimbangan

    • Lalu lintas keluar termasuk permintaan yang ALB teruskan ke server backend dan respons yang ALB kirimkan kembali ke klien. Kami sarankan Anda tidak mengonfigurasi aturan keluar apa pun dalam kelompok keamanan untuk instance ALB Anda untuk menghindari gangguan layanan apa pun.

    • Kami sarankan Anda tidak mengonfigurasi aturan Tolak dengan prioritas 1 yang menolak lalu lintas ke dan dari alamat IP lokal instance ALB Anda. Aturan semacam itu memblokir komunikasi pemeriksaan kesehatan antara instance ALB Anda dan server backend.

    Perbandingan antara kelompok keamanan dan ACL

    Baik kelompok keamanan maupun ACL bertindak sebagai daftar hitam atau putih alamat IP untuk instance ALB, dengan perbedaan berikut:

    • Kelompok keamanan:

      • Mengontrol lalu lintas baik per-instance atau per-pendengar (jika Anda memilih port tertentu untuk diizinkan).

      • Mengizinkan alamat IP tertentu, sementara menolak yang lain.

      • Mendukung kontrol atas lalu lintas IPv4 dan IPv6.

    • ACL:

      • Mengontrol lalu lintas pada basis per-pendengar.

      • Menetapkan daftar alamat IP untuk daftar putih atau daftar hitam.

      • Hanya mendukung kontrol atas lalu lintas IPv4.

    Tambahkan instance ALB Anda ke kelompok keamanan

    Prasyarat

    • Sebuah instance ALB telah dibuat.

    • Sebuah kelompok keamanan telah dibuat dan aturan kelompok keamanan telah dikonfigurasi.

      Catatan

      Fitur kelompok keamanan untuk ALB disediakan oleh ECS. Untuk membuat, memodifikasi, atau menghapus kelompok keamanan atau mengonfigurasi aturan kelompok keamanan, kunjungi konsol ECS. Di konsol ALB, Anda hanya dapat menambahkan atau menghapus instance ALB dari kelompok keamanan yang ada dan memeriksa pengaturan kelompok keamanan untuk instance ALB Anda.

    Konsol

    1. Pergi ke Konsol ALB - Instance.

    2. Di bilah navigasi atas, pilih wilayah.

    3. Klik ID instance ALB.

    4. Di halaman detail instance, klik tab Security Groups.

    5. Klik Create Security Group.

    6. Di kotak dialog Add ALB to Security Group, pilih setidaknya satu kelompok keamanan untuk dikaitkan. Atur Resource Group untuk menyaring kelompok keamanan yang Anda inginkan. Dalam daftar drop-down Security Groups, klik Create Security Group untuk membuat kelompok keamanan baru di konsol ECS. Setelah kelompok keamanan dipilih, klik OK.

    7. Di tab Security Groups, periksa pengaturan kelompok keamanan yang terkait dengan instance ALB. Klik Create Security Group di pojok kiri atas untuk menambahkan instance ALB Anda ke lebih banyak kelompok keamanan.

      Untuk memperbarui aturan dalam kelompok keamanan, klik ECS console di pojok kanan atas atau klik ID kelompok keamanan di bagian Basic Information, lalu edit aturan di halaman detail kelompok keamanan.

    API

    Panggil operasi LoadBalancerJoinSecurityGroup.

    Hapus instance ALB Anda dari kelompok keamanan

    Konsol

    1. Pergi ke Konsol ALB - Instance.

    2. Di bilah navigasi atas, pilih wilayah.

    3. Klik ID instance ALB.

    4. Di halaman detail instance, klik tab Security Groups.

    5. Klik nama atau ID kelompok keamanan yang ingin Anda kelola, lalu klik Remove di pojok kanan atas.

    6. Di kotak dialog Remove, klik OK.

    API

    Panggil operasi LoadBalancerLeaveSecurityGroup.