All Products
Search

This Product

    Server Load Balancer:Kontrol akses

    Document Center

    Server Load Balancer:Kontrol akses

    Last Updated:May 30, 2026

    Kontrol akses Classic Load Balancer (CLB) menyaring permintaan klien dengan mengonfigurasi daftar putih atau blacklist IP pada suatu Pendengar.

    Buat ACL

    Daftar kontrol akses (ACL) adalah kumpulan entri IP. Setelah membuat ACL dan menambahkan entri IP, Anda dapat mengaitkannya dengan suatu Pendengar untuk menerapkan kontrol akses berbasis daftar putih atau blacklist.

    Konsol

    1. Navigasi ke halaman Access Control di Konsol CLB. Di bilah navigasi atas, pilih wilayah tempat instans target dideploy, lalu klik Create ACL.

    2. Di panel Create ACL, masukkan ACL Name, pilih IP Version (IPv4 atau IPv6), tambahkan entri IP sesuai kebutuhan, lalu klik Create.

      Instans IPv4 hanya dapat dikaitkan dengan ACL IPv4, dan instans IPv6 hanya dapat dikaitkan dengan ACL IPv6. Pilih versi IP sesuai dengan instans CLB Anda.

    API

    Panggil CreateAccessControlList untuk membuat ACL.

    Tambahkan entri IP

    Setelah membuat ACL, Anda dapat menambahkan entri IP ke dalamnya.

    Konsol

    Navigasi ke halaman Access Control di Konsol CLB, lalu klik ID ACL target untuk membuka halaman detailnya. Tambahkan entri IP dengan salah satu cara berikut:

    • Tambahkan satu entri: Klik Add Entry. Di kotak dialog, masukkan IP Address/CIDR Block dan Remarks, lalu klik Add.

    • Tambahkan entri secara massal: Klik Add ACL Entries dan masukkan entri dalam format berikut:

      • Masukkan satu entri per baris. Tekan tombol Enter untuk memulai baris baru.

      • Pisahkan alamat IP atau Blok CIDR dari deskripsinya dengan tanda pipa vertikal (|). Contohnya, 192.168.1.0/24|description.

      • Anda dapat menambahkan hingga 50 entri sekaligus.

    Setelah menambahkan entri, Anda dapat menghapus atau mengekspornya dari daftar entri.

    API

    Aktifkan atau nonaktifkan kontrol akses

    Setelah membuat ACL dan menambahkan entri IP, kaitkan ACL tersebut dengan suatu Pendengar untuk mengaktifkan kontrol akses. Jika Anda tidak lagi memerlukan kontrol akses, Anda dapat menonaktifkannya kapan saja.

    Penting

    • Tidak peduli apakah Anda mengonfigurasi daftar putih atau blacklist, kontrol akses tidak berlaku jika ACL yang terkait tidak berisi entri IP apa pun. Dalam kasus ini, Pendengar meneruskan semua permintaan. Sebelum mengonfigurasi daftar putih, pastikan ACL berisi alamat IP yang ingin Anda izinkan untuk mencegah gangguan layanan.

    • Jika Anda mengaitkan beberapa ACL ke satu Pendengar, entri IP di seluruh ACL tersebut tidak boleh tumpang tindih.

    Konsol

    1. Navigasi ke halaman Instances di Konsol CLB. Di bilah navigasi atas, pilih wilayah tempat instans target dideploy, lalu klik ID instans tersebut.

    2. Klik tab Listener. Temukan Pendengar target, lalu di kolom ACL, klik Enable atau Close.

      • Enable: Di kotak dialog yang muncul, pilih Access Control Mode (Whitelist: Allows Specified IP Addresses to Access the SLB Instance atau Blacklist: Forbids Specified IP Addresses to Access the SLB Instance) dan ACL, lalu klik Save.

      • Close: Di kotak dialog konfirmasi, klik OK.

    Anda juga dapat mengaktifkan atau menonaktifkan kontrol akses di bagian Access Control pada halaman detail Pendengar.
    Anda juga dapat mengaktifkan kontrol akses saat membuat Pendengar.

    API

    Saat memanggil operasi API untuk membuat atau mengubah Pendengar, seperti CreateLoadBalancerHTTPSListener atau SetLoadBalancerHTTPSListenerAttribute, konfigurasikan kontrol akses menggunakan parameter berikut:

    • AclStatus: Menentukan apakah kontrol akses diaktifkan. Nilai valid: on dan off.

    • AclType: Jenis kontrol akses. Nilai valid: white (daftar putih) dan black (blacklist).

    • AclId: ID ACL yang terkait.

    FAQ

    Daftar putih mengizinkan semua IP

    Penyebab: ACL tidak dikaitkan dengan Pendengar (kontrol akses dinonaktifkan), atau ACL tidak berisi entri IP (ACL kosong mengizinkan seluruh traffic).

    Solusi: Buka tab Listener pada instans CLB Anda. Pastikan kolom ACL untuk Pendengar target menampilkan Enabled, dan konfirmasi bahwa ACL yang terkait berisi entri IP.

    Blacklist gagal memblokir IP

    Penyebab: Permintaan diteruskan ke CLB melalui proxy, seperti CDN atau WAF. Alamat IP sumber yang dilihat CLB adalah IP back-to-source dari proxy, bukan IP klien asli, sehingga aturan blacklist tidak berlaku.

    Solusi: Konfigurasikan blacklist IP di lapisan proxy (CDN atau WAF). Jika klien dapat melewati proxy dan mengakses CLB secara langsung, konfigurasikan daftar putih pada CLB untuk hanya mengizinkan akses dari rentang IP back-to-source proxy.

    Aturan allow/deny Nginx tidak efektif dengan Pendengar Lapisan 7

    Penyebab: Setelah traffic melewati Pendengar Lapisan 7 CLB, server backend menerima permintaan dari IP privat CLB (dari blok CIDR 100.64.0.0/10). Aturan allow/deny Nginx yang berbasis IP sumber tidak dapat mencocokkan IP klien asli.

    Solusi:

    • (Direkomendasikan) Gunakan fitur kontrol akses CLB untuk mengonfigurasi daftar putih atau blacklist IP langsung pada instans CLB.

    • Di Nginx, ambil IP klien asli dari header permintaan X-Forwarded-For, lalu konfigurasikan aturan allow/deny berdasarkan IP klien asli tersebut. Untuk detail konfigurasi, lihat Obtain the real client IP on a backend server through a CLB Layer 7 listener.

    Mengapa grup keamanan ECS tidak bisa memblokir traffic CLB?

    Penyebab: CLB berkomunikasi dengan instans ECS backend menggunakan blok CIDR 100.64.0.0/10. Secara desain, traffic dari blok CIDR ini tidak dibatasi oleh aturan masuk grup keamanan ECS.

    Solusi: Untuk membatasi akses berdasarkan alamat IP klien, konfigurasikan ACL pada CLB untuk memblokir permintaan sebelum diteruskan ke server backend.

    Tanggapan klien terhadap permintaan yang diblokir

    Deskripsi: Saat kontrol akses CLB memblokir permintaan, permintaan tersebut dijatuhkan dan tidak mengembalikan tanggapan. Klien mengalami timeout koneksi.

    Apakah daftar putih dapat melindungi dari Serangan DDoS?

    Deskripsi: Tidak. Kontrol akses CLB tidak dapat melindungi dari Serangan DDoS. Traffic dari serangan DDoS mengonsumsi sumber daya bandwidth instans sebelum mencapai lapisan kontrol akses. Serangan parah dapat memicu blackholing.

    Rekomendasi: Gunakan Anti-DDoS.

    Kontrol akses dalam skenario proxy multi-lapis

    Saat proxy Lapisan 7 dideploy di depan CLB, kontrol akses CLB hanya dapat melihat IP back-to-source dari proxy upstream langsung dan tidak dapat mengidentifikasi IP klien asli. Anda harus mengonfigurasi kontrol akses di lapisan yang tepat. Misalnya, dalam skenario integrasi WAF menggunakan Rekaman CNAME (Klien → CDN → WAF → CLB → ECS), alamat IP sumber dan rekomendasi konfigurasi kontrol akses di setiap lapisan adalah sebagai berikut.

    Dalam mode proxy transparan, sistem secara otomatis menyesuaikan rute jaringan dasar untuk mengarahkan traffic dari port Pendengar CLB ke WAF guna inspeksi keamanan. Setelah WAF memblokir Permintaan Serangan, traffic normal diteruskan kembali ke instans CLB sumber. Mode ini tidak menggunakan rentang IP back-to-source WAF terpisah, sehingga tidak diperlukan konfigurasi tambahan untuk kontrol akses CLB.

    Lapisan

    IP sumber yang teramati

    Rekomendasi

    WAF

    • Tanpa CDN, ini adalah IP klien asli.

    • Dengan CDN, ini adalah IP back-to-source CDN. Di konfigurasi akses WAF, atur client IP identification method untuk mendapatkan IP klien asli.

    Direkomendasikan: Konfigurasikan daftar putih atau blacklist IP di lapisan ini. Setelah WAF dikonfigurasi dengan benar, WAF dapat memblokir permintaan berdasarkan IP klien asli dan juga mendukung pemblokiran berbasis wilayah.

    CLB

    IP back-to-source WAF.

    Konfigurasikan daftar putih pada CLB untuk hanya mengizinkan akses dari rentang IP back-to-source WAF. Hal ini mencegah penyerang melewati WAF untuk mengakses Alamat IP publik CLB. Anda dapat melihat rentang IP back-to-source WAF di halaman Website Access di Konsol WAF.

    Backend ECS

    IP privat CLB (dari blok CIDR 100.64.0.0/10).

    Pastikan firewall host pada instans ECS (seperti iptables atau firewalld) tidak memblokir blok CIDR 100.64.0.0/10. Jika tidak, pemeriksaan kesehatan dan penerusan permintaan akan gagal.

    Penagihan

    Fitur kontrol akses itu sendiri tidak dikenai biaya tambahan. Untuk aturan penagihan instans CLB, lihat CLB billing overview.

    Kuota

    Anda dapat mengajukan peningkatan kuota untuk batasan berikut di Pusat Kuota.

    Batasan

    Nama kuota

    Batas default

    Tingkatkan kuota

    Jumlah ACL yang dapat dibuat oleh Akun Alibaba Cloud

    slb_quota_acls_num

    200

    Go to Quota Center

    Jumlah entri yang dapat ditambahkan ke setiap ACL

    slb_quota_acl_entries_num

    300

    Jumlah Pendengar yang dapat dikaitkan dengan suatu ACL

    slb_quota_acl_attached_num

    50

    Batasan berikut bersifat tetap dan tidak dapat ditingkatkan.

    Batasan

    Maksimum

    Jumlah ACL yang dapat dikaitkan dengan suatu Pendengar

    3

    Total jumlah entri IP di seluruh ACL yang dikaitkan dengan satu Pendengar

    1.000