Konfigurasikan grup keamanan untuk kontrol akses tingkat listener pada NLB - Server Load Balancer

Untuk meningkatkan keamanan cloud, Anda dapat mengontrol akses ke instans NLB berdasarkan protokol, port, atau alamat IP menggunakan grup keamanan. Berbeda dengan Classic Load Balancer (CLB) yang menggunakan access control lists (ACLs), NLB memanfaatkan grup keamanan untuk menyediakan kontrol akses instance-wide yang lebih detail berdasarkan protokol dan port. Topik ini menjelaskan cara mengonfigurasi grup keamanan guna mengontrol akses ke masing-masing listener pada instans NLB.

Skenario

Topik ini menjelaskan tiga skenario yang menunjukkan cara mengontrol akses ke instans NLB menggunakan grup keamanan. Contoh-contoh tersebut menggunakan instans NLB yang dikonfigurasi dengan listener TCP pada port 80 dan satu lagi pada port 81.

Skenario	Aturan grup keamanan	Hasil yang diharapkan	Prosedur terkait
1: Instans NLB tidak dikaitkan dengan grup keamanan.	Secara default, port listener NLB mengizinkan semua lalu lintas.	Contoh ini menggunakan instans NLB dengan listener TCP pada port 80 dan 81. Klien dapat mengakses listener TCP pada port 80 instans NLB. Klien dapat mengakses listener TCP pada port 81 instans NLB.	Langkah 2: Buat instans NLB dan konfigurasikan listener
2: Instans NLB dikaitkan dengan grup keamanan.	Tolak akses ke port TCP 81. Catatan Hanya aturan grup keamanan yang relevan dengan topik ini yang tercantum. Aturan default tidak ditampilkan.	Klien dapat mengakses listener TCP pada port 80 instans NLB. Klien tidak dapat mengakses listener TCP pada port 81 instans NLB.	Langkah 4: Tambahkan instans NLB ke grup keamanan dan verifikasi hasilnya
3: Grup keamanan yang dikaitkan dengan instans NLB dimodifikasi.	Tolak akses ke port TCP 80. Tolak akses ke port TCP 81. Catatan Hanya aturan grup keamanan yang relevan dengan topik ini yang tercantum. Aturan default tidak ditampilkan.	Klien tidak dapat mengakses listener TCP pada port 80 instans NLB. Klien tidak dapat mengakses listener TCP pada port 81 instans NLB.	Langkah 5: Modifikasi grup keamanan dan verifikasi hasilnya

Batasan

Item	Detail
Jenis grup keamanan yang didukung	Grup keamanan dasar, grup keamanan tingkat lanjut
Jenis grup keamanan yang tidak didukung	Grup keamanan managed
VPC yang sama diperlukan	Grup keamanan dan instans NLB harus berada dalam VPC yang sama
Jumlah maksimum grup keamanan	Hingga 4 grup keamanan per instans NLB
Jenis campuran tidak diizinkan	Semua grup keamanan yang dikaitkan dengan instans NLB harus memiliki jenis yang sama. Untuk beralih dari dasar ke tingkat lanjut, hapus terlebih dahulu instans NLB dari grup keamanan dasar. Untuk beralih dari tingkat lanjut ke dasar, hapus terlebih dahulu instans NLB dari grup keamanan tingkat lanjut
Perhitungan kuota	Slot grup keamanan yang tersedia = kuota grup keamanan ENI untuk ECS − 1 (dicadangkan untuk grup keamanan managed)
Kuota aturan grup keamanan	Slot aturan yang tersedia = kuota aturan grup keamanan ENI untuk ECS − jumlah aturan dalam grup keamanan managed
Instans lama	Instans NLB yang dibuat sebelum 30 September 2022 (selama pratinjau publik) tidak dapat ditambahkan ke grup keamanan. Ganti instans tersebut atau beli yang baru untuk menggunakan fitur ini

Untuk detail perbedaan antara grup keamanan dasar dan tingkat lanjut, lihat Grup keamanan dasar dan tingkat lanjut.

Prasyarat

Anda telah membuat VPC bernama VPC1. Untuk informasi selengkapnya, lihat Buat dan kelola VPC.
Anda telah membuat dua instans ECS, ECS01 dan ECS02, di VPC1 untuk berfungsi sebagai server backend untuk instans NLB. Layanan aplikasi diterapkan pada kedua instans ECS tersebut.
- Untuk informasi selengkapnya tentang cara membuat instans ECS, lihat Buat instans menggunakan wizard.
- Topik ini menggunakan contoh penerapan aplikasi berikut pada ECS01 dan ECS02:
  Perintah penerapan untuk ECS01
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01." > index.html
```
  Perintah penerapan untuk ECS02
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS02." > index.html
```
Anda telah mendaftarkan nama domain, menyelesaikan pendaftaran ICP, dan mengonfigurasi rekaman CNAME untuk instans NLB.

Langkah 1: Buat grup server

Masuk ke Konsol NLB.
Di bilah navigasi atas, pilih wilayah tempat grup server diterapkan. Dalam contoh ini, China (Hangzhou) dipilih.
Di panel navigasi kiri, pilih NLB > Server Groups.
Pada halaman Server Groups, klik Create Server Group.

Di kotak dialog Create Server Group, konfigurasikan parameter berikut dan klik Create.

Bagian ini hanya menjelaskan parameter yang relevan dengan topik ini. Anda dapat mempertahankan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Buat grup server.

Parameter	Deskripsi
Server Group Type	Pilih jenis grup server. Dalam contoh ini, Server dipilih.
Server Group Name	Masukkan nama untuk grup server. Dalam contoh ini, `RS01` digunakan.
VPC	Pilih VPC dari daftar drop-down. Dalam contoh ini, VPC1 dipilih.
Backend Server Protocol	Pilih protokol untuk server backend. Dalam contoh ini, TCP dipilih.
Scheduling Algorithm	Pilih algoritma penjadwalan. Dalam contoh ini, Weighted Round-Robin dipilih.

Di kotak dialog The server group is created, klik Add Backend Server.
Di tab Backend Servers, klik Add Backend Server.
Di panel Add Backend Server, pilih instans ECS01 dan ECS02 yang telah Anda buat, lalu klik Next.
Atur port dan bobot untuk server yang ditambahkan, lalu klik OK.

Langkah 2: Buat instans NLB dan konfigurasikan listener

Masuk ke Konsol NLB.
Di bilah navigasi atas, pilih wilayah tempat instans NLB diterapkan. Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman Instances, klik Create NLB.
Di halaman pembelian NLB (Pay-As-You-Go), konfigurasikan parameter berikut dan klik Create Now.
Bagian ini hanya menjelaskan parameter yang relevan dengan topik ini. Untuk informasi selengkapnya tentang parameter lainnya, lihat Buat instans NLB.
- Pilih wilayah. Dalam contoh ini, China (Hangzhou) dipilih.
- Network Type: Dalam contoh ini, Internal-facing dipilih.
- VPC: Dalam contoh ini, VPC1 dipilih.
Kembali ke halaman Instances, temukan instans NLB yang telah dibuat, lalu klik ID instans NLB.

Klik tab Listener. Di tab Listener, klik Quick Create Listener. Di kotak dialog Quick Create Listener, konfigurasikan parameter berikut untuk membuat listener TCP pada port 80, lalu klik OK.

Konfigurasi listener	Deskripsi
Listener Protocol	Pilih protokol listener. Dalam contoh ini, TCP dipilih.
Listener Port	Masukkan port listener. Dalam contoh ini, port `80` digunakan.
Server Group	Pilih Server dan grup server di bawah Server. Dalam contoh ini, grup server RS01 yang Anda buat di Langkah 1: Buat grup server dipilih.

Di tab Listener, klik Quick Create Listener. Di kotak dialog Quick Create Listener, konfigurasikan parameter berikut untuk membuat listener TCP pada port 81, lalu klik OK.

Konfigurasi listener	Deskripsi
Listener Protocol	Pilih protokol listener. Dalam contoh ini, TCP dipilih.
Listener Port	Masukkan port listener. Dalam contoh ini, port `81` digunakan.
Server Group	Pilih Server dan grup server backend di bawah Server. Dalam contoh ini, grup server RS01 yang Anda buat di Langkah 1: Buat grup server dipilih.

Verifikasi aksesibilitas instans NLB sebelum dikaitkan dengan grup keamanan.
1. Masuk ke client Linux yang memiliki akses internet. Jika Anda menggunakan sistem CentOS dan Telnet belum diinstal, Anda dapat menjalankan perintah yum install -y telnet untuk menginstalnya.
2. Jalankan perintah telnet <domain_name> 80 untuk menguji apakah client dapat mengakses port TCP 80 instans NLB.
  Tanggapan berikut menunjukkan bahwa koneksi berhasil.
```
Trying *.*.*.*...
Connected to www.example.com.
Escape character is '^]'.
```
  Masukkan nama domain dan nomor port, seperti http://<domain_name>:80, di browser Anda. Halaman yang mirip dengan gambar berikut menunjukkan bahwa instans NLB dapat meneruskan permintaan ke server backend.
3. Jalankan perintah telnet <domain_name> 81 untuk menguji apakah client dapat mengakses port TCP 81 instans NLB.
```
Trying *.*.*.*...
Connected to www.example.com.
Escape character is '^]'.
```
  Masukkan nama domain dan nomor port, seperti http://<domain_name>:81, di browser Anda. Halaman yang mirip dengan gambar berikut menunjukkan bahwa instans NLB dapat meneruskan permintaan ke server backend.
4. Hasil pengujian menunjukkan bahwa ketika instans NLB tidak dikaitkan dengan grup keamanan, klien dapat mengakses listener TCP pada port 80 maupun listener TCP pada port 81.

Langkah 3: Buat grup keamanan

Sebelum menambahkan instans NLB ke grup keamanan, Anda harus terlebih dahulu membuat grup keamanan di Konsol ECS.

Masuk ke Konsol ECS.
Di panel navigasi kiri, di bawah Network & Security, klik Security Groups.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat grup keamanan. Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman Security Groups, klik Create Security Group.
Di halaman Create Security Group, konfigurasikan parameter di bagian Basic Information.
Bagian ini hanya menjelaskan parameter yang relevan dengan topik ini. Untuk informasi selengkapnya tentang parameter lainnya, lihat Buat grup keamanan.
- Network: Dalam contoh ini, VPC bernama VPC1 dipilih.
- Security Group Type: Dalam contoh ini, Basic Security Group dipilih.

Di halaman Create Security Group, konfigurasikan parameter di bagian Rules.

Klik Add Rule. Di halaman Create Security Group Rule, tambahkan aturan inbound untuk menolak akses ke port 81 berdasarkan parameter berikut. Kemudian, tambahkan aturan inbound kedua untuk mengizinkan akses ke port 80 dengan prioritas yang sama. Klik OK.

Parameter	Deskripsi
Traffic Direction	Pilih Inbound.
Action	Pilih Deny.
Priority	Pertahankan nilai default 1.
Protocol Type	Pilih Custom TCP.
Source	Pilih `0.0.0.0/0`.
Port Range	Masukkan nomor port `81`.
Description	Masukkan deskripsi untuk aturan grup keamanan.

Langkah 4: Kaitkan instans NLB dan verifikasi

Kaitkan instans NLB dengan grup keamanan yang Anda buat di Langkah 3: Buat grup keamanan dan verifikasi bahwa aturan grup keamanan berlaku untuk instans NLB.

Masuk ke Konsol NLB.
Di bilah navigasi atas, pilih wilayah tempat instans NLB diterapkan. Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman NLB Instances, temukan instans NLB yang dibuat di Langkah 2: Buat instans NLB dan konfigurasikan listener dan klik ID instans tersebut. Di tab Instance Details, klik tab Security Groups.
Di tab Security Groups, klik Create Security Group. Di kotak dialog Add NLB Instance to Security Group, pilih grup keamanan yang dibuat di Langkah 3: Buat grup keamanan, lalu klik OK.
Di daftar sebelah kiri, klik ID grup keamanan target. Anda kemudian dapat mengklik tab Inbound atau Outbound untuk melihat aturan grup keamanan.
Hanya aturan inbound grup keamanan yang relevan yang ditampilkan di sini. Aturan untuk grup keamanan yang dikaitkan dengan instans NLB adalah sebagai berikut:
Action
Priority
Protocol type
Port range
Source
Allow
1
Custom TCP
Destination: 80/80
Source: 0.0.0.0/0
Deny
1
Custom TCP
Destination: 81/81
Source: 0.0.0.0/0
Verifikasi hasil akses setelah mengaitkan instans NLB dengan grup keamanan.
1. Masuk ke client Linux yang memiliki akses internet.
2. Jalankan perintah telnet <domain_name> 80 untuk menguji apakah client dapat mengakses listener TCP pada port 80 instans NLB.
  Tanggapan berikut menunjukkan bahwa koneksi berhasil.
```
Trying *.*.*.*...
Connected to www.example.com.
Escape character is '^]'.
```
  Masukkan nama domain dan nomor port, seperti http://<domain_name>:80, di browser Anda. Halaman yang mirip dengan gambar berikut menunjukkan bahwa instans NLB dapat meneruskan permintaan ke server backend.
3. Jalankan perintah telnet <domain_name> 81 untuk menguji apakah client dapat mengakses listener TCP pada port 81 instans NLB.
  Jika Anda menerima pesan tanggapan seperti di bawah ini, artinya client tidak dapat mengakses port 81 listener TCP instans NLB. Ini juga berarti bahwa grup keamanan tempat instans NLB ditambahkan sedang memberlakukan kontrol akses pada instans NLB.
```
Trying *.*.*.*...
telnet: connect to address *.*.*.*: Connection timed out
Trying *.*.*.*...
telnet: connect to address *.*.*.*: Connection timed out
```
  Masukkan nama domain dan nomor port di browser Anda, misalnya http://domain_name:81. Jika halaman web tidak dapat diakses, ini menunjukkan bahwa klien tidak dapat mengakses port 81 listener TCP untuk instans NLB, dan kontrol akses grup keamanan tempat instans NLB ditambahkan telah berlaku pada instans NLB.

Langkah 5: Modifikasi grup keamanan dan verifikasi

Modifikasi aturan grup keamanan dan verifikasi bahwa aturan yang diperbarui untuk instans NLB berlaku.

Kembali ke halaman NLB Instances, temukan instans NLB yang dibuat di Langkah 2: Buat instans NLB dan konfigurasikan listener, lalu klik ID instans tersebut. Di tab Instance Details, klik tab Security Groups.
Untuk memodifikasi aturan grup keamanan, klik ID grup keamanan di bagian Basic Information. Atau, di tab Security Groups, klik ECS Console. Kedua tindakan ini akan membawa Anda ke halaman Security Group Details.
Di halaman Security Group Details, temukan aturan yang mengizinkan akses ke port TCP 80. Di kolom Actions, klik Modify, lalu ubah Action menjadi Deny.
Hanya aturan grup keamanan yang relevan yang ditampilkan di sini. Aturan grup keamanan yang dimodifikasi adalah sebagai berikut:
Action
Priority
Protocol type
Port range
Source
Deny
1
Custom TCP
Destination: 80/80
Source: 0.0.0.0/0
Deny
1
Custom TCP
Destination: 81/81
Source: 0.0.0.0/0
Verifikasi hasil akses setelah memodifikasi aturan grup keamanan untuk instans NLB.
1. Masuk ke client Linux yang memiliki akses internet.
2. Jalankan perintah telnet <domain_name> 80 untuk menguji apakah client dapat mengakses listener TCP pada port 80 instans NLB.
  Pesan tanggapan seperti di bawah ini menunjukkan bahwa client tidak dapat mengakses port 80 listener TCP instans NLB. Ini mengonfirmasi bahwa kontrol akses aturan grup keamanan yang dimodifikasi untuk instans NLB telah berlaku.
```
Trying *.*.*.*...
telnet: connect to address *.*.*.*: Connection timed out
Trying *.*.*.*...
telnet: connect to address *.*.*.*: Connection timed out
```
  Masukkan nama domain dan nomor port di browser, misalnya http://domain_name:80. Jika halaman web tidak dapat diakses, ini menunjukkan bahwa client tidak dapat mengakses port 80 listener TCP untuk instans NLB dan kontrol akses grup keamanan tempat instans NLB ditambahkan telah berlaku pada instans NLB.
3. Jalankan perintah telnet <domain_name> 81 untuk menguji apakah client dapat mengakses listener TCP pada port 81 instans NLB.
  Jika Anda menerima pesan tanggapan seperti di bawah ini, artinya client tidak dapat mengakses port 81 listener TCP instans NLB dan aturan grup keamanan yang dimodifikasi untuk kontrol akses pada instans NLB telah berlaku.
```
Trying *.*.*.*...
telnet: connect to address *.*.*.*: Connection timed out
Trying *.*.*.*...
telnet: connect to address *.*.*.*: Connection timed out
```
  Masukkan nama domain dan nomor port di browser Anda, misalnya http://domain_name:81. Jika halaman web tidak dapat diakses, ini menunjukkan bahwa client tidak dapat mengakses port 81 listener TCP instans NLB, dan kontrol akses grup keamanan untuk instans NLB telah berlaku pada instans NLB.

Topik terkait

Untuk informasi tentang cara mengaitkan atau memutuskan kaitan instans NLB dengan grup keamanan, lihat Kaitkan instans NLB dengan grup keamanan.
Untuk mengizinkan atau menolak akses dari alamat IP tertentu ke instans NLB, lihat Gunakan grup keamanan sebagai allowlist atau blocklist.
Untuk informasi selengkapnya tentang grup keamanan, lihat Grup keamanan.
LoadBalancerJoinSecurityGroup: Mengaitkan grup keamanan dengan instans NLB.
LoadBalancerLeaveSecurityGroup: Memutuskan kaitan grup keamanan dari instans NLB.

Action	Priority	Protocol type	Port range	Source
Allow	1	Custom TCP	`Destination: 80/80`	`Source: 0.0.0.0/0`
Deny	1	Custom TCP	`Destination: 81/81`	`Source: 0.0.0.0/0`

Action	Priority	Protocol type	Port range	Source
Deny	1	Custom TCP	`Destination: 80/80`	`Source: 0.0.0.0/0`
Deny	1	Custom TCP	`Destination: 81/81`	`Source: 0.0.0.0/0`