Konfigurasi security group untuk kontrol akses blacklist dan whitelist pada instans NLB - Network Load Balancer

Jika Anda perlu menolak atau mengizinkan akses dari alamat IP tertentu ke instans NLB, Anda dapat mengaitkan instans tersebut dengan security group untuk mengontrol lalu lintasnya. Dengan mengonfigurasi aturan security group, Anda dapat menerapkan blacklist atau whitelist guna mencapai kontrol akses yang presisi.

Kasus penggunaan

Sebelum instans NLB ditambahkan ke security group, port listener instans NLB menerima semua permintaan secara default.
Setelah instans NLB ditambahkan ke security group yang tidak berisi aturan Deny apa pun, port listener instans NLB tetap menerima semua permintaan secara default. Jika Anda hanya ingin mengizinkan permintaan dari alamat IP tertentu ke instans NLB, Anda harus membuat setidaknya satu aturan Deny.

Jika instans NLB Anda memiliki persyaratan kontrol akses dan Anda ingin mengontrol inbound traffic ke instans NLB, Anda dapat menambahkan instans NLB ke security group dan mengonfigurasi aturan security group sesuai kebutuhan bisnis Anda.

Penting

Lalu lintas keluar dari Instans NLB mengacu pada tanggapan yang dikembalikan ke permintaan pengguna. Untuk memastikan layanan Anda tidak terpengaruh, grup keamanan NLB tidak membatasi lalu lintas keluar. Anda tidak perlu mengonfigurasi aturan keluar untuk grup keamanan.
Saat instans NLB dibuat, sistem secara otomatis membuat managed security group di VPC tempat instans NLB berada. Security group ini dikendalikan oleh instans NLB, sehingga Anda dapat melihat detailnya tetapi tidak dapat mengubahnya. Managed security group mencakup jenis aturan security group berikut:
- Aturan dengan prioritas 1: Aturan ini mengizinkan alamat IP lokal yang digunakan oleh instans NLB agar komunikasi antara instans dan server backend-nya, serta pemeriksaan kesehatan (health checks), dapat berjalan.
  Kami menyarankan agar Anda tidak menambahkan aturan security group dengan prioritas 1 yang menolak alamat IP lokal instans NLB untuk menghindari konflik, karena konflik tersebut dapat mengganggu komunikasi antara instans NLB dan server backend. Anda dapat login ke NLB console untuk memeriksa alamat IP lokal instans NLB Anda.
- Aturan dengan prioritas 100: Aturan ini mengizinkan semua alamat IP. Tanpa adanya aturan deny yang dikonfigurasi, instans NLB dalam security group ini akan memeriksa semua permintaan menggunakan listener-nya.
- Aturan kontrol akses default (yang tidak terlihat) baik pada kelompok keamanan dasar maupun kelompok keamanan tingkat lanjut mencakup aturan yang menolak semua permintaan. Dalam kasus ini, aturan izin default dalam managed security group untuk instans NLB tetap berlaku.

Topik ini menjelaskan dua skenario penggunaan security group untuk menerapkan blacklist dan whitelist. Untuk informasi tentang cara memprioritaskan aturan security group, lihat Prioritas aturan security group.

Blacklist: Tolak akses dari alamat IP tertentu

Whitelist: Izinkan akses hanya dari alamat IP tertentu

Batasan

Item

Jenis security group

Deskripsi

Security group yang didukung oleh NLB

Common security group
Enterprise security group

Security group dan instans NLB harus berada dalam virtual private cloud (VPC) yang sama.
Jumlah security group serta jumlah aturan security group yang dapat dikaitkan dengan instans NLB mengikuti batasan pada security group Elastic Compute Service (ECS).
- Jumlah security group yang dapat dikaitkan dengan instans NLB = Kuota security group untuk elastic network interface (ENI) instans ECS - 1 (digunakan oleh managed security group)
- Jumlah aturan security group yang dapat dikaitkan dengan instans NLB = Kuota aturan security group untuk ENI instans ECS - Jumlah aturan security group dalam managed security group
Anda dapat menambahkan instans NLB ke maksimal empat security group. Security group yang dikaitkan dengan instans NLB harus memiliki jenis yang sama.
Jika instans NLB telah ditambahkan ke kelompok keamanan dasar dan Anda ingin menambahkannya ke kelompok keamanan tingkat lanjut, Anda harus menghapus instans NLB dari kelompok keamanan dasar tersebut. Sebaliknya, jika instans NLB telah ditambahkan ke kelompok keamanan tingkat lanjut dan Anda ingin menambahkannya ke kelompok keamanan dasar, Anda harus menghapus instans NLB dari kelompok keamanan tingkat lanjut tersebut.
Instans NLB yang dibuat sebelum 30 September 2022 selama masa pratinjau publik tidak dapat ditambahkan ke security group. Untuk menggunakan security group, gantilah instans NLB tersebut atau beli instans NLB baru.

Untuk informasi lebih lanjut tentang kelompok keamanan dasar dan kelompok keamanan tingkat lanjut, lihat Kelompok keamanan dasar dan tingkat lanjut.

Security group yang tidak didukung oleh NLB

Managed security group

Untuk informasi lebih lanjut tentang managed security group, lihat Managed security groups.

Prasyarat

Buat empat instans ECS. Untuk informasi lebih lanjut, lihat Buat instans menggunakan wizard.

ECS01 dan ECS02 digunakan sebagai server backend untuk instans NLB, dan aplikasi dideploy pada kedua instans tersebut.
Perintah berikut menunjukkan contoh cara mendeploy aplikasi uji coba pada ECS01 dan ECS02:
Perintah untuk mendeploy layanan pada ECS01
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS01." > index.html
```
Perintah untuk mendeploy layanan pada ECS02
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World ! This is ECS02." > index.html
```
ECS03 dan ECS04 adalah instans dengan Alamat IP publik yang digunakan untuk mengakses instans NLB. Anda juga dapat menggunakan server Linux yang sudah ada untuk mengakses instans NLB, sehingga tidak perlu membuat ECS03 dan ECS04.

Anda telah mendaftarkan nama domain, memperoleh Pendaftaran ICP untuknya, dan mengonfigurasi Rekaman CNAME untuk memetakan nama domain kustom Anda ke instans NLB.

Tabel berikut mencantumkan konfigurasi instans ECS yang digunakan dalam topik ini sebagai referensi.

Kategori	Konfigurasi ECS	VPC	Alamat IP	Deskripsi
ECS01	Jenis instans: ecs.u1-c1m1.large CPU & Memori: 2 vCPU, 2 GiB Sistem operasi: Alibaba Cloud Linux 3.2104 LTS 64-bit Jenis jaringan: VPC	VPC01	Private: 192.168.0.24 Publik: Tidak ada	Bertindak sebagai server backend untuk instans NLB.
ECS02		VPC01	Private: 192.168.0.37 Publik: Tidak ada	Bertindak sebagai server backend untuk instans NLB.
ECS03		VPC02	Private: 192.168.0.25 Publik: 47.XX.XX.55	Bertindak sebagai klien untuk mengakses instans NLB.
ECS04		VPC02	Private: 192.168.0.26 Publik: 101.XX.XX.251	Bertindak sebagai klien untuk mengakses instans NLB.

Langkah 1: Buat server group

Login ke NLB console.
Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server group. Contoh ini menggunakan China (Hangzhou).
Di panel navigasi kiri, pilih NLB > Server Groups.

Pada halaman Server Group, klik Create Server Group.

Pada dialog Create Server Group, konfigurasikan parameter berikut lalu klik Create.

Topik ini hanya menjelaskan parameter utama. Anda dapat mempertahankan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat server group.

Parameter	Deskripsi
Server Group Type	Pilih jenis untuk server group. Pada contoh ini, dipilih Server.
Server Group Name	Masukkan nama untuk server group. Contoh ini menggunakan RS01.
VPC	Pilih VPC dari daftar drop-down. Contoh ini menggunakan VPC01, yaitu VPC yang sama tempat ECS01 dan ECS02 berada.
Backend Server Protocol	Pilih protokol untuk server backend. Pada contoh ini, dipilih TCP.

Pada dialog The server group is created, klik Add Backend Server.
Pada tab Backend Servers, klik Add Backend Server.
Pada panel Add Backend Server, pilih instans ECS01 dan ECS02 yang telah Anda buat, lalu klik Next.
Atur port dan bobot untuk server backend, lalu klik OK. Pada contoh ini, port diatur ke 80, dan bobot default digunakan.

Langkah 2: Buat instans NLB dan listener

Di panel navigasi kiri, pilih NLB > Instances. Pada halaman Instances, klik Create NLB.
Pada halaman Network Load Balancer (Pay-As-You-Go), lengkapi konfigurasi berikut.
Topik ini hanya menjelaskan parameter utama. Untuk informasi tentang parameter lainnya, lihat Buat instans.
- Region: Contoh ini menggunakan China (Hangzhou).
- Network Type: Contoh ini menggunakan Public.
- VPC: Contoh ini menggunakan VPC01.
Klik Buy Now dan ikuti petunjuk di layar untuk menyelesaikan pembelian.
Kembali ke halaman Instances, temukan instans NLB yang baru dibuat, lalu klik ID instans NLB tersebut.

Klik tab Listener. Pada tab Listener, klik Quick Create Listener. Pada dialog Quick Create Listener, konfigurasikan parameter berikut untuk membuat listener TCP pada port 80, lalu klik OK.

Parameter	Deskripsi
Listener Protocol	Pilih protokol untuk listener. Pada contoh ini, dipilih TCP.
Listener Port	Masukkan port listener. Contoh ini menggunakan 80.
Server Group	Pilih Server dan server group di bawah Server. Contoh ini menggunakan server group yang dibuat pada Langkah 1: Buat server group.

Verifikasi akses ke instans NLB sebelum dikaitkan dengan security group. Gunakan perintah curl -s http://whatismyip.akamai.com/ untuk mengidentifikasi Alamat IP publik klien saat ini.
1. Login ke instans ECS03 dan jalankan perintah telnet <domain_name> 80 untuk menguji akses ke instans NLB.
  Respons seperti yang ditunjukkan pada gambar berikut menandakan koneksi berhasil.
2. Login ke instans ECS04. Jalankan perintah telnet <domain_name> 80 untuk menguji akses ke instans NLB.
  Respons seperti yang ditunjukkan pada gambar berikut menandakan koneksi berhasil.
Hasil: Sebelum instans NLB dikaitkan dengan security group, baik ECS03 maupun ECS04 dapat mengaksesnya dengan sukses.

Langkah 3: Buat security group

Sebelum menambahkan instans NLB Anda ke security group, Anda harus membuat security group di ECS console. Buat dua security group dengan aturan berikut.

Security group 1 (untuk blacklist)
Tambahkan aturan dengan kebijakan deny. Contoh ini menolak akses dari Alamat IP publik instans ECS03 (47.XX.XX.55). Anda dapat mempertahankan aturan security group default.
Kebijakan
Prioritas
Protokol
Rentang port
Obyek otorisasi
Deny
1
All
Destination: -1/-1
Source: 47.XX.XX.55
Security group 2 (untuk whitelist)
Tambahkan aturan allow dan aturan deny. Contoh ini mengizinkan akses dari Alamat IP publik instans ECS03 (47.XX.XX.55) dan menolak semua traffic lainnya, seperti yang ditunjukkan pada tabel berikut.
Kebijakan
Prioritas
Protokol
Rentang port
Obyek otorisasi
Allow
1
All
Destination: -1/-1
Source: 47.XX.XX.55
Deny
100
All
Destination: -1/-1
Source: 0.0.0.0/0

Login ke ECS console.
Di panel navigasi kiri, pilih Network & Security > Security Groups.
Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat security group. Contoh ini menggunakan China (Hangzhou).
Pada halaman Security Groups, klik Create Security Group.
Pada halaman Create Security Group, konfigurasikan parameter pada bagian Basic Information.
Topik ini hanya menjelaskan parameter utama. Untuk informasi tentang parameter lainnya, lihat Buat security group.
- Network: Contoh ini menggunakan VPC1, yaitu VPC yang sama tempat instans NLB berada.
- Security Group Type: Contoh ini menggunakan Basic Security Group.
Pada halaman Create Security Group, konfigurasikan parameter pada bagian Rules.
1. Pada tab Inbound, klik 手动添加 dan buat aturan berdasarkan konfigurasi untuk Security group 1 (untuk blacklist) dan Security group 2 (untuk whitelist).
2. Klik Create Security Group.

Langkah 4: Tambahkan ke security group dan verifikasi

Blacklist

Tambahkan instans NLB ke Security Group 1 yang dibuat pada Langkah 3: Buat security group, lalu verifikasi bahwa aturan dalam Security Group 1 mengontrol akses ke instans NLB.

Login ke NLB console.
Pada bilah navigasi atas, pilih wilayah tempat instans NLB dideploy. Contoh ini menggunakan China (Hangzhou).
Pada halaman NLB Instances, temukan instans NLB yang dibuat pada Langkah 2: Buat instans NLB dan konfigurasi listener, lalu klik ID instans tersebut. Pada tab Instance Details, klik tab Security Groups.
Pada tab Security Groups, klik Create Security Group. Pada dialog Add NLB Instance to Security Group, pilih security group yang dibuat pada Langkah 3: Buat security group, lalu klik OK.
Di panel kiri, klik ID security group target. Anda dapat mengklik tab Inbound Policies atau Outbound Policies untuk melihat aturan security group.
Tabel berikut menunjukkan aturan security group yang relevan untuk skenario ini.
Kebijakan
Prioritas
Protokol
Rentang port
Obyek otorisasi
Deny
1
All
Destination: -1/-1
Source: 47.XX.XX.55
Verifikasi hasil akses setelah instans NLB ditambahkan ke security group. Gunakan perintah curl -s http://whatismyip.akamai.com/ untuk mengidentifikasi Alamat IP publik klien saat ini.
1. Login ke instans ECS03. Jalankan perintah telnet <domain_name> 80 untuk menguji akses ke instans NLB.
  Koneksi timeout, yang menandakan akses ditolak.
2. Login ke instans ECS04. Jalankan perintah telnet <domain_name> 80 untuk menguji akses ke instans NLB.
  Respons diterima, yang menandakan koneksi berhasil.
Hasil: Setelah instans NLB ditambahkan ke Security Group 1 (blacklist), traffic dari alamat IP yang ditentukan dalam aturan deny diblokir, sedangkan traffic dari alamat IP lainnya diizinkan.

Whitelist

Tambahkan instans NLB ke Security Group 2, yang dibuat pada Langkah 3: Buat security group, lalu verifikasi apakah aturan dalam Security Group 2 mengontrol akses ke instans NLB.

Login ke NLB console.
Pada bilah navigasi atas, pilih wilayah tempat instans NLB dideploy. Contoh ini menggunakan China (Hangzhou).
Pada halaman NLB Instances, temukan instans NLB yang dibuat pada Langkah 2: Buat instans NLB dan konfigurasi listener lalu klik ID instans tersebut. Pada tab Instance Details, klik tab Security Groups.
Pada tab Security Groups, klik Create Security Group. Pada dialog Add NLB Instance to Security Group, pilih Security Group 2 yang dibuat pada Langkah 3: Buat security group, lalu klik OK.
Di panel kiri, klik ID security group target. Anda dapat mengklik tab Inbound Policies atau Outbound Policies untuk melihat aturan security group.
Kebijakan
Prioritas
Protokol
Rentang port
Obyek otorisasi
Allow
1
All
Destination: -1/-1
Source: 47.XX.XX.55
Deny
100
All
Destination: -1/-1
Source: 0.0.0.0/0
Verifikasi hasil akses setelah instans NLB ditambahkan ke security group. Gunakan perintah curl -s http://whatismyip.akamai.com/ untuk mengidentifikasi Alamat IP publik klien saat ini.
1. Login ke instans ECS03. Jalankan perintah telnet <domain_name> 80 untuk menguji akses ke instans NLB.
  Respons diterima, yang menandakan koneksi berhasil.
2. Login ke instans ECS04. Jalankan perintah telnet <domain_name> 80 untuk menguji akses ke instans NLB.
  Koneksi timeout, yang menandakan akses ditolak.
Hasil: Setelah instans NLB ditambahkan ke Security Group 2 (whitelist), hanya traffic dari alamat IP yang ditentukan dalam aturan allow yang diizinkan.

Referensi

Untuk informasi tentang cara mengaitkan atau memutuskan kaitan instans NLB dengan security group, lihat Kaitkan instans NLB dengan security group.
Untuk mempelajari cara mengonfigurasi security group guna kontrol akses detail halus berdasarkan listener atau port, lihat Konfigurasikan security group untuk kontrol akses granular berdasarkan listener atau port.
Untuk ikhtisar lengkap tentang security group, lihat Security groups.

Kebijakan	Prioritas	Protokol	Rentang port	Obyek otorisasi
Deny	1	All	Destination: -1/-1	Source: 47.XX.XX.55