Anda dapat membuat ACL jaringan dan menghubungkannya ke vSwitch untuk mengontrol lalu lintas masuk dan keluar dengan tepat melalui konfigurasi aturan ACL jaringan.
Cara kerjanya
Ruang lingkup yang berlaku
ACL jaringan hanya berlaku untuk elastic network interfaces (ENIs) di dalam vSwitch terkait.
ACL jaringan mengontrol lalu lintas untuk sumber daya cloud yang bergantung pada ENI untuk komunikasi jaringan, seperti ECS, ECI, dan instance NLB.
Lalu lintas untuk instance seperti RDS dan CLB yang tidak bergantung pada ENI tidak dikontrol oleh ACL jaringan. Kontrol akses untuk instance RDS diimplementasikan melalui daftar putih, sedangkan instance CLB menggunakan kebijakan kontrol akses.
ACL jaringan tidak mengontrol lalu lintas untuk ENI sekunder yang diikat ke EIP dalam mode transparan EIP.
Saat mengakses layanan Alibaba Cloud melalui PrivateLink, lalu lintas melewati ENI titik akhir dan dikontrol oleh aturan ACL jaringan.
Mekanisme penegakan aturan
Setiap aturan memiliki prioritas. Sistem memulai dengan aturan dengan prioritas 1 dan secara berurutan mengevaluasi apakah lalu lintas cocok berdasarkan versi IP, jenis protokol, alamat sumber/tujuan, dan rentang port. Saat lalu lintas cocok dengan suatu aturan, kebijakan izin/tolak yang ditentukan akan dieksekusi.
Untuk aturan masuk dan keluar, rentang port selalu cocok dengan port tujuan dari lalu lintas.
Saat ACL jaringan menolak lalu lintas, mereka menggunakan operasi drop. Peminta tidak menerima tanggapan apa pun, yang mengakibatkan timeout atau ketidakmampuan untuk membangun koneksi.
Aturan ACL jaringan bersifat tanpa status. Saat Anda mengonfigurasi aturan masuk untuk mengizinkan lalu lintas tertentu masuk ke vSwitch, lalu lintas balasan tidak diizinkan secara otomatis. Anda harus membuat aturan keluar untuk Allow lalu lintas balasan kembali ke port ephemeral klien. Saat klien memulai permintaan ke server, ia secara acak memilih port dari rentang port ephemeral untuk menerima respons server.
Untuk memastikan berbagai jenis klien dapat mengakses layanan Anda secara normal, Anda dapat mengatur rentang port ephemeral menjadi 1024-65535.
Dalam contoh konfigurasi, ada dua aturan kustom dengan rentang alamat sumber/tujuan yang tumpang tindih. Saat klien dengan IP 192.168.0.1 mengakses layanan di subnet menggunakan protokol HTTPS, lalu lintas pertama kali cocok dengan aturan dengan prioritas 1 dan karena itu ditolak. Saat klien dengan IP 192.168.1.1 mengakses, lalu lintas secara berurutan cocok dengan aturan dengan prioritas 2 dan karena itu diizinkan, dan lalu lintas balasan dikirim kembali ke port ephemeral klien sesuai dengan aturan keluar dengan prioritas 1.
Saat layanan perlu membuka banyak port tetapi beberapa port perlu ditolak aksesnya, Anda perlu memastikan aturan penolakan memiliki prioritas lebih tinggi daripada aturan izin.
Perbedaan dari grup keamanan
Item Perbandingan | ACL Jaringan | Grup Keamanan |
Ruang Lingkup yang Berlaku | Mengontrol lalu lintas masuk dan keluar dari vSwitch berdasarkan aturan ACL jaringan. | Metode kontrol akses pada tingkat instance ECS. Aturan dari beberapa grup keamanan yang terkait dengan instance ECS diurutkan sesuai dengan kebijakan tetap dan secara kolektif menentukan apakah akan mengizinkan lalu lintas masuk dan keluar untuk instance tersebut. |
Status Aliran Data Balasan | Tanpa Status: Aliran data balasan harus diizinkan secara eksplisit oleh aturan. | Berstatus: Aliran data balasan diizinkan secara otomatis, tidak terpengaruh oleh aturan apa pun. |
Urutan Pencocokan Aturan | Aturan dievaluasi secara berurutan sesuai dengan prioritasnya untuk menentukan apakah mereka cocok dengan lalu lintas. | Pertama diurutkan berdasarkan prioritas: saat prioritas sama, aturan dengan kebijakan tolak ditempatkan sebelum aturan dengan kebijakan izin. Setelah diurutkan, aturan dicocokkan secara berurutan. |
Asosiasi dengan Instance ECS | Setiap vSwitch hanya dapat diasosiasikan dengan satu ACL jaringan. | Instance ECS dapat bergabung dengan beberapa grup keamanan. |
Membuat/menghapus ACL jaringan
Anda dapat membuat ACL jaringan dan mengasosiasikannya dengan vSwitch untuk mengontrol lalu lintas masuk dan keluar dari vSwitch.
Saat Anda membuat ACL jaringan untuk VPC dengan hanya blok CIDR IPv4, sistem menambahkan aturan default berikut untuk arah masuk dan keluar:
Aturan Layanan Cloud: Mengizinkan penggunaan layanan resolusi domain pribadi Alibaba Cloud dan layanan metadata ECS. Aturan ini memiliki prioritas tertinggi dan tidak dapat dimodifikasi atau dihapus.
1. IP server DNS Alibaba Cloud default adalah 100.100.2.136 dan 100.100.2.138, digunakan untuk menyelesaikan nama domain internal.
2. IP MetaServer adalah 100.100.100.200, yang menyediakan layanan metadata penting untuk instance ECS untuk memastikan mereka berjalan dengan baik.
Aturan Kustom: Mengizinkan semua lalu lintas IPv4 untuk memastikan bahwa pembuatan ACL jaringan tidak memengaruhi komunikasi jaringan pribadi antara vSwitch yang berbeda di VPC yang sama. Anda dapat mengonfigurasi aturan kustom untuk mengontrol dengan tepat lalu lintas masuk dan keluar dari vSwitch.
Aturan Sistem: Digunakan untuk menolak lalu lintas IPv4 yang tidak cocok dengan aturan lain. Aturan ini memiliki prioritas terendah dan tidak dapat dimodifikasi atau dihapus.
Jika IPv6 diaktifkan untuk VPC tempat ACL berada, aturan kustom yang mengizinkan semua lalu lintas IPv6 dan aturan sistem yang menolak semua lalu lintas IPv6 akan ditambahkan ke arah masuk dan keluar.
ACL jaringan hanya dapat diasosiasikan dengan vSwitch di VPC yang sama, dan setiap vSwitch hanya dapat diasosiasikan dengan satu ACL jaringan.
Konsol
Membuat ACL jaringan
Pergi ke halaman Konsol Virtual Private Cloud - ACL Jaringan, pilih wilayah target di bagian atas halaman, dan klik Create Network ACL.
Konfigurasikan VPC, pilih VPC yang berisi vSwitch yang direncanakan untuk diasosiasikan dengan ACL jaringan.
Mengasosiasikan vSwitches
Klik ID instance atau kolom Actions Manage, pergi ke tab Associated Resources, klik Associate VSwitch, pilih satu atau lebih vSwitch target dan Confirm Association. Lalu lintas untuk vSwitch terkait akan dikontrol sesuai dengan aturan ACL jaringan. Untuk menghapus kontrol ini, Anda dapat mengklik kolom Actions Disassociate untuk vSwitch target di tab ini.
Anda juga dapat mengikat, mengubah, atau melepaskan ACL jaringan di bagian parameter Network ACL pada halaman detail vSwitch target.
Menghapus ACL jaringan
Pastikan terlebih dahulu bahwa semua asosiasi vSwitch telah dihapus. Di kolom Actions dari ACL jaringan target, klik Delete.
API
Panggil CreateNetworkAcl untuk membuat ACL jaringan.
Panggil AssociateNetworkAcl untuk mengasosiasikan ACL jaringan dengan vSwitch.
Panggil UnassociateNetworkAcl untuk melepaskan asosiasi ACL jaringan dari vSwitch.
Panggil DeleteNetworkAcl untuk menghapus ACL jaringan.
Terraform
Berbeda dengan logika konsol, Terraform hanya mendukung mengasosiasikan ACL jaringan dengan satu vSwitch.
Sumber Daya: alicloud_network_acl
# Tentukan wilayah untuk ACL jaringan
provider "alicloud" {
region = "cn-hangzhou"
}
# Tentukan ID VPC
variable "vpc_id" {
default = "vpc-bp1k******" # Ganti dengan ID VPC aktual
}
# Tentukan ID vSwitch
variable "vswitch_id" {
default = "vsw-bp1y******" # Ganti dengan ID vSwitch aktual
}
# Buat ACL jaringan dan asosiasikan dengan vSwitch
resource "alicloud_network_acl" "example_network_acl" {
vpc_id = var.vpc_id # Tentukan VPC tempat ACL jaringan berada
network_acl_name = "example_network_acl_name"
resources {
resource_id = var.vswitch_id # Tentukan vSwitch untuk diasosiasikan dengan ACL jaringan
resource_type = "VSwitch"
}
}Mengonfigurasi aturan ACL jaringan
Setelah membuat ACL jaringan, sistem menambahkan aturan default untuk mengizinkan/menolak semua lalu lintas. Anda dapat mengonfigurasi aturan kustom untuk mengontrol dengan tepat lalu lintas tertentu yang masuk dan keluar dari vSwitch.
Berdasarkan Protocol, IP Version, Source IP Address/Destination IP Address, dan Port Range yang cocok dengan aturan ACL jaringan, sistem akan menjalankan Policy yang ditentukan pada lalu lintas, mengizinkan atau menolak lalu lintas yang sesuai.
Saat jenis protokol adalah TCP(6)/UDP(17), Anda dapat menyesuaikan rentang port. Rentang nilainya adalah 0~65535, diatur dalam format Port Pertama/Port Terakhir, tetapi tidak dapat diatur ke -1/-1 (yang berarti tidak ada batasan port). Saat jenis protokol lain dipilih, rentang port tidak dapat diatur dan defaultnya adalah -1/-1.
1. Setelah menambahkan/memodifikasi/menghapus aturan ACL jaringan, mereka secara otomatis diterapkan ke vSwitch yang terkait dengan ACL jaringan.
2. Anda hanya dapat menambahkan aturan masuk dan keluar tipe IPv6 saat IPv6 diaktifkan untuk VPC tempat ACL jaringan berada.
3. Setelah mengonfigurasi set opsi DHCP, Anda perlu menambahkan aturan masuk dan keluar untuk mengizinkan server DNS yang ditentukan. Kegagalan menambahkan aturan dapat menyebabkan masalah resolusi nama domain.
4. Saat menggunakan penyeimbangan beban, Anda perlu menambahkan aturan dalam arah masuk dan keluar untuk mengizinkan permintaan yang diterima pada port pendengar diteruskan ke server backend dan permintaan port pemeriksaan kesehatan dikirim ke server backend.
Konsol
Pada tab Inbound Rules/Outbound Rules dari ACL jaringan target, Anda dapat mengikuti langkah-langkah berikut untuk mengonfigurasi aturan kustom.
Karena aturan ACL jaringan bersifat tanpa status, saat Anda mengatur aturan masuk untuk mengizinkan lalu lintas tertentu masuk ke vSwitch, Anda perlu mengatur aturan keluar yang sesuai.
Menambahkan aturan
Pada tab Inbound Rules/Outbound Rules dari ACL jaringan target, klik Manage Inbound Rules/Manage Outbound Rules. Anda dapat mengklik Add IPv4 Rule/Add IPv6 Rule untuk mengonfigurasi aturan satu per satu.
Untuk menerapkan kontrol akses seragam ke beberapa rentang alamat IP, Anda dapat memilih Quick Add Rule dan mengatur posisi penyisipan aturan menggunakan Priority.
Untuk menambahkan aturan dengan kebijakan berbeda secara batch, Anda dapat menggunakan template yang disediakan untuk Import Rules. Semua item konfigurasi yang terdaftar dalam template harus diisi, dan aturan dengan item konfigurasi yang hilang tidak dapat diimpor. Aturan yang berhasil diimpor akan ditambahkan secara berurutan berdasarkan aturan yang ada dan tidak akan menimpa aturan yang ada.
Menyesuaikan urutan aturan
Klik Manage Inbound Rules/Manage Outbound Rules, dan seret aturan ke atas dan ke bawah untuk menyesuaikan prioritasnya.
Menghapus aturan
Klik Delete di kolom Actions dari aturan ACL jaringan target.
API
Panggil UpdateNetworkAclEntries untuk memperbarui aturan ACL jaringan. Berbeda dengan logika konsol, API ini melakukan pembaruan penuh aturan ACL. Jika hanya aturan baru yang diteruskan, aturan asli akan dihapus, dan hanya aturan baru yang diteruskan yang akan disimpan. Oleh karena itu, saat menambahkan aturan, Anda harus meneruskan semua aturan yang perlu dipertahankan.
Panggil CopyNetworkAclEntries untuk sepenuhnya menyalin aturan dari satu ACL jaringan ke ACL jaringan lain. Untuk memastikan semua aturan dapat diidentifikasi dan diterima dengan benar oleh ACL jaringan target, Anda perlu memastikan bahwa kedua VPC memiliki blok CIDR IPv4 saja atau keduanya memiliki IPv6 diaktifkan. ACL jaringan di VPC tanpa IPv6 diaktifkan tidak dapat mengonfigurasi aturan tipe IPv6. Saat menyalin aturan sepenuhnya ke ACL jaringan di VPC dengan IPv6 diaktifkan, sistem tidak akan secara otomatis menambahkan aturan kustom untuk mengizinkan semua lalu lintas IPv6, yang dapat memengaruhi komunikasi IPv6.
Terraform
Contoh ini menambahkan aturan penolakan dalam arah masuk dan keluar. Anda harus menyesuaikan konfigurasi aturan sesuai dengan kebijakan kontrol akses aktual Anda.
Sumber Daya: alicloud_network_acl
# Tentukan wilayah untuk ACL jaringan
provider "alicloud" {
region = "cn-hangzhou"
}
# Tentukan ID VPC
variable "vpc_id" {
default = "vpc-bp1k******" # Ganti dengan ID VPC aktual
}
# Tentukan ID vSwitch
variable "vswitch_id" {
default = "vsw-bp1y******" # Ganti dengan ID vSwitch aktual
}
# Buat ACL jaringan dan asosiasikan dengan vSwitch
resource "alicloud_network_acl" "example_network_acl" {
vpc_id = var.vpc_id # Tentukan VPC tempat ACL jaringan berada
network_acl_name = "example_network_acl_name"
resources {
resource_id = var.vswitch_id # Tentukan vSwitch untuk diasosiasikan dengan ACL jaringan
resource_type = "VSwitch"
}
ingress_acl_entries { # Tentukan aturan masuk
network_acl_entry_name = "example-ingress"
protocol = "tcp" # Jenis protokol
source_cidr_ip = "10.0.0.0/24" # Alamat IP sumber
port = "20/80" # Rentang port
policy = "drop" # Kebijakan
}
egress_acl_entries { # Tentukan aturan keluar
network_acl_entry_name = "example-egress"
protocol = "tcp"
destination_cidr_ip = "10.0.0.0/24" # Alamat IP tujuan
port = "20/80" # Rentang port
policy = "drop" # Kebijakan
}
}Contoh konfigurasi aturan ACL jaringan
Membatasi komunikasi antara instance ECS di vSwitch yang berbeda
vSwitch yang berbeda dalam VPC yang sama memiliki komunikasi jaringan pribadi secara default. Untuk membatasi komunikasi antara sumber daya di vSwitch yang berbeda, Anda dapat menggunakan ACL jaringan untuk menolak akses dari IP tertentu.
Sebagaimana ditunjukkan dalam diagram, Anda dapat mengonfigurasi aturan masuk dan keluar untuk ACL jaringan yang terkait dengan vSwitch 1 untuk melarang komunikasi antara instance di vSwitch 1 dan ECS06.
Mengizinkan hanya IP tertentu untuk mengakses layanan cloud
Setelah menerapkan Express Connect untuk memungkinkan komunikasi antara IDC lokal dan VPC, semua sumber daya di IDC lokal dapat mengakses layanan cloud. Anda dapat menggunakan ACL jaringan untuk mengizinkan akses hanya dari IP tertentu dan menolak semua akses lainnya.
Sebagaimana ditunjukkan dalam diagram, Anda dapat mengonfigurasi aturan masuk dan keluar untuk ACL jaringan yang terkait dengan vSwitch untuk mengizinkan hanya Server Lokal 1 dan Server Lokal 2 mengakses instance dalam vSwitch.
Informasi lebih lanjut
Penagihan
Fitur ACL jaringan gratis.
Wilayah yang didukung
Area | Wilayah |
Asia Pasifik - China | China (Hangzhou), China (Shanghai), China (Nanjing - Wilayah Lokal), China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Ulanqab), China (Shenzhen), China (Heyuan), China (Guangzhou), China (Chengdu), China (Hong Kong), China (Wuhan - Wilayah Lokal), dan China (Fuzhou - Wilayah Lokal) |
Asia Pasifik - Lainnya | Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), dan Thailand (Bangkok) |
Eropa & Amerika | Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), AS (Virginia), dan Meksiko |
Timur Tengah | UEA (Dubai) dan SAU (Riyadh - Wilayah Mitra) Penting Wilayah SAU (Riyadh - Wilayah Mitra) dioperasikan oleh mitra. |
Kuota
Nama/ID | Deskripsi | Nilai default | Dapat disesuaikan |
vpc_quota_nacl_ingress_entry | Jumlah maksimum aturan masuk yang dapat ditambahkan ke daftar kontrol akses jaringan (ACL) Saat VPC terkait memiliki IPv6 diaktifkan, ia mendukung pembuatan 20 aturan masuk IPv4 dan IPv6 secara default. | 20 | Anda dapat meningkatkan kuota dengan melakukan operasi berikut:
|
vpc_quota_nacl_egress_entry | Jumlah maksimum aturan keluar yang dapat ditambahkan ke ACL jaringan Saat VPC terkait memiliki IPv6 diaktifkan, ia mendukung pembuatan 20 aturan masuk IPv4 dan IPv6 secara default. | 20 | |
nacl_quota_vpc_create_count | Jumlah maksimum ACL jaringan yang dapat dibuat di setiap VPC | 20 |