Mengakses klaster atau grup replikasi Anda - Amazon ElastiCache untuk Redis
Menentukan platform klasterBerikan akses ke klaster atau grup replikasi Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengakses klaster atau grup replikasi Anda

Amazon Anda ElastiCache Instans dirancang untuk diakses melalui instans Amazon EC2.

Jika Anda meluncurkan ElastiCache instans di Amazon Virtual Private Cloud (Amazon VPC), Anda dapat mengakses instans di Amazon Virtual Private Cloud ElastiCacheinstans dari instans Amazon EC2 di Amazon VPC yang sama. Atau, dengan menggunakan VPC peering, Anda dapat mengakses ElastiCache instans dari Amazon EC2 di Amazon VPC yang berbeda.

Jika Anda meluncurkan ElastiCache instans di EC2 Classic, Anda mengizinkan instans EC2 untuk mengakses klaster Anda dengan memberikan akses ke grup keamanan cache Anda kepada grup keamanan cache Anda Amazon EC2 grup keamanan cache Anda kepada grup keamanan cache Anda kepada grup keamanan cache Anda kepada grup keamanan cache Anda kepada grup keamanan Secara default, akses ke klaster dibatasi pada akun yang meluncurkan klaster itu.

Menentukan platform klaster

Sebelum melanjutkan, tentukan apakah Anda meluncurkan klaster Anda ke EC2-VPC atau EC2-VPC atau EC2-VPC atau EC2-VPC.

Untuk informasi lain, lihat Mendeteksi Platform Anda yang Didukung dan Apakah Anda Memiliki VPC Default.

Kami pensiun EC2-Classic pada 15 Agustus 2022. Kami menyarankan Anda untuk memindahkan dari EC2-EC2-Classic ke VPC. Untuk informasi selengkapnya, lihatMelakukan Migrasi klaster EC2-Classic ke dalam VPCdan blogJaringan EC2-Classic Pensiun - Inilah Cara Mempersiapkan.

Prosedur berikut menggunakan metode ElastiCache konsol untuk menentukan apakah Anda meluncurkan klaster Anda ke EC2-VPC atau EC2-VPC atau EC2-VPC atau EC2 Classic.

Untuk menentukan platform klaster menggunakan ElastiCache konsol

  1. Masuk keAWS Management Consoledan membuka ElastiCache konsol dihttps://console.aws.amazon.com/elasticache/.

  2. Untuk melihat daftar klaster Anda yang menjalankan mesin Redis, pada panel navigasi sebelah kiri, pilih Redis.

  3. Pada daftar klaster, perlebar klaster yang menjadi tujuan pemberian otorisasi akses dengan memilih nama klaster (bukan tombol di sebelah kiri.

  4. PilihJaringan dan tab keamanan.

  5. Cari Grup subnet:.

Untuk informasi lain, lihat Mendeteksi Platform Anda yang Didukung dan Apakah Anda Memiliki VPC Default.

Prosedur berikut menggunakan metodeAWS CLIuntuk menentukan apakah Anda meluncurkan klaster Anda ke EC2-VPC atau EC2-VPC atau EC2-VPC atau EC2-VPC

Untuk menentukan platform dari klaster menggunakan AWS CLI

  1. Buka jendela perintah.

  2. Pada prompt perintah, jalankan perintah berikut:

    Untuk Linux, macOS, atau Unix:

    aws elasticache describe-cache-clusters \
--show-cache-cluster-details \
--cache-cluster-id my-cluster

    Untuk Windows:

    aws elasticache describe-cache-clusters ^
--show-cache-cluster-details ^
--cache-cluster-id my-cluster

    Keluaran JSON dari perintah ini akan terlihat seperti ini. Beberapa keluaran dihilangkan untuk menghemat ruang.

    {
"CacheClusters": [
    {
         
        "Engine": "redis", 
        "AuthTokenEnabled": false, 
        "CacheParameterGroup": {
            "CacheNodeIdsToReboot": [], 
            
            "CacheParameterGroupName": "default.redis6.x",
            "ParameterApplyStatus": "in-sync"
        }, 
        "CacheClusterId": "my-cluster-001", 
        "CacheSecurityGroups": [], 
        "NumCacheNodes": 1, 
        "AtRestEncryptionEnabled": false, 
        "CacheClusterCreateTime": "2018-01-16T20:09:34.449Z", 
        "ReplicationGroupId": "my-cluster", 
        "AutoMinorVersionUpgrade": true, 
        "CacheClusterStatus": "available", 
        "PreferredAvailabilityZone": "us-east-2a", 
        "ClientDownloadLandingPage": "https://console.aws.amazon.com/elasticache/home#client-download:", 
        "SecurityGroups": [
            {
                "Status": "active", 
                "SecurityGroupId": "sg-e8c03081"
            }
        ], 
        "TransitEncryptionEnabled": false, 
        "CacheSubnetGroupName": "default", 
        "EngineVersion": "6.0", 
        "PendingModifiedValues": {}, 
        "PreferredMaintenanceWindow": "sat:05:30-sat:06:30", 
        "CacheNodeType": "cache.t2.medium",
        "DataTiering": "disabled"
    }
]
}

Berikan akses ke klaster atau grup replikasi Anda

Anda meluncurkan klaster Anda ke EC2-VPC ke EC2-VPC

Jika Anda meluncurkan klaster Anda ke Amazon Virtual Private Cloud (Amazon VPC) Amazon Virtual Private Cloud (Amazon VPC), Anda dapat terhubung ke Anda ElastiCacheklaster hanya dari instans Amazon EC2 yang berjalan di Amazon VPC yang sama. Dalam hal ini, Anda akan perlu memberikan izin masuk jaringan kepada klaster.

catatan

Jika Anda menggunakan Local Zones, pastikan Anda telah mengaktifkannya. Untuk informasi lain, lihat Mengaktifkan Local Zones. Dengan melakukan itu, VPC Anda diperluas ke Zona Lokal dan VPC Anda akan memperlakukan subnet seperti subnet apa pun di Availability Zone yang lain. Gateway, tabel rute dan pertimbangan grup keamanan lainnya yang berkaitan akan menyesuaikan secara otomatis.

Untuk memberikan izin masuk jaringan dari grup keamanan Amazon VPC ke klaster

  1. Masuk ke AWS Management Console dan buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, di bawah Jaringan & Keamanan, pilih Grup Keamanan.

  3. Dari daftar grup keamanan, pilih grup keamanan untuk Amazon VPC Anda. Kecuali Anda membuat grup keamanan untuk ElastiCache gunakan, grup keamanan ini akan diberi namadefault.

  4. Pilih tab Masuk, dan kemudian lakukan hal berikut:

    1. Pilih Edit.

    2. Pilih Add rule (Tambahkan aturan).

    3. Pada kolom Jenis, pilih Aturan TCP khusus.

    4. Pada kotak Rentang port, ketik nomor port untuk simpul klaster Anda. Nomor ini harus sama dengan yang Anda tentukan saat meluncurkan klaster. Port default untuk Redis adalah 6379.

    5. DiSumberkotak, pilihMana Sajayang memiliki rentang port (0.0.0.0/0) sehingga setiap instans Amazon EC2 yang Anda luncurkan di Amazon VPC Anda dapat terhubung ke Anda ElastiCache simpul.

      penting

      Membuka ElastiCache klaster ke 0.0.0/0 tidak mengekspos klaster ke Internet karena itu tidak memiliki alamat IP publik dan karena itu tidak dapat diakses dari luar VPC. Namun, grup keamanan default dapat diterapkan ke instans Amazon EC2 lain di akun pelanggan, dan instans itu mungkin memiliki alamat IP publik. Jika instans tersebut kebetulan menjalankan sesuatu pada port default, maka layanan tersebut dapat terekspos secara tak disengaja. Oleh karena itu, sebaiknya membuat Grup Keamanan VPC yang akan digunakan secara eksklusif oleh ElastiCache. Untuk informasi lain, lihat .Grup Keamanan Khusus.

    6. Pilih Save (Simpan).

Saat Anda meluncurkan instans Amazon EC2 ke Amazon VPC Anda, instans itu akan dapat terhubung ke Anda ElastiCache kluster.

Anda meluncurkan klaster Anda yang berjalan di EC2-EC2-Classic

Jika Anda meluncurkan klaster Anda ke EC2-EC2-Classic, untuk memungkinkan instans Amazon EC2 mengakses klaster Anda, Anda akan perlu memberikan akses ke grup keamanan cache Anda kepada grup keamanan &EC2 yang terkait dengan instans itu.

Untuk memberikan akses ke grup keamanan Amazon EC2 ke klaster kepada grup keamanan Amazon EC2 ke klaster

  1. Masuk keAWS Management Consoledan membuka ElastiCache konsol dihttps://console.aws.amazon.com/elasticache/.

  2. Untuk melihat daftar grup keamanan, dari panel navigasi kiri, pilih Grup Keamanan.

    penting

    Jika Grup Keamanan tidak tercantum pada panel navigasi, Anda meluncurkan klaster Anda di EC2-VPC, bukan di EC2-Classic, dan harus mengikuti petunjuk di Anda meluncurkan klaster Anda ke EC2-VPC ke EC2-VPC.

  3. Pilih kotak di sebelah kiri grup keamanan default.

  4. Dari daftar di bagian bawah layar, pilih Nama Grup Keamanan EC2 yang ingin diberikan otorisasi.

  5. Untuk memberikan otorisasi akses, pilih Tambahkan.

    Instans Amazon EC2 yang terkait dengan grup keamanan sekarang diberi otorisasi untuk terhubung ke Anda ElastiCache kluster.

Untuk mencabut akses dari grup keamanan, temukan grup keamanan itu di dalam daftar grup keamanan memiliki otorisasi, dan kemudian pilih Hapus.

Untuk informasi lebih lanjut tentang ElastiCache Kelompok Keamanan, lihatGrup keamanan: EC2-Classic.

Mengakses ElastiCache sumber daya dari luarAWS

Elasticache adalah layanan yang dirancang untuk digunakan secara internal untuk VPC Anda. Akses eksternal tidak disarankan karena latensi lalu lintas Internet dan masalah keamanan. Namun, jika akses eksternal ke Elasticache diperlukan untuk tujuan pengujian atau pengembangan, maka akses dapat dilakukan melalui VPN.

Menggunakan AWS Client VPN, Anda mengizinkan akses eksternal ke simpul Elasticache Anda dengan manfaat sebagai berikut:

  • Akses terbatas hanya untuk pengguna atau kunci autentikasi yang disetujui;

  • Lalu lintas terenkripsi antara Klien VPN dan titik akhir VPN AWS;

  • Akses yang terbatas ke subnet atau simpul tertentu;

  • Pencabutan akses dengan mudah dari pengguna atau kunci autentikasi;

  • Mengaudit koneksi;

Prosedur berikut menunjukkan cara untuk:

Membuat otoritas sertifikat

Dimungkinkan untuk membuat Otoritas Sertifikat (CA) menggunakan teknik atau alat yang berbeda. Dianjurkan menggunakan utilitas easy-rsa, yang disediakan oleh proyek OpenVPN. Terlepas opsi pilihan Anda, pastikan untuk menjaga kunci tetap aman. Prosedur berikut mengunduh skrip easy-RSA, membuat Otoritas Sertifikat dan kunci untuk autentikasi klien VPN pertama:

  • Untuk membuat sertifikat awal, buka terminal dan lakukan hal berikut:

    • git clone https://github.com/OpenVPN/easy-rsa

    • cd easy-rsa

    • ./easyrsa3/easyrsa init-pki

    • ./easyrsa3/easyrsa build-ca nopass

    • ./easyrsa3/easyrsa build-server-full server nopass

    • ./easyrsa3/easyrsa build-client-full client1.domain.tld nopass

    Subdirektori pki yang berisi sertifikat akan dibuat di bawah easy-rsa.

  • Kirim sertifikat server ke AWS Certificate Manager (ACM):

    • Pada konsol ACM, pilih Certificate Manager.

    • Pilih Impor Sertifikat.

    • Masukkan sertifikat kunci publik yang tersedia di dalam file easy-rsa/pki/issued/server.crt pada bidang Tubuh sertifikat.

    • Tempelkan kunci privat yang tersedia di dalam easy-rsa/pki/private/server.key pada bidang Kunci privat sertifikat. Pastikan untuk mengeblok semua baris di antara BEGIN AND END PRIVATE KEY (termasuk baris BEGIN dan END).

    • Tempelkan kunci publik CA yang tersedia pada file easy-rsa/pki/ca.crt pada bidang Rantai sertifikat.

    • Pilih Tinjau dan impor.

    • Pilih Impor.

    Untuk mengirim sertifikat server ke ACM menggunakan CLI AWS, jalankan perintah berikut: aws acm import-certificate --certificate fileb://easy-rsa/pki/issued/server.crt --private-key fileb://easy-rsa/pki/private/server.key --certificate-chain file://easy-rsa/pki/ca.crt --region region

    Perhatikan ARN sertifikat untuk penggunaan di masa mendatang.

Membuat konfigurasi komponen AWS client VPN

MenggunakanAWSKonsol

Pada konsol AWS, pilih Layanan dan kemudian VPC.

Di bawah Virtual Private Network, pilih Titik akhir Client VPN dan lakukan hal berikut:

KonfigurasiAWSKomponen Client VPN klien

  • Pilih Buat Titik Akhir Client VPN.

  • Tentukan opsi berikut:

    • CIDR IPv4 Klien: gunakan jaringan privat dengan netmask setidaknya pada rentang /22. Pastikan bahwa subnet yang dipilih tidak bertentangan dengan alamat dari jaringan VPC. Contoh: 10.0.0.0/22.

    • Pada ARN sertifikat server, pilih ARN dari sertifikat yang sebelumnya diimpor.

    • Pilih Gunakan autentikasi bersama.

    • Pada ARN sertifikat klien, pilih ARN dari sertifikat yang sebelumnya diimpor.

    • Pilih Buat Titik Akhir Client VPN.

MenggunakanAWS CLI

Jalankan perintah berikut:

aws ec2 create-client-vpn-endpoint --client-cidr-block "10.0.0.0/22" --server-certificate-arn arn:aws:acm:us-east-1:012345678912:certificate/0123abcd-ab12-01a0-123a-123456abcdef --authentication-options Type=certificate-authentication,,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:012345678912:certificate/123abcd-ab12-01a0-123a-123456abcdef} --connection-log-options Enabled=false

Contoh keluaran:

"ClientVpnEndpointId": "cvpn-endpoint-0123456789abcdefg", "Status": { "Code": "pending-associate" }, "DnsName": "cvpn-endpoint-0123456789abcdefg.prod.clientvpn.us-east-1.amazonaws.com" }

Asosiasikan jaringan target dengan titik akhir VPN

  • Pilih titik akhir baru VPN, dan kemudian pilih tab Asosiasi.

  • Pilih Associate dan tentukan opsi berikut.

    • VPC: Pilih VPC dari Klaster Elasticache.

    • Pilih salah satu jaringan klaster Elasticache. Jika ragu, tinjau jaringan pada Grup Subnet pada dasbor Elasticache.

    • Pilih Associate. Jika perlu, ulangi langkah tersebut untuk jaringan yang tersisa.

MenggunakanAWS CLI

Jalankan perintah berikut:

aws ec2 associate-client-vpn-target-network --client-vpn-endpoint-id cvpn-endpoint-0123456789abcdefg --subnet-id subnet-0123456789abdcdef

Contoh keluaran:

"Status": { "Code": "associating" }, "AssociationId": "cvpn-assoc-0123456789abdcdef" }

Tinjau grup keamanan VPN

Titik akhir VPN akan secara otomatis mengadopsi grup keamanan default dari VPC. Periksa aturan masuk dan keluar serta konfirmasikan jika grup keamanan mengizinkan lalu lintas dari jaringan VPN (didefinisikan pada pengaturan Titik Akhir VPN) ke jaringan Elasticache pada port layanan (secara default, 6379 untuk Redis dan 11211 untuk Memcached).

Jika Anda perlu mengubah grup keamanan yang ditetapkan untuk titik akhir VPN, lanjutkan sebagai berikut:

  • Pilih grup keamanan saat ini.

  • Pilih Terapkan Grup Keamanan.

  • Pilih Grup Keamanan baru.

MenggunakanAWS CLI

Jalankan perintah berikut:

aws ec2 apply-security-groups-to-client-vpn-target-network --client-vpn-endpoint-id cvpn-endpoint-0123456789abcdefga  --vpc-id vpc-0123456789abdcdef --security-group-ids sg-0123456789abdcdef

Contoh keluaran:

"SecurityGroupIds": [ "sg-0123456789abdcdef" ] }

catatan

Parameter ElastiCache Kelompok Keamanan juga perlu mengizinkan lalu lintas yang berasal dari klien VPN. Alamat klien akan ditutupi dengan alamat titik akhir VPN, sesuai Jaringan VPC. Oleh karena itu, pertimbangkan jaringan VPC (bukan jaringan klien VPN) saat membuat aturan masuk pada grup keamanan Elasticache.

Berikan otorisasi pada akses VPN ke jaringan tujuan

Pada tab Otorisasi, pilih Izinkan Masuk dan tentukan hal berikut:

  • Jaringan tujuan untuk mengaktifkan akses: Gunakan 0.0.0/0 untuk memungkinkan akses ke jaringan apa pun (termasuk Internet) atau batasi jaringan/host Elasticache.

  • Di bawah Berikan akses ke:, pilih Izinkan akses ke semua pengguna.

  • Pilih Tambahkan Aturan Otorisasi.

MenggunakanAWS CLI

Jalankan perintah berikut:

aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0123456789abcdefg --target-network-cidr 0.0.0.0/0 --authorize-all-groups

Contoh keluaran:

{ "Status": { "Code": "authorizing" } }

Mengizinkan akses ke Internet dari klien VPN

Jika Anda perlu menelusuri Internet melalui VPN, Anda perlu membuat rute tambahan. Pilih tab Tabel Rute dan kemudian pilih Buat Rute:

  • Tujuan rute: 0.0.0.0/0

  • Menargetkan ID Subnet VPC: Pilih salah satu subnet terkait dengan akses ke Internet.

  • Pilih Buat Rute.

MenggunakanAWS CLI

Jalankan perintah berikut:

aws ec2 create-client-vpn-route --client-vpn-endpoint-id cvpn-endpoint-0123456789abcdefg --destination-cidr-block 0.0.0.0/0 --target-vpc-subnet-id subnet-0123456789abdcdef

Contoh keluaran:

{ "Status": { "Code": "creating" } }

Konfigurasi klien VPN

Pada Dasbor AWS Client VPN, pilih titik akhir VPN yang baru saja dibuat dan pilih Unduh Konfigurasi Klien. Salin file konfigurasi, serta file easy-rsa/pki/issued/client1.domain.tld.crt dan easy-rsa/pki/private/client1.domain.tld.key. Edit file konfigurasi dan ubah atau tambahkan parameter berikut:

  • cert: tambahkan baris baru dengan parameter cert menunjuk ke file client1.domain.tld.crt. Gunakan jalur lengkap ke file. Contoh: cert /home/user/.cert/client1.domain.tld.crt

  • cert: key: tambahkan baris baru dengan kunci parameter menunjuk ke file client1.domain.tld.key. Gunakan jalur lengkap ke file. Contoh: key /home/user/.cert/client1.domain.tld.key

Tetapkan koneksi VPN dengan perintah: sudo openvpn --config downloaded-client-config.ovpn

Mencabut akses

Jika Anda perlu untuk membatalkan akses dari kunci klien tertentu, kunci tersebut perlu dicabut di CA. Kemudian kirimkan daftar pencabutan ke AWS Client VPN.

Mencabut kunci dengan easy-rsa:

  • cd easy-rsa

  • ./easyrsa3/easyrsa revoke client1.domain.tld

  • Masukkan “ya” untuk melanjutkan, atau masukkan input lain apa pun untuk membatalkan.

    Continue with revocation: `yes` ... * `./easyrsa3/easyrsa gen-crl

  • CRL yang diperbarui telah dibuat. File CRL: /home/user/easy-rsa/pki/crl.pem

Mengimpor daftar pencabutan ke AWS Client VPN:

  • Pada AWS Management Console, pilih Layanan dan kemudian VPC.

  • Pilih Titik Akhir Client VPN.

  • Pilih Titik Akhir Client VPN dan kemudian pilih Tindakan -> Impor CRL Sertifikat Klien.

  • Tempelkan isi dari file crl.pem.

MenggunakanAWS CLI

Jalankan perintah berikut:

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://./easy-rsa/pki/crl.pem --client-vpn-endpoint-id cvpn-endpoint-0123456789abcdefg

Contoh keluaran:

Example output: { "Return": true }