Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Mengakses ElastiCache klaster atau grup replikasi Anda

PDF
RSS
Mode fokus
Mengakses ElastiCache klaster atau grup replikasi Anda - Amazon ElastiCache
Memberikan akses ke klaster atau grup replikasi Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

ElastiCache Instans Amazon Anda dirancang untuk diakses melalui EC2 instans Amazon.

Jika meluncurkan ElastiCache instans di Amazon Virtual Private Cloud (Amazon VPC), Anda dapat mengakses ElastiCache instans dari instans Amazon EC2 di VPC Amazon yang sama. Atau, dengan menggunakan VPC peering, Anda dapat mengakses ElastiCache instans Anda dari Amazon EC2 di VPC Amazon yang berbeda.

Jika meluncurkan ElastiCache instans di EC2 Classic, Anda mengizinkan EC2 instans mengakses klaster Anda dengan memberikan grup EC2 keamanan Amazon yang terkait dengan akses instans ke grup keamanan cache Anda. Secara default, akses ke klaster dibatasi pada akun yang meluncurkan klaster tersebut.

Memberikan akses ke klaster atau grup replikasi Anda

Anda meluncurkan cluster Anda ke EC2 -VPC

Jika meluncurkan klaster ke Amazon Virtual Private Cloud (Amazon VPC), Anda dapat terhubung ke ElastiCache klaster hanya dari EC2 instans Amazon yang berjalan di VPC Amazon yang sama. Dalam hal ini, Anda akan perlu memberikan izin masuk jaringan ke klaster.

catatan

Pastikan Anda telah mengaktifkan Zona Lokal jika Anda menggunakannya. Untuk informasi selengkapnya, lihat Mengaktifkan Zona Lokal. Dengan mengaktifkannya, VPC Anda diperluas ke Zona Lokal dan VPC Anda akan memperlakukan subnet seperti subnet apa pun di Zona Ketersediaan yang lain. Gateway, tabel rute dan pertimbangan grup keamanan lainnya yang berkaitan akan menyesuaikan secara otomatis.

Untuk memberikan izin masuk jaringan dari grup keamanan Amazon VPC ke klaster

  1. Masuk ke AWS Management Console dan buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, di bagian Jaringan & Keamanan, pilih Grup Keamanan.

  3. Dari daftar grup keamanan, pilih grup keamanan untuk Amazon VPC Anda. Kecuali Anda membuat grup keamanan untuk ElastiCache digunakan, grup keamanan ini akan diberi nama default.

  4. Pilih tab Masuk, lalu lakukan hal berikut:

    1. Pilih Edit.

    2. Pilih Tambahkan aturan.

    3. Di kolom Jenis, pilih Aturan TCP kustom.

    4. Di kotak Rentang port, ketik nomor port untuk simpul klaster Anda. Nomor ini harus sama dengan yang Anda tentukan saat meluncurkan klaster. Port default untuk Memcached adalah 11211 Port default untuk Valkey dan Redis OSS adalah. 6379

    5. Di kotak Sumber, pilih Anywhere yang memiliki rentang port (0.0.0.0/0) sehingga EC2 instans Amazon apa pun yang Anda luncurkan dalam VPC Amazon Anda dapat terhubung ke node Anda. ElastiCache

      penting

      Membuka ElastiCache cluster ke 0.0.0.0/0 tidak mengekspos cluster ke Internet karena tidak memiliki alamat IP publik dan oleh karena itu tidak dapat diakses dari luar VPC. Namun, grup keamanan default dapat diterapkan ke EC2 instans Amazon lainnya di akun pelanggan, dan instans tersebut mungkin memiliki alamat IP publik. Jika instans tersebut menjalankan sesuatu di port default, layanan tersebut dapat terekspos secara tak disengaja. Oleh karena itu, sebaiknya membuat Grup Keamanan VPC yang akan digunakan secara eksklusif oleh ElastiCache. Untuk informasi selengkapnya, lihat Grup Keamanan Kustom.

    6. Pilih Simpan.

Saat Anda meluncurkan EC2 instans Amazon ke VPC Amazon Anda, instance itu akan dapat terhubung ke cluster Anda ElastiCache .

Mengakses ElastiCache sumber daya dari luar AWS

Amazon ElastiCache adalah AWS layanan yang menyediakan penyimpanan nilai kunci dalam memori berbasis cloud. Layanan ini dirancang untuk diakses secara eksklusif dari dalam AWS. Namun, jika ElastiCache cluster di-host di dalam VPC, Anda dapat menggunakan instance Network Address Translation (NAT) untuk menyediakan akses luar.

Persyaratan

Persyaratan berikut harus dipenuhi agar Anda dapat mengakses ElastiCache sumber daya Anda dari luar AWS:

  • Klaster harus berada dalam VPC dan diakses melalui instans Network Address Translation (NAT). Tidak ada pengecualian untuk persyaratan ini.

  • Instans NAT harus diluncurkan di VPC yang sama dengan klaster.

  • Instans NAT harus diluncurkan di subnet publik yang terpisah dari klaster.

  • Alamat IP Elastis (EIP) harus dikaitkan dengan instans NAT. Fitur penerusan port iptables digunakan untuk meneruskan port di instans NAT ke port simpul cache dalam VPC.

Pertimbangan

Pertimbangan berikut harus diingat saat mengakses ElastiCache sumber daya Anda dari luar. ElastiCache

  • Klien terhubung ke port EIP dan cache dari instans NAT. Penerusan port di instans NAT meneruskan lalu lintas ke simpul klaster cache yang sesuai.

  • Jika simpul klaster ditambahkan atau diganti, aturan iptables perlu diperbarui untuk mencerminkan perubahan ini.

Batasan

Pendekatan ini harus digunakan untuk tujuan pengujian dan pengembangan saja. Sebaiknya jangan digunakan untuk produksi karena batasan berikut:

  • Instans NAT bertindak sebagai perantara antara klien dan beberapa klaster. Penambahan proksi berdampak pada performa klaster cache. Dampaknya meningkat dengan jumlah klaster cache yang Anda akses melalui instans NAT.

  • Lalu lintas dari klien ke instans NAT tidak terenkripsi. Oleh karena itu, Anda harus menghindari pengiriman data sensitif melalui instans NAT.

  • Instans NAT menambahkan overhead untuk memelihara instans lain.

  • Instans NAT berfungsi sebagai satu titik kegagalan. Untuk informasi tentang cara mengatur NAT ketersediaan tinggi di VPC, lihat Ketersediaan Tinggi untuk Instans NAT Amazon VPC: Contoh.

Cara mengakses ElastiCache sumber daya dari luar AWS

Prosedur berikut menunjukkan cara menghubungkan ke ElastiCache sumber daya Anda menggunakan instance NAT.

Langkah-langkah ini mengasumsikan hal berikut:

  • iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6380 -j DNAT --to 10.0.1.231:6379

  • iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6381 -j DNAT --to 10.0.1.232:6379

Selanjutnya Anda membutuhkan NAT ke arah yang berlawanan:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.0.0.55

Anda juga perlu mengaktifkan penerusan IP, yang dinonaktifkan secara default:

sudo sed -i 's/net.ipv4.ip_forward=0/net.ipv4.ip_forward=1/g' /etc/sysctl.conf sudo sysctl --system

  • Anda mengakses klaster Memcached dengan:

    • Alamat IP – 10.0.1.230

    • Port Memcached default – 11211

    • Grup keamanan – *10\.0\.0\.55*

  • Anda mengakses cluster Valkey atau Redis OSS dengan:

    • Alamat IP – 10.0.1.230

    • Port standar - 6379

    • Grup keamanan – sg-bd56b7da

    • AWS alamat IP contoh — sg-bd56b7da

  • Klien tepercaya Anda memiliki alamat IP 198.51.100.27.

  • Instans NAT Anda memiliki Alamat IP Elastis 203.0.113.73.

  • Instans NAT Anda memiliki grup keamanan sg-ce56b7a9.

Untuk terhubung ke ElastiCache sumber daya Anda menggunakan instans NAT

  1. Buat instans NAT di VPC yang sama dengan klaster cache Anda tetapi di subnet publik.

    Secara default, wizard VPC akan meluncurkan jenis simpul cache.m1.small. Anda harus memilih ukuran simpul berdasarkan kebutuhan Anda. Anda harus menggunakan EC2 NAT AMI untuk dapat mengakses ElastiCache dari luar AWS.

    Untuk informasi tentang membuat instance NAT, lihat Instans NAT di Panduan Pengguna VPC AWS .

  2. Buat aturan grup keamanan untuk klaster cache dan instans NAT.

    Grup keamanan instans NAT dan instans klaster harus memiliki aturan berikut:

    • Dua aturan masuk

      • Dengan Memcached, aturan pertama adalah mengizinkan koneksi TCP dari klien tepercaya ke setiap port cache yang diteruskan dari instance NAT (11211 - 11213).

      • Dengan Valkey dan Redis OSS, aturan pertama adalah mengizinkan koneksi TCP dari klien tepercaya ke setiap port cache yang diteruskan dari instance NAT (6379 - 6381).

      • Aturan kedua untuk memungkinkan akses SSH ke klien tepercaya.

      Grup keamanan instance NAT - aturan masuk dengan Memcached
      Tipe Protokol Rentang port Sumber
      Aturan TCP Kustom TCP 11211-11213 198.51.100.27/32
      SSH TCP 22 198.51.100.27/32
      Grup keamanan instans NAT - aturan masuk dengan Valkey atau Redis OSS
      Tipe Protokol Rentang port Sumber
      Aturan TCP Kustom TCP 6379-6380 198.51.100.27/32
      SSH TCP 22 203.0.113.73/32

    • Dengan Memcached, aturan keluar untuk memungkinkan koneksi TCP ke port cache (11211).

      Grup keamanan instans NAT - aturan keluar
      Jenis Protokol Rentang Port Tujuan
      Aturan TCP Kustom TCP 11211 sg-ce56b7a9 (Grup Keamanan instans klaster)

    • Dengan Valkey atau Redis OSS, aturan keluar untuk memungkinkan koneksi TCP ke port cache (6379).

      Grup keamanan instans NAT - aturan keluar
      Jenis Protokol Rentang Port Tujuan
      Aturan TCP Kustom TCP 6379 sg-ce56b7a9 (Grup Keamanan instans klaster)

    • Dengan Memcached, aturan masuk untuk grup keamanan cluster yang memungkinkan koneksi TCP dari instance NAT ke port cache (11211).

      Grup keamanan instans klaster - aturan masuk
      Jenis Protokol Rentang port Sumber
      Aturan TCP Kustom TCP 11211 sg-bd56b7da (Grup Keamanan NAT)

    • Dengan Valkey atau Redis OSS, aturan masuk untuk grup keamanan cluster yang memungkinkan koneksi TCP dari instance NAT ke port cache (6379).

      Grup keamanan instans klaster - aturan masuk
      Jenis Protokol Rentang port Sumber
      Aturan TCP Kustom TCP 6379 sg-bd56b7da (Grup Keamanan Klaster)

  3. Validasi aturan.

    • Konfirmasikan bahwa klien tepercaya dapat melakukan SSH ke instans NAT.

    • Konfirmasikan bahwa klien tepercaya dapat terhubung ke klaster dari instans NAT.

  4. Memcache

    Tambahkan aturan iptables ke instans NAT.

    Aturan iptables harus ditambahkan ke tabel NAT untuk setiap simpul di klaster untuk meneruskan port cache dari instans NAT ke simpul klaster. Contohnya mungkin terlihat seperti berikut:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11211 -j DNAT --to 10.0.1.230:11211

    Nomor port harus unik untuk setiap simpul di klaster. Misalnya, jika ada klaster Memcached tiga simpul menggunakan port 11211 - 11213, aturan akan terlihat seperti berikut:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11211 -j DNAT --to 10.0.1.230:11211
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11212 -j DNAT --to 10.0.1.231:11211
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11213 -j DNAT --to 10.0.1.232:11211

    Konfirmasikan bahwa klien tepercaya dapat terhubung ke klaster.

    Klien tepercaya harus terhubung ke EIP yang terkait dengan instans NAT dan port klaster yang sesuai dengan simpul klaster yang sesuai. Misalnya, string koneksi untuk PHP mungkin terlihat seperti berikut:

    $memcached->connect( '203.0.113.73', 11211 );
$memcached->connect( '203.0.113.73', 11212 );
$memcached->connect( '203.0.113.73', 11213 );

    Klien telnet juga dapat digunakan untuk memverifikasi koneksi. Misalnya:

    telnet 203.0.113.73 11211
telnet 203.0.113.73 11212
telnet 203.0.113.73 11213

    Valkey atau Redis OSS

    Tambahkan aturan iptables ke instans NAT.

    Aturan iptables harus ditambahkan ke tabel NAT untuk setiap simpul di klaster untuk meneruskan port cache dari instans NAT ke simpul klaster. Contohnya mungkin terlihat seperti berikut:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6379 -j DNAT --to 10.0.1.230:6379

    Nomor port harus unik untuk setiap simpul di klaster. Misalnya, jika bekerja dengan cluster Redis OSS tiga node menggunakan port 6379 - 6381, aturannya akan terlihat seperti berikut:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6379 -j DNAT --to 10.0.1.230:6379
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6380 -j DNAT --to 10.0.1.231:6379
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6381 -j DNAT --to 10.0.1.232:6379

    Konfirmasikan bahwa klien tepercaya dapat terhubung ke klaster.

    Klien tepercaya harus terhubung ke EIP yang terkait dengan instans NAT dan port klaster yang sesuai dengan simpul klaster yang sesuai. Misalnya, string koneksi untuk PHP mungkin terlihat seperti berikut:

    redis->connect( '203.0.113.73', 6379 );
redis->connect( '203.0.113.73', 6380 );
redis->connect( '203.0.113.73', 6381 );

    Klien telnet juga dapat digunakan untuk memverifikasi koneksi. Misalnya:

    telnet 203.0.113.73 6379
telnet 203.0.113.73 6380
telnet 203.0.113.73 6381

  5. Simpan konfigurasi iptables.

    Simpan aturan setelah Anda menguji dan memverifikasinya. Jika Anda menggunakan distribusi Linux berbasis Redhat (seperti Amazon Linux), jalankan perintah berikut:

    service iptables save

Topik terkait

Topik-topik berikut mungkin menarik bagi Anda.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.