Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengakses ElastiCache klaster atau grup replikasi
ElastiCache Instans Amazon Anda dirancang untuk diakses melalui EC2 instans Amazon.
Jika meluncurkan ElastiCache instans di Amazon Virtual Private Cloud (Amazon VPC), Anda dapat mengakses ElastiCache instans dari instans Amazon EC2 di VPC Amazon yang sama. Atau, dengan menggunakan VPC peering, Anda dapat mengakses ElastiCache instans Anda dari Amazon EC2 di VPC Amazon yang berbeda.
Jika meluncurkan ElastiCache instans di EC2 Classic, Anda mengizinkan EC2 instans mengakses klaster Anda dengan memberikan grup EC2 keamanan Amazon yang terkait dengan akses instans ke grup keamanan cache Anda. Secara default, akses ke klaster dibatasi pada akun yang meluncurkan klaster tersebut.
**Topics**
+ [Memberikan akses ke klasteratau grup replikasi Anda](#grant-access)
## Memberikan akses ke klasteratau grup replikasi Anda
### Anda meluncurkan cluster Anda ke EC2 -VPC
Jika meluncurkan klaster ke Amazon Virtual Private Cloud (Amazon VPC), Anda dapat terhubung ke ElastiCache klaster hanya dari EC2 instans Amazon yang berjalan di VPC Amazon yang sama. Dalam hal ini, Anda akan perlu memberikan izin masuk jaringan ke klaster.
**catatan**
Pastikan Anda telah mengaktifkan *Zona Lokal* jika Anda menggunakannya. Untuk informasi selengkapnya, lihat [Mengaktifkan Zona Lokal](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/using-regions-availability-zones.html#opt-in-local-zone). Dengan mengaktifkannya, VPC Anda diperluas ke Zona Lokal dan VPC Anda akan memperlakukan subnet seperti subnet apa pun di Zona Ketersediaan yang lain. Gateway, tabel rute dan pertimbangan grup keamanan lainnya yang berkaitan akan menyesuaikan secara otomatis.
**Untuk memberikan izin masuk jaringan dari grup keamanan Amazon VPC ke klaster**
1. Masuk ke Konsol Manajemen AWS dan buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Pada panel navigasi, di bagian **Jaringan & Keamanan**, pilih **Grup Keamanan**.
1. Dari daftar grup keamanan, pilih grup keamanan untuk Amazon VPC Anda. Kecuali Anda membuat grup keamanan untuk ElastiCache digunakan, grup keamanan ini akan diberi nama *default*.
1. Pilih tab **Masuk**, lalu lakukan hal berikut:
1. Pilih **Edit**.
1. Pilih **Tambahkan aturan**.
1. Di kolom **Jenis**, pilih **Aturan TCP kustom**.
1. Di kotak **Rentang port**, ketik nomor port untuk simpul klaster Anda. Nomor ini harus sama dengan yang Anda tentukan saat meluncurkan klaster. Port default untuk Memcached adalah **11211** Port default untuk Valkey dan Redis OSS adalah. **6379**
1. Di kotak **Sumber**, pilih **Anywhere** yang memiliki rentang port (0.0.0.0/0) sehingga EC2 instans Amazon apa pun yang Anda luncurkan dalam VPC Amazon Anda dapat terhubung ke node Anda. ElastiCache
**penting**
Membuka ElastiCache cluster ke 0.0.0.0/0 tidak mengekspos cluster ke Internet karena tidak memiliki alamat IP publik dan oleh karena itu tidak dapat diakses dari luar VPC. Namun, grup keamanan default dapat diterapkan ke EC2 instans Amazon lainnya di akun pelanggan, dan instans tersebut mungkin memiliki alamat IP publik. Jika instans tersebut menjalankan sesuatu di port default, layanan tersebut dapat terekspos secara tak disengaja. Oleh karena itu, sebaiknya membuat Grup Keamanan VPC yang akan digunakan secara eksklusif oleh ElastiCache. Untuk informasi selengkapnya, lihat [Grup Keamanan Kustom](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#creating-your-own-security-groups).
1. Pilih **Simpan**.
Saat Anda meluncurkan EC2 instans Amazon ke VPC Amazon Anda, instance itu akan dapat terhubung ke cluster Anda ElastiCache .
### Mengakses ElastiCache sumber daya dari luar AWS
Amazon ElastiCache adalah AWS layanan yang menyediakan penyimpanan nilai kunci dalam memori berbasis cloud. Layanan ini dirancang untuk diakses secara eksklusif dari dalam AWS. Namun, jika ElastiCache cluster di-host di dalam VPC, Anda dapat menggunakan instance Network Address Translation (NAT) untuk menyediakan akses luar.
#### Persyaratan
Persyaratan berikut harus dipenuhi agar Anda dapat mengakses ElastiCache sumber daya Anda dari luar AWS:
+ Klaster harus berada dalam VPC dan diakses melalui instans Network Address Translation (NAT). Tidak ada pengecualian untuk persyaratan ini.
+ Instans NAT harus diluncurkan di VPC yang sama dengan klaster.
+ Instans NAT harus diluncurkan di subnet publik yang terpisah dari klaster.
+ Alamat IP Elastis (EIP) harus dikaitkan dengan instans NAT. Fitur penerusan port iptables digunakan untuk meneruskan port di instans NAT ke port simpul cache dalam VPC.
#### Pertimbangan-pertimbangan
Pertimbangan berikut harus diingat saat mengakses ElastiCache sumber daya Anda dari luar. ElastiCache
+ Klien terhubung ke port EIP dan cache dari instans NAT. Port forwarding pada instance NAT meneruskan lalu lintas ke node cluster yang sesuai.
+ Jika simpul klaster ditambahkan atau diganti, aturan iptables perlu diperbarui untuk mencerminkan perubahan ini.
#### Batasan
Pendekatan ini harus digunakan untuk tujuan pengujian dan pengembangan saja. Sebaiknya jangan digunakan untuk produksi karena batasan berikut:
+ Instans NAT bertindak sebagai perantara antara klien dan beberapa klaster. Penambahan proxy berdampak pada kinerja cluster. Dampaknya meningkat dengan jumlah cluster yang Anda akses melalui instance NAT.
+ Lalu lintas dari klien ke instans NAT tidak terenkripsi. Oleh karena itu, Anda harus menghindari pengiriman data sensitif melalui instans NAT.
+ Instans NAT menambahkan overhead untuk memelihara instans lain.
+ Instans NAT berfungsi sebagai satu titik kegagalan. Untuk informasi tentang cara mengatur NAT ketersediaan tinggi di VPC, lihat [Ketersediaan Tinggi untuk Instans NAT Amazon VPC: Contoh](https://aws.amazon.com/articles/2781451301784570).
#### Cara mengakses ElastiCache sumber daya dari luar AWS
Prosedur berikut menunjukkan cara menghubungkan ke ElastiCache sumber daya Anda menggunakan instance NAT.
Langkah-langkah ini mengasumsikan hal berikut:
+ `iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6380 -j DNAT --to 10.0.1.231:6379`
+ `iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6381 -j DNAT --to 10.0.1.232:6379`
Selanjutnya Anda membutuhkan NAT ke arah yang berlawanan:
`iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.0.0.55`
Anda juga perlu mengaktifkan penerusan IP, yang dinonaktifkan secara default:
`sudo sed -i 's/net.ipv4.ip_forward=0/net.ipv4.ip_forward=1/g' /etc/sysctl.conf sudo sysctl --system`
+ Anda mengakses klaster Memcached dengan:
+ Alamat IP – *10.0.1.230*
+ Port Memcached default – *11211*
+ Grup keamanan – *\$110\$1.0\$1.0\$1.55\$1*
+ Anda mengakses cluster Valkey atau Redis OSS dengan:
+ Alamat IP – *10.0.1.230*
+ Port standar - *6379*
+ Grup keamanan – *sg-bd56b7da*
+ AWS alamat IP instance — *198.99.100.27*
+ Klien tepercaya Anda memiliki alamat IP *198.51.100.27*.
+ Instans NAT Anda memiliki Alamat IP Elastis *203.0.113.73*.
+ Instans NAT Anda memiliki grup keamanan *sg-ce56b7a9*.
**Untuk terhubung ke ElastiCache sumber daya Anda menggunakan instans NAT**
1. Buat instance NAT di VPC yang sama dengan cluster Anda tetapi di subnet publik.
Secara default, wizard VPC akan meluncurkan jenis simpul *cache.m1.small*. Anda harus memilih ukuran simpul berdasarkan kebutuhan Anda. Anda harus menggunakan EC2 NAT AMI untuk dapat mengakses ElastiCache dari luar AWS.
Untuk informasi tentang membuat instance NAT, lihat [Instans NAT di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html) VPC AWS.
1. Buat aturan grup keamanan untuk cluster dan instance NAT.
Grup keamanan instans NAT dan instans klaster harus memiliki aturan berikut:
+ Dua aturan masuk
+ Dengan Memcached, aturan pertama adalah mengizinkan koneksi TCP dari klien tepercaya ke setiap port cache yang diteruskan dari instance NAT (11211 - 11213).
+ Dengan Valkey dan Redis OSS, aturan pertama adalah mengizinkan koneksi TCP dari klien tepercaya ke setiap port cache yang diteruskan dari instance NAT (6379 - 6381).
+ Aturan kedua untuk memungkinkan akses SSH ke klien tepercaya.
**Grup keamanan instance NAT - aturan masuk dengan Memcached**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonElastiCache/latest/dg/accessing-elasticache.html)
**Grup keamanan instans NAT - aturan masuk dengan Valkey atau Redis OSS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonElastiCache/latest/dg/accessing-elasticache.html)
+ Dengan Memcached, aturan keluar untuk memungkinkan koneksi TCP ke port cache (11211).
**Grup keamanan instans NAT - aturan keluar**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonElastiCache/latest/dg/accessing-elasticache.html)
+ Dengan Valkey atau Redis OSS, aturan keluar untuk memungkinkan koneksi TCP ke port cache (6379).
**Grup keamanan instans NAT - aturan keluar**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonElastiCache/latest/dg/accessing-elasticache.html)
+ Dengan Memcached, aturan masuk untuk grup keamanan cluster yang memungkinkan koneksi TCP dari instance NAT ke port cache (11211).
**Grup keamanan instans klaster - aturan masuk**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonElastiCache/latest/dg/accessing-elasticache.html)
+ Dengan Valkey atau Redis OSS, aturan masuk untuk grup keamanan cluster yang memungkinkan koneksi TCP dari instance NAT ke port cache (6379).
**Grup keamanan instans klaster - aturan masuk**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonElastiCache/latest/dg/accessing-elasticache.html)
1. Validasi aturan.
+ Konfirmasikan bahwa klien tepercaya dapat melakukan SSH ke instans NAT.
+ Konfirmasikan bahwa klien tepercaya dapat terhubung ke klaster dari instans NAT.
1. **Memcache**
Tambahkan aturan iptables ke instans NAT.
Aturan iptables harus ditambahkan ke tabel NAT untuk setiap simpul di klaster untuk meneruskan port cache dari instans NAT ke simpul klaster. Contohnya mungkin terlihat seperti berikut:
```
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11211 -j DNAT --to 10.0.1.230:11211
```
Nomor port harus unik untuk setiap simpul di klaster. Misalnya, jika ada klaster Memcached tiga simpul menggunakan port 11211 - 11213, aturan akan terlihat seperti berikut:
```
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11211 -j DNAT --to 10.0.1.230:11211
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11212 -j DNAT --to 10.0.1.231:11211
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 11213 -j DNAT --to 10.0.1.232:11211
```
Konfirmasikan bahwa klien tepercaya dapat terhubung ke klaster.
Klien tepercaya harus terhubung ke EIP yang terkait dengan instans NAT dan port klaster yang sesuai dengan simpul klaster yang sesuai. Misalnya, string koneksi untuk PHP mungkin terlihat seperti berikut:
```
$memcached->connect( '203.0.113.73', 11211 );
$memcached->connect( '203.0.113.73', 11212 );
$memcached->connect( '203.0.113.73', 11213 );
```
Klien telnet juga dapat digunakan untuk memverifikasi koneksi. Contoh:
```
telnet 203.0.113.73 11211
telnet 203.0.113.73 11212
telnet 203.0.113.73 11213
```
**Valkey atau Redis OSS**
Tambahkan aturan iptables ke instans NAT.
Aturan iptables harus ditambahkan ke tabel NAT untuk setiap simpul di klaster untuk meneruskan port cache dari instans NAT ke simpul klaster. Contohnya mungkin terlihat seperti berikut:
```
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6379 -j DNAT --to 10.0.1.230:6379
```
Nomor port harus unik untuk setiap simpul di klaster. Misalnya, jika bekerja dengan cluster Redis OSS tiga node menggunakan port 6379 - 6381, aturannya akan terlihat seperti berikut:
```
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6379 -j DNAT --to 10.0.1.230:6379
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6380 -j DNAT --to 10.0.1.231:6379
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6381 -j DNAT --to 10.0.1.232:6379
```
Konfirmasikan bahwa klien tepercaya dapat terhubung ke klaster.
Klien tepercaya harus terhubung ke EIP yang terkait dengan instans NAT dan port klaster yang sesuai dengan simpul klaster yang sesuai. Misalnya, string koneksi untuk PHP mungkin terlihat seperti berikut:
```
redis->connect( '203.0.113.73', 6379 );
redis->connect( '203.0.113.73', 6380 );
redis->connect( '203.0.113.73', 6381 );
```
Klien telnet juga dapat digunakan untuk memverifikasi koneksi. Misalnya:
```
telnet 203.0.113.73 6379
telnet 203.0.113.73 6380
telnet 203.0.113.73 6381
```
1. Simpan konfigurasi iptables.
Simpan aturan setelah Anda menguji dan memverifikasinya. Jika Anda menggunakan distribusi Linux berbasis Redhat (seperti Amazon Linux), jalankan perintah berikut:
```
service iptables save
```
#### Topik terkait
Topik-topik berikut mungkin menarik bagi Anda.
+ [Pola Akses untuk Mengakses ElastiCache Cache di VPC Amazon](elasticache-vpc-accessing.md)
+ [Mengakses ElastiCache Cache dari Aplikasi yang Berjalan di Pusat Data Pelanggan](elasticache-vpc-accessing.md#elasticache-vpc-accessing-data-center)
+ [Instans NAT](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html)
+ [Mengkonfigurasi Klien ElastiCache ](ClientConfig.md)
+ [Ketersediaan Tinggi untuk Instans NAT Amazon VPC: Contoh](https://aws.amazon.com/articles/2781451301784570)