Topik ini menjelaskan cara mengonfigurasi rute secara manual antara Transit Router (TR) dan VPC Firewall sehingga VPC Firewall dapat melindungi seluruh traffic antara Virtual Private Cloud (VPC) yang terhubung melalui TR.
Kasus penggunaan
Cloud Firewall dapat melindungi traffic antara instans jaringan yang terhubung melalui Cloud Enterprise Network (CEN) Transit Router (TR). Instans jaringan tersebut mencakup Virtual Private Cloud (VPC), Virtual Border Router (VBR), Cloud Connect Network (CCN), dan gateway VPN.
Topik ini menjelaskan cara mengonfigurasi mode pengalihan traffic manual untuk VPC Firewall guna melindungi traffic antara beberapa VPC dalam wilayah yang sama.
Diagram arsitektur
Prasyarat
Anda telah membuat instans Cloud Enterprise Network (CEN) di Konsol CEN dan dua Virtual Private Cloud (VPC). Topik ini menggunakan VPC-01 dan VPC-02 sebagai contoh. Untuk informasi lebih lanjut, lihat Buat instans CEN.
Langkah 1: Buat VPC untuk firewall
VPC Firewall memerlukan VPC khusus. Anda harus membuat VPC baru untuk tujuan ini.
Pastikan VPC firewall dan CEN Transit Router (TR) berada dalam akun yang sama. Jika tidak, Anda tidak dapat membuat VPC Firewall.
Masuk ke Konsol Virtual Private Cloud.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat VPC, lalu klik Create VPC.
Pada kotak dialog Create VPC, konfigurasikan parameter seperti yang dijelaskan dalam tabel berikut, lalu klik OK.
Parameter
Deskripsi
Region
Pilih wilayah tempat Anda ingin mengaktifkan VPC Firewall.
Name
Masukkan nama untuk instans VPC. Topik ini menggunakan Cfw-TR-manual-VPC sebagai contoh.
IPv4 CIDR
Blok CIDR IPv4 utama untuk VPC. Tentukan blok CIDR pribadi dengan panjang awalan minimal /26. Blok CIDR tidak boleh tumpang tindih dengan blok CIDR layanan Anda.
vSwitch
vSwitch untuk koneksi instans jaringan. Anda memerlukan blok CIDR pribadi dengan panjang awalan minimal /28.
Dua vSwitch diperlukan untuk koneksi instans jaringan TR. Anda harus membuatnya di dua zona ketersediaan berbeda yang mendukung layanan TR. Untuk mengurangi latensi, pilih zona ketersediaan tempat layanan Anda ditempatkan. vSwitch ketiga digunakan untuk VPC Firewall dan dapat berada di zona ketersediaan mana pun.
Pada topik ini, primary vSwitch untuk koneksi TR diberi nama TR-Vswitch-01, secondary vSwitch diberi nama TR-VSwitch-02, dan vSwitch untuk VPC Firewall diberi nama Cfw-Vswitch.
Pada halaman VPC, temukan instans VPC firewall Cfw-TR-manual-VPC dan klik ID instans-nya.
Pada halaman detail instans, klik tab Resource Management. Di bagian Route Table, klik Add.
Pada kotak dialog Create Route Table, konfigurasikan tabel rute seperti yang dijelaskan dalam tabel berikut, lalu klik OK.
Parameter
Deskripsi
VPC
Pilih VPC firewall yang telah Anda buat. Topik ini menggunakan Cfw-TR-manual-VPC sebagai contoh.
Associated Resource Type
Pilih vSwitch.
Name
Masukkan nama untuk custom route table. Topik ini menggunakan VPC-CFW-RouteTable sebagai contoh.
Langkah 2: Hubungkan VPC firewall ke TR
Langkah ini membuat koneksi antara instans VPC (Cfw-TR-manual-VPC) dan Transit Router (TR) Edisi Perusahaan.
- Masuk ke Konsol CEN.
Pada halaman CEN Instance, temukan instans CEN tempat Anda ingin mengalihkan traffic ke VPC Firewall, lalu klik ID instans-nya.
Pada tab Basic Settings halaman detail instans, klik Create Connection di kolom Actions. Atau, klik ikon
di sebelah kanan informasi dasar VPC.Pada halaman Create Intra-Region Connection, konfigurasikan koneksi antara Cfw-TR-manual-VPC dan Transit Router.
Tabel berikut menjelaskan parameter utama untuk membuat koneksi instans jaringan.
Parameter
Deskripsi
Network Type
Jenis instans jaringan yang akan dihubungkan ke CEN. Pilih Virtual Private Cloud (VPC).
Region
Wilayah instans jaringan yang akan dihubungkan ke CEN. Ini harus sama dengan wilayah tempat Anda membuat Cfw-TR-manual-VPC.
Networks
Instans jaringan yang akan dihubungkan ke CEN. Pilih ID instans Cfw-TR-manual-VPC.
VSwitch
vSwitch yang akan dikaitkan dengan koneksi instans jaringan. Pilih TR-Vswitch-01 sebagai primary vSwitch dan TR-VSwitch-02 sebagai secondary vSwitch.
Untuk informasi tentang parameter lainnya, lihat Buat koneksi VPC menggunakan router transit edisi perusahaan.
Langkah 3: Buat koneksi jaringan untuk VPC
Anda harus membuat koneksi instans jaringan terpisah untuk VPC-01 dan VPC-02 agar dapat menyambungkannya ke instans CEN.
Untuk informasi lebih lanjut, lihat Buat koneksi VPC menggunakan router transit edisi perusahaan.
Langkah 4: Buat VPC Firewall
Pada langkah ini, Anda membuat VPC Firewall untuk Cfw-TR-manual-VPC.
Di Konsol Cloud Firewall, navigasikan ke Firewall > VPC Firewall. Pada tab CEN (Enterprise Edition), temukan instans TR tempat Anda ingin membuat firewall dan klik Create di kolom Actions. Saat membuat VPC Firewall, atur Manual ke Manual, atur VPC ke Cfw-TR-manual-VPC, dan atur vSwitch ke Cfw-Vswitch. Untuk informasi lebih lanjut, lihat Konfigurasikan VPC Firewall untuk Transit Router Edisi Perusahaan.
Setelah menyelesaikan langkah ini, Cloud Firewall membuat antarmuka jaringan elastis (ENI) di Cfw-Vswitch untuk pengalihan traffic. Anda dapat melihat ENI ini, yang secara default diberi nama cfw-bonding-eni, pada halaman Network & Security > ENIs di Konsol ECS. ENI ini merupakan antarmuka jaringan virtual untuk konfigurasi routing. Kluster firewall secara default terikat ke beberapa ENI virtual di zona ketersediaan berbeda untuk memastikan ketersediaan tinggi. Dalam mode pengalihan traffic manual, kluster firewall menyediakan ketersediaan tinggi dengan beroperasi dalam model dual-active di dua zona ketersediaan yang ditetapkan secara otomatis.
Langkah 5: Konfigurasikan rute untuk VPC firewall
Pada langkah ini, Anda mengonfigurasi rute VPC untuk mengalihkan traffic dari TR ke VPC Firewall guna inspeksi, lalu meneruskan kembali traffic yang telah diperiksa ke TR.
Masuk ke Konsol Virtual Private Cloud.
Pada halaman Route Table, pilih tabel rute sistem instans VPC firewall.
Pada tab Route Entry List, klik tab Custom Route.
Klik Add Route Entry, konfigurasikan entri rute seperti yang dijelaskan dalam bagian berikut, lalu hapus entri rute kustom lainnya jika ada.
Parameter utama:
Destination CIDR Block: Atur ke 0.0.0.0/0.
Next Hop Type: Atur ke ENI.
ENI: Pilih cfw-bonding-eni yang telah Anda buat di Langkah 4.
Setelah menyelesaikan langkah ini, traffic yang diteruskan dari TR ke VPC firewall dialihkan ke VPC Firewall.
Pada halaman Route Table, buka tabel rute kustom VPC-CFW-RouteTable yang telah Anda buat. Pada tab Associated vSwitch, klik Associate vSwitch, atur vSwitch ke Cfw-Vswitch, lalu klik OK.
Pada tab Route Entry List, klik tab Custom Route. Klik Add Route Entry, konfigurasikan entri rute seperti yang dijelaskan dalam bagian berikut, lalu hapus entri rute kustom lainnya jika ada.
Parameter utama:
Destination CIDR Block: Atur ke 0.0.0.0/0.
Next Hop Type: Atur ke Transit Router.
Transit Router: Pilih koneksi instans jaringan untuk VPC firewall.
Setelah menyelesaikan langkah ini, VPC Firewall meneruskan kembali traffic yang telah diproses ke TR.
Langkah 6: Konfigurasikan rute untuk TR
Pada langkah ini, Anda mengonfigurasi rute TR untuk VPC-01, VPC-02, dan VPC firewall guna memastikan bahwa traffic antara VPC-01 dan VPC-02 melewati VPC Firewall.
- Masuk ke Konsol CEN.
Di Cloud Enterprise Network, temukan TR tempat Anda ingin mengaktifkan VPC Firewall, klik ID instans-nya, lalu buka tab Route Table.
Pada tab Route Table, klik tabel rute sistem di daftar sebelah kiri.
Pada halaman detail tabel rute sistem, klik tab Route Propagation.
Pada tab Route Propagation, buat dua entri propagasi rute. Pilih koneksi untuk VPC-01 dan VPC-02.
Operasi ini mengaktifkan propagasi rute untuk tabel rute sistem, yang secara otomatis mempelajari rute dari VPC-01 dan VPC-02.
Setelah mengonfigurasi Route Propagation, Anda dapat melihat rute yang dipelajari pada tab Route Entry.
Pada halaman detail tabel rute sistem, klik tab Route Table Association.
Pada tab Route Table Association, klik Create Association.
Pada kotak dialog Add Association, pilih koneksi Cfw-TR-manual-VPC.
Setelah menyelesaikan langkah ini, VPC firewall dapat secara otomatis meneruskan traffic ke VPC-01 dan VPC-02 melalui TR.
Pada halaman Route Table, klik Create Route Table di panel kiri. Pada kotak dialog Create Route Table, konfigurasikan tabel rute.
Untuk Transit Router, pilih TR tempat Anda ingin mengaktifkan VPC Firewall dan tentukan nama untuk tabel rute. Topik ini menggunakan Cfw-TR-RouteTable sebagai contoh.
Tabel rute baru, Cfw-TR-RouteTable, meneruskan traffic dari VPC-01 dan VPC-02 ke VPC firewall, Cfw-TR-manual-VPC.
Temukan tabel rute Cfw-TR-RouteTable dan klik Add Route Entry. Pada kotak dialog Add Route Entry, konfigurasikan entri rute.
Parameter:
Destination CIDR: Atur ke blok CIDR default
0.0.0.0/0.Blackhole Route: Atur ke opsi default
No.Next Hop: Pilih ID instans koneksi TR yang sesuai dengan instans VPC firewall Cfw-TR-manual-VPC.
Pada tab Route Table, klik tabel rute sistem di daftar sebelah kiri. Kemudian, pada halaman detail, klik tab Route Table Association.
PeringatanLakukan operasi ini selama jam sepi atau jendela pemeliharaan. Langkah-langkah berikut melibatkan pergantian rute, yang dapat menyebabkan pemutusan sementara pada koneksi TCP berdurasi panjang.
Pada tab Route Table Association, hapus asosiasi tabel rute yang next hop-nya adalah VPC-01 dan VPC-02. Lalu, pada tab Route Table, klik tabel rute Cfw-TR-RouteTable di daftar sebelah kiri.
Pada halaman detail, klik tab Route Table Association, lalu klik Create Association.
Pada kotak dialog Add Association, untuk Route Table Association, pilih VPC-01 dan VPC-02, lalu klik OK.
Setelah menyelesaikan langkah ini, traffic dari VPC-01 dan VPC-02 dikaitkan dengan Cfw-TR-RouteTable. Traffic antara VPC-01 dan VPC-02 kemudian diteruskan ke VPC firewall.
Langkah 7: Verifikasi konfigurasi
Anda dapat memeriksa log traffic dari instans CEN di fitur Log Analysis. Kehadiran log yang relevan mengonfirmasi bahwa konfigurasi penerusan berhasil. Untuk informasi lebih lanjut, lihat Log Analysis.