All Products
Search

This Product

    Cloud Network Well-architected Design Guidelines:Sebarkan satu VPC di wilayah

    Document Center

    Cloud Network Well-architected Design Guidelines:Sebarkan satu VPC di wilayah

    Last Updated:Dec 18, 2025

    Ikhtisar

    Informasi latar belakang

    Virtual private clouds (VPCs) adalah komponen paling dasar dalam komputasi awan. Langkah pertama untuk memigrasikan bisnis Anda ke cloud adalah membuat VPC. Desain jaringan yang tidak tepat dapat mengakibatkan potensi masalah skalabilitas. Rekonfigurasi jaringan tidak hanya meningkatkan biaya tetapi juga dapat mengganggu alur kerja bisnis. Jika Anda ingin membatasi akses Internet untuk beberapa bisnis dan mengisolasi bisnis tersebut satu sama lain, Anda bisa menyebarkan satu VPC di wilayah. Kami menyarankan Anda mencatat alokasi alamat, subnetting, konfigurasi rute, dan penguatan keamanan yang dijelaskan dalam topik ini.

    Istilah

    VPC: VPC adalah jaringan pribadi eksklusif di cloud. Anda memiliki kontrol penuh atas VPC Anda. Misalnya, Anda dapat menentukan blok CIDR, dan mengonfigurasi tabel rute dan gateway untuk VPC Anda. Anda dapat menyebarkan sumber daya cloud, seperti instance Elastic Compute Service (ECS), instance ApsaraDB RDS, dan instance Server Load Balancer (SLB), di VPC Anda. Setiap VPC terdiri setidaknya dari blok CIDR pribadi, vSwitch, dan tabel rute.

    • Blok CIDR pribadi: Saat Anda membuat VPC dan vSwitch, Anda harus menentukan rentang alamat IP pribadi untuk VPC dalam notasi CIDR.

    • Tabel rute: Setelah Anda membuat VPC, sistem secara otomatis membuat tabel rute sistem dan menambahkan rute sistem ke tabel tersebut. Tabel rute mendefinisikan bagaimana lalu lintas diteruskan untuk VPC.

    • vSwitch: Anda dapat membuat vSwitches untuk membagi VPC menjadi satu atau lebih subnet. vSwitches yang berada di VPC yang sama dapat berkomunikasi satu sama lain. Anda dapat menyebarkan aplikasi Anda di vSwitches yang termasuk dalam zona berbeda untuk meningkatkan ketersediaan layanan.

    Gateway IPv4: Gateway IPv4 adalah gerbang Internet yang menghubungkan VPC ke Internet. Lalu lintas Internet masuk dan keluar IPv4 diteruskan dan dikontrol oleh gateway IPv4, yang memfasilitasi manajemen dan kontrol akses Internet. Anda dapat mengonfigurasi rute untuk gateway IPv4 VPC Anda untuk mengatur akses Internet untuk instance di VPC. Misalnya, hanya vSwitches yang rutenya mengarah ke gateway IPv4 yang dapat mengakses Internet.

    Gateway NAT: Gateway NAT menyediakan layanan NAT dan diklasifikasikan menjadi gateway NAT Internet dan gateway NAT VPC. Jika beberapa instance ECS perlu mengakses Internet, Anda dapat menggunakan fitur SNAT dari gateway NAT Internet untuk memungkinkan instance ECS mengakses Internet dengan menggunakan elastic IP addresses (EIPs) dari gateway NAT. Ini menghemat sumber daya alamat IP publik. Untuk meningkatkan keamanan jaringan, Anda dapat menerjemahkan dan menyembunyikan alamat layanan cloud untuk mencegah paparan alamat pribadi. Gateway NAT VPC dapat mencegah konflik alamat IP dengan menerjemahkan alamat IP pribadi.

    SLB: Jika hanya satu instance ECS yang digunakan untuk menyediakan layanan melalui Internet, single point of failure (SPOF) mungkin terjadi, yang mengganggu ketersediaan sistem. Kami menyarankan Anda menggunakan instance SLB sebagai titik masuk lalu lintas Internet terpadu dan menambahkan beberapa instance ECS di zona berbeda ke instance SLB sebagai server backend. Ini mencegah SPOF dan meningkatkan ketersediaan layanan.

    Highlight solusi

    Keamanan: Aplikasi yang dapat diakses Internet dan aplikasi yang tidak dapat diakses Internet ditempatkan di vSwitches yang berbeda. Anda dapat menggunakan daftar kontrol akses (ACL) untuk mengontrol akses antara vSwitches dan menggunakan grup keamanan untuk mengontrol akses antara kelompok server. Untuk memperkuat keamanan sistem aplikasi, Anda dapat menggunakan Cloud Firewall untuk meningkatkan perlindungan di batas Internet, batas VPC, dan batas gateway NAT.

    Skalabilitas: Untuk memastikan VPC Anda dapat memenuhi kebutuhan pengembangan bisnis jangka panjang, pesanlah alamat IP yang cukup dan tidak bertentangan. Jika tidak, arsitektur jaringan Anda mungkin memerlukan perubahan besar.

    Reliabilitas: Kami menyarankan Anda menggunakan setidaknya dua vSwitches saat menyebarkan satu VPC di suatu wilayah. Untuk memastikan zona redundansi aktif, pastikan vSwitches ditempatkan di zona berbeda. Anda dapat menggabungkan VPC dengan layanan jaringan lainnya, seperti NAT Gateway, SLB, dan Cloud Enterprise Network (CEN), untuk menerapkan penyebaran lintas zona.

    Observabilitas: Anda dapat menggunakan Network Intelligence Service (NIS) untuk memvisualisasikan kualitas jaringan, lalu lintas jaringan, inspeksi dan diagnostik instans jaringan, serta topologi jaringan. Visualisasi data ini menyederhanakan pemeliharaan jaringan. Selain itu, Anda dapat menggunakan log aliran dan pencerminan lalu lintas untuk mengamati lalu lintas jaringan dan menyelesaikan kesalahan.

    Desain utama

    Poin-poin utama berikut menunjukkan cara merancang penyebaran satu VPC di wilayah dari berbagai dimensi untuk memenuhi persyaratan berbeda:

    Persyaratan jaringan yang jelas

    Anda harus mempertimbangkan semua faktor yang mungkin saat memilih wilayah dan zona, seperti latensi jaringan dan layanan cloud yang didukung.

    • Kualitas Internet menentukan aksesibilitas. Anda dapat menggunakan NIS untuk memprobing aksesibilitas Internet dan memantau hasil probing harian.

    • Jika bisnis Anda memerlukan latensi jaringan rendah, Anda dapat menggunakan NIS untuk menguji konektivitas antara jaringan cloud dan memantau latensi jaringan antar zona di wilayah yang sama atau di wilayah berbeda.

    Anda juga perlu mengonfirmasi tujuan dan persyaratan penggunaan VPC. Sebagai contoh, persyaratan isolasi untuk VPC di lingkungan produksi dan lingkungan staging berbeda. Konfigurasi grup keamanan, konfigurasi ACL, konfigurasi Cloud Firewall, serta solusi jaringan ditentukan berdasarkan kebutuhan jaringan Anda.

    Alokasi Blok CIDR yang Tepat

    Alokasikan jumlah alamat IP yang sesuai untuk VPC Anda. Pesan alamat IP yang cukup untuk pengembangan bisnis tetapi jangan menyia-nyiakan sumber daya alamat IP. Sebarkan sejumlah vSwitches publik dan pribadi yang sesuai. Konfirmasikan vSwitch tempat setiap aplikasi berada. Pastikan aplikasi yang menghadap Internet dan aplikasi internal ditempatkan di domain aman di VPC.

    Rute yang presisi

    Jika Anda ingin menggunakan vSwitches publik dan pribadi untuk mengisolasi aplikasi publik dari aplikasi pribadi, Anda perlu mengaitkan vSwitches publik dan pribadi dengan tabel rute berbeda untuk mengisolasi lalu lintas jaringan. Anda dapat mengaktifkan tabel rute gateway untuk membatasi akses Internet untuk vSwitches.

    Keamanan

    Anda dapat menggunakan grup keamanan dan ACL untuk membatasi lalu lintas masuk dan keluar untuk VPC Anda. Misalnya, Anda dapat mengonfigurasi aturan grup keamanan untuk setiap instance atau layanan untuk mengizinkan akses hanya ke port tertentu atau melalui protokol tertentu. Grup keamanan dan ACL memberikan perlindungan dasar. Untuk meningkatkan keamanan, kami menyarankan Anda menggunakan Cloud Firewall.

    Aturan masuk dan keluar untuk lalu lintas Internet

    Kami menyarankan Anda menggunakan instance SLB sebagai titik masuk Internet untuk lalu lintas Internet. Jika Anda memiliki banyak server yang memerlukan akses Internet, Anda dapat menggunakan gateway NAT sebagai titik keluar Internet. Jika Anda ingin menyebarkan gateway NAT dan instance SLB di VPC Anda, Anda harus menetapkan vSwitch terpisah untuk gateway NAT dan VPC. vSwitch dari titik masuk dan keluar Internet harus diisolasi dari vSwitch aplikasi Anda untuk meningkatkan fleksibilitas dan keamanan jaringan.

    Ketersediaan tinggi

    Saat merancang VPC Anda, pertimbangkan persyaratan ketersediaan tinggi dan skalabilitas. Saat menyebarkan satu VPC di wilayah tertentu, gunakan setidaknya dua vSwitches. Anda dapat menggabungkan VPC dengan layanan jaringan lainnya untuk menerapkan penyebaran lintas zona, seperti NAT Gateway, SLB, dan CEN.

    Pemeliharaan dan pemantauan

    Observabilitas tinggi membantu insinyur O&M dan pengembang dengan cepat mengidentifikasi kesalahan, mengoptimalkan kinerja, serta memprediksi potensi kegagalan. Kami menyarankan Anda menggunakan NIS, log aliran, dan pencerminan lalu lintas untuk memvisualisasikan operasi O&M.

    Praktik terbaik

    image

    Ikhtisar solusi

    Saat merancang penyebaran satu VPC di wilayah tertentu, rancang seluruh arsitektur jaringan berdasarkan persyaratan bisnis Anda, termasuk jaringan internal pusat data, jaringan cloud hibrida, dan jaringan area luas di cloud.

    Solusi ini menggunakan VPC, vSwitches, dan gateway IPv4 untuk membangun pusat data di cloud. Hanya satu VPC yang disebarkan di wilayah.

    • Keamanan: VPC dibagi menjadi vSwitches publik dan pribadi, aplikasi yang menghadap Internet ditempatkan di vSwitches publik. Aplikasi internal dan database ditempatkan di vSwitches pribadi. Dalam gambar sebelumnya, server di vSwitch A dan vSwitch B tidak dapat mengakses Internet meskipun memiliki alamat IP publik. Anda dapat meningkatkan keamanan aplikasi dengan menggunakan grup keamanan, ACL, dan Cloud Firewall.

    • Skalabilitas: Sumber daya cloud seperti instance ECS, jaringan, dan perangkat penyimpanan menggunakan alamat IP. Kami menyarankan Anda menggunakan subnet mask besar untuk memesan alamat IP yang cukup. Jika alamat IP tidak cukup karena perencanaan yang tidak tepat, Anda dapat menambahkan blok CIDR sekunder untuk menyediakan lebih banyak alamat IP. Anda tidak dapat memodifikasi blok CIDR sekunder. VPC mendukung beberapa vSwitches publik dan pribadi yang memungkinkan Anda menyebarkan beberapa aplikasi.

    • Reliabilitas: Pastikan Anda membuat setidaknya dua vSwitches dari setiap jenis dan menyebarkan vSwitches di zona berbeda untuk menerapkan zona redundansi aktif.

    • Observabilitas: Anda dapat menggunakan NIS untuk memvisualisasikan kualitas jaringan, lalu lintas jaringan, inspeksi dan diagnostik instans jaringan, dan topologi jaringan.

    Prosedur

    1. Pilih wilayah dan zona

      Pilih wilayah sesuai lokasi pengguna Anda dan pilih zona berdasarkan ketersediaan sumber daya cloud serta persyaratan latensi. Untuk informasi lebih lanjut, lihat Pantau latensi jaringan rata-rata antar zona atau antar wilayah dan Pantau latensi akses Internet.

    2. Alokasikan alamat IP

      Anda dapat menggunakan blok CIDR RFC standar: 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16, atau subset mereka sebagai blok CIDR VPC. Anda juga dapat menentukan blok CIDR VPC kustom. Anda tidak dapat menentukan 100.64.0.0/10, 224.0.0.0/4, 127.0.0.0/8, 169.254.0.0/16, atau salah satu subnet mereka sebagai blok CIDR kustom.

      Jika Anda memiliki beberapa VPC atau ingin menyiapkan lingkungan cloud hibrida antara VPC dan pusat data Anda, kami menyarankan Anda menentukan subset blok CIDR RFC untuk VPC Anda. Dalam hal ini, kami menyarankan Anda menetapkan panjang subnet mask menjadi 20 bit atau lebih kecil. Pastikan bahwa blok CIDR VPC dan pusat data Anda tidak tumpang tindih. Saat Anda merencanakan blok CIDR vSwitch, Anda perlu mempertimbangkan jumlah instance ECS dan sumber daya cloud lainnya yang dapat dibuat di vSwitch. Kami menyarankan Anda menentukan blok CIDR besar untuk memesan alamat IP yang cukup untuk digunakan nanti. Namun, jangan tentukan blok CIDR yang melebihi kebutuhan bisnis Anda. Jika tidak, alamat IP idle VPC akan terbuang dan VPC lainnya tidak dapat diskalakan karena kekurangan alamat IP.

    3. Rancang vSwitches

      Catatan

      Buat setidaknya dua vSwitches dari setiap jenis dan sebarkan vSwitches di zona berbeda untuk menerapkan zona redundansi aktif.

      vSwitch

      Sumber daya di vSwitch

      vSwitches publik yang memiliki akses Internet

      vSwitch SLB

      Hanya instance SLB yang menghadap Internet, seperti instance ALB atau NLB, yang ditempatkan. Tidak ada instance ECS yang ditempatkan.

      vSwitch gateway NAT

      Hanya gateway NAT yang ditempatkan. Tidak ada instance ECS yang ditempatkan.

      vSwitch aplikasi

      Server aplikasi yang menghadap Internet ditempatkan. Namun, instance ECS tidak dapat mengakses Internet meskipun memiliki alamat IP publik. Instance ECS dapat menggunakan instance SLB atau gateway NAT untuk berkomunikasi dengan Internet.

      vSwitches pribadi yang tidak memiliki akses Internet

      vSwitch SLB

      Hanya instance SLB yang menghadap internal, seperti instance ALB atau NLB, yang ditempatkan. Tidak ada instance ECS yang ditempatkan.

      vSwitch aplikasi

      Server aplikasi atau database yang menghadap internal ditempatkan. Server tidak memiliki akses Internet.

      vSwitch router transit

      VPC menggunakan router transit untuk berkomunikasi dengan VPC lainnya dan virtual border routers (VBR) yang dilampirkan ke instans CEN.

    4. Rancang tabel rute

      vSwitch

      Zona

      Tabel rute terkait

      Konfigurasi rute

      vSwitches Publik

      vSwitch SLB

      Zona E dan Zona F

      Tabel rute sistem

      Arahkan rute default ke gateway IPv4 dan tambahkan instance ECS di vSwitch A ke instance SLB. Instance SLB berfungsi sebagai titik masuk untuk lalu lintas Internet.

      vSwitch gateway NAT

      Zona E dan Zona F

      vSwitch aplikasi

      Zona E dan Zona F

      Tabel rute kustom 1

      Arahkan rute default ke gateway NAT. Instance ECS dapat menggunakan gateway NAT untuk berkomunikasi dengan Internet atau ditambahkan ke instance SLB untuk menyediakan layanan ke Internet. Tidak ada rute default yang mengarah ke gateway IPv4 yang dikonfigurasikan. vSwitch A tidak memiliki rute default yang mengarah ke gateway IPv4. Instance ECS tidak dapat berkomunikasi dengan Internet meskipun memiliki alamat IP publik. Ini memperkuat keamanan sistem karena titik masuk Internet instance ECS berada di bawah kendali penuh.

      vSwitches Pribadi

      vSwitch SLB

      Zona E dan Zona F

      Tabel rute kustom 2

      Sebarkan instance SLB yang menghadap internal dan tambahkan instance ECS di vSwitch B ke instance SLB. Instance ECS menyediakan layanan internal. Tidak ada rute default yang mengarah ke gateway NAT atau gateway IPv4 yang dikonfigurasikan.

      vSwitch aplikasi

      Zona E dan Zona F

      Sebarkan instance ECS atau database sensitif keamanan sebagai lingkungan jaringan pribadi. Jangan konfigurasikan rute yang mengarah ke gateway NAT atau gateway IPv4. Jangan tambahkan instance ECS ke instance SLB yang menghadap Internet. Instance ECS tidak memiliki akses Internet.

      vSwitch router transit

      Zona E dan Zona F

      VPC menggunakan router transit untuk berkomunikasi dengan VPC lainnya dan VBR yang dilampirkan ke instans CEN. Anda perlu mengonfigurasi rute kustom yang mengarah ke router transit.

    5. Rancang perlindungan keamanan

      Anda dapat meningkatkan keamanan aplikasi dengan menggunakan grup keamanan, ACL, dan Cloud Firewall.

      • Keamanan server: Asosiasikan grup keamanan dengan kelompok instance ECS untuk mengontrol akses ke instance tersebut. Grup keamanan bersifat stateful, sehingga perubahan pada aturan masuk secara otomatis diterapkan pada aturan keluar.

      • Keamanan vSwitch: Asosiasikan ACL dengan vSwitch untuk mengontrol akses ke vSwitch. ACL bersifat stateless. Untuk mengizinkan respons dari vSwitch, Anda harus mengonfigurasi aturan izin dalam arah keluar.

      • Keamanan Lanjutan:

        • Firewall Internet: Setelah Anda mengaktifkan firewall Internet untuk aset yang menghadap Internet, Cloud Firewall memfilter lalu lintas masuk dan keluar berdasarkan kebijakan analisis lalu lintas, kebijakan pencegahan intrusi, aturan intelijen ancaman, kebijakan pembenahan virtual, dan kebijakan kontrol akses. Kemudian, firewall Internet memeriksa apakah lalu lintas masuk dan keluar sesuai dengan kondisi yang ditentukan dan memblokir lalu lintas yang tidak sah. Ini memastikan keamanan lalu lintas antara aset yang menghadap Internet dan Internet.

        • Firewall NAT: Setelah Anda mengaktifkan firewall NAT atau gateway NAT, firewall NAT memantau semua lalu lintas keluar dari sumber daya internal di VPC ke gateway NAT, termasuk sumber daya di VPC yang sama dan sumber daya lintas VPC.

        • Firewall VPC: Firewall VPC memantau dan mengelola lalu lintas antar VPC dan lalu lintas antara VPC dan pusat data.

    6. Rancang O&M

      Kami menyarankan Anda menggabungkan NIS dengan log aliran dan pencerminan lalu lintas untuk memvisualisasikan O&M.

      • NIS: Alat O&M jaringan yang mendukung visualisasi kualitas jaringan, topologi, dan lalu lintas. Anda dapat menggunakan NIS untuk melakukan inspeksi serta diagnostik instans.

      • Log aliran: Log aliran dapat digunakan untuk mengumpulkan informasi 5-tupel tentang elastic network interfaces (ENIs), VPCs, dan vSwitches. Anda dapat menganalisis log aliran untuk memeriksa aturan ACL, memantau kualitas jaringan, dan menyelesaikan kesalahan jaringan.

      • Pencerminan lalu lintas: Fitur ini dapat mencerminkan paket tertentu yang melewati ENIs dan dapat digunakan untuk inspeksi konten, pemantauan ancaman, dan penyelesaian masalah.

    7. Perbaiki konfigurasi yang tidak valid

      • Alamat IP tidak cukup: Jika alamat tidak cukup karena perencanaan yang tidak tepat, Anda dapat menambahkan blok CIDR sekunder untuk menyediakan lebih banyak alamat IP. Anda tidak dapat memodifikasi blok CIDR sekunder.

      • Konflik alamat IP: Jika VPC Anda dialokasikan blok CIDR yang cukup, Anda dapat membuat vSwitches dengan blok CIDR yang tidak tumpang tindih dan memigrasikan aplikasi Anda ke vSwitches tersebut. Anda juga dapat menyelesaikan konflik alamat IP dengan menggunakan gateway NAT VPC, yang dapat menerjemahkan alamat IP pribadi. Namun, gateway NAT meningkatkan kompleksitas konfigurasi rute. Kami menyarankan Anda tidak menggunakan gateway NAT kecuali diperlukan.

    Visualisasikan arsitektur pada CADT

    Sebarkan satu VPC di wilayah

    Skenario

    Item

    Referensi

    Sebarkan satu VPC di wilayah

    ID Template

    51N54AV10ZTRRTRW

    Alamat pustaka template

    Pustaka template CADT

    Contoh kode

    WA - Template untuk menyebarkan satu VPC di wilayah

    Visualisasi arsitektur penyebaran

    导出架构图

    Prosedur

    Visualisasi penyebaran

    Buat sumber daya cloud yang diperlukan, termasuk 1 VPC, 11 vSwitches, 1 gateway IPv4, dan 3 tabel rute kustom.

    1. Buat aplikasi berdasarkan template. Wilayah default adalah China (Shanghai). Buat sumber daya cloud, bukan menggunakan sumber daya cloud yang ada.

    2. Simpan dan verifikasi aplikasi, dan hitung biaya. Dalam contoh ini, semua sumber daya cloud dibayar berdasarkan penggunaan.

    3. Konfirmasikan konfigurasi, pilih protokol, dan mulai penyebaran semua sumber daya. Rute dikonfigurasikan secara otomatis.

    Panggilan API

    1. Panggil operasi API yang sesuai untuk menyebarkan dan menggunakan sumber daya cloud.

    2. Lihat dokumentasi untuk menginisialisasi konfigurasi menggunakan antarmuka baris perintah (CLI).

    3. Lihat file YAML sampel untuk menyebarkan dan mengeluarkan arsitektur.

    4. Jika Anda ingin mengubah wilayah, ubah nilai field area_id. Misalnya, ubah cn-hangzhou menjadi cn-shanghai.