Data Transmission Service：Hubungkan database AWS ke Alibaba Cloud

Contoh skenario

Dalam topik ini, sebuah perusahaan memiliki VPC di wilayah Alibaba Cloud Germany (Frankfurt) dan VPC di wilayah AWS Europe (Frankfurt). Perusahaan tersebut ingin mengaktifkan komunikasi antara kedua VPC tersebut.

Perusahaan dapat menggunakan Alibaba Cloud VPN Gateway (instans VPN Gateway yang menggunakan alamat IP publik) dan AWS VPN untuk membuat koneksi IPsec-VPN. Koneksi ini memungkinkan komunikasi terenkripsi antara kedua VPC.

Perencanaan blok CIDR

Persiapan

• Buat VPC di wilayah Alibaba Cloud Germany (Frankfurt) dan deploy resource menggunakan Elastic Compute Service (ECS). Untuk informasi selengkapnya, lihat Create a VPC with an IPv4 CIDR block.

• Anda telah membuat VPC di wilayah AWS Europe (Frankfurt) dan mendeploy resource di dalamnya menggunakan EC2. Untuk informasi selengkapnya, lihat platform AWS.

Alur konfigurasi

Langkah 1: Buat instans VPN Gateway di Alibaba Cloud

Pertama, Anda harus membuat instans VPN Gateway di Alibaba Cloud. Setelah instans dibuat, sistem akan menetapkan dua alamat IP untuknya. Alamat IP ini digunakan untuk membuat koneksi IPsec-VPN dengan platform AWS.

1. Login ke konsol VPN Gateway.

2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway VPN.

   Gateway VPN harus berada di wilayah yang sama dengan VPC yang ingin Anda hubungkan.

3. Di halaman VPN Gateways, klik Create VPN Gateway.

4. Di halaman pembelian, konfigurasikan VPN Gateway dengan pengaturan berikut. Lalu, klik Buy Now dan selesaikan pembayaran.

   Hanya parameter yang relevan dengan topik ini yang dijelaskan. Untuk semua parameter lainnya, pertahankan pengaturan default. Untuk informasi selengkapnya, lihat Create and manage a VPN Gateway instance.

   Configuration	Description	Example value
   Instance Name	Masukkan nama untuk instans VPN Gateway.	Masukkan VPN Gateway.
   Region	Pilih wilayah tempat instans VPN Gateway berada.	Pilih Germany (Frankfurt).
   Gateway Type	Pilih jenis gateway untuk instans VPN Gateway.	Pilih Standard.
   Network Type	Pilih jenis jaringan untuk instans VPN Gateway.	Pilih Public.
   Tunnel	Sistem menampilkan mode saluran data yang didukung oleh koneksi IPsec-VPN di wilayah saat ini. Dual-Tunnel Single-tunnel Untuk informasi selengkapnya tentang mode single-tunnel dan dual-tunnel, lihat Create an IPsec-VPN connection.	Dalam topik ini, nilai default adalah Dual-tunnel.
   VPC	Pilih VPC yang akan dikaitkan dengan instans VPN Gateway.	Pilih instans VPC di wilayah Alibaba Cloud Germany (Frankfurt).
   vSwitch	Pilih vSwitch dari VPC. Jika mode saluran data adalah single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika mode saluran data adalah dual-tunnel, Anda harus menentukan dua vSwitch. Saat fitur IPsec-VPN diaktifkan, sistem membuat elastic network interface (ENI) di masing-masing dua vSwitch tersebut. ENI digunakan sebagai antarmuka untuk traffic antara VPC dan koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch-nya. Catatan Sistem memilih vSwitch pertama secara default. Anda dapat mengubah vSwitch atau menggunakan vSwitch default. Setelah instans VPN Gateway dibuat, Anda tidak dapat mengubah vSwitch yang terkait dengannya. Anda dapat melihat vSwitch yang terkait, zona tempatnya berada, dan informasi ENI di halaman detail instans.	Pilih vSwitch di VPC.
   vSwitch 2	Pilih vSwitch kedua dari VPC. Anda harus menentukan dua vSwitch di zona berbeda dalam VPC yang dikaitkan dengan instans VPN Gateway. Konfigurasi ini menerapkan pemulihan bencana antar-zona untuk koneksi IPsec-VPN. Untuk wilayah yang hanya memiliki satu zona, pemulihan bencana antar-zona tidak didukung. Kami menyarankan agar Anda menentukan dua vSwitch berbeda di zona tersebut untuk mencapai ketersediaan tinggi untuk koneksi IPsec-VPN. Anda dapat memilih vSwitch yang sama untuk keduanya. Catatan Jika vSwitch kedua tidak tersedia di VPC, Anda dapat membuatnya. Untuk informasi selengkapnya, lihat Create and manage a vSwitch.	Pilih vSwitch kedua di VPC.
   IPsec-VPN	Menentukan apakah akan mengaktifkan fitur IPsec-VPN. Nilai default adalah Enable.	Aktifkan fitur IPsec-VPN.
   SSL-VPN	Pilih apakah akan mengaktifkan atau menonaktifkan fitur SSL-VPN. Nilai default adalah Disable.	Nonaktifkan fitur SSL-VPN.

5. Kembali ke halaman VPN Gateway untuk melihat instans VPN Gateway yang telah Anda buat.

   Instans VPN Gateway baru memiliki status awal Preparing. Setelah sekitar 1 hingga 5 menit, statusnya berubah menjadi Normal. Status Normal menunjukkan bahwa VPN Gateway telah diinisialisasi dan siap digunakan.

   Tabel berikut mencantumkan dua alamat IP yang ditetapkan oleh sistem untuk instans VPN Gateway:

   VPN Gateway instance name	VPN Gateway instance ID	IP address
   VPN Gateway	vpn-gw8dickm386d2qi2g****	IPsec Address 1 (active tunnel address by default): 8.XX.XX.146
   		IPsec Address 2 (standby tunnel address by default): 8.XX.XX.74

Langkah 2: Deploy VPN di platform AWS

Untuk membuat koneksi IPsec-VPN, Anda harus mendeploy VPN di platform AWS berdasarkan informasi berikut. Untuk perintah atau operasi spesifik, lihat dokumentasi resmi AWS.

Langkah 3: Deploy VPN Gateway di Alibaba Cloud

Setelah menyelesaikan konfigurasi VPN di platform AWS, Anda harus mendeploy VPN Gateway di sisi Alibaba Cloud berdasarkan informasi berikut. Hal ini akan membuat koneksi IPsec-VPN antara VPC AWS dan VPC Alibaba Cloud.

1. Buat customer gateway.

   1. Login ke konsol VPN Gateway.

   2. Di panel navigasi kiri, pilih Interconnections > VPN > Customer Gateways.

   3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat customer gateway.

      Pastikan customer gateway dan gateway VPN yang akan dihubungkan dideploy di wilayah yang sama.

   4. Di halaman Customer Gateways, klik Create Customer Gateway.

   5. Di panel Create Customer Gateway, atur parameter berikut dan klik OK.

      Anda harus membuat dua customer gateway dan menggunakan alamat IP luar saluran data dari koneksi site-to-site VPN AWS sebagai alamat IP untuk customer gateway. Hal ini akan membuat dua saluran data terenkripsi. Hanya parameter yang relevan dengan topik ini yang dijelaskan. Untuk semua parameter lainnya, pertahankan pengaturan default. Untuk informasi selengkapnya, lihat Customer gateways.

      Penting

      Gunakan hanya alamat IP luar Tunnel 1 dari setiap koneksi site-to-site VPN sebagai alamat customer gateway. Alamat IP luar Tunnel 2 dari setiap koneksi site-to-site VPN tidak digunakan secara default. Setelah koneksi IPsec-VPN dibuat, Tunnel 2 dari setiap koneksi site-to-site VPN tidak terhubung secara default.

      Configuration	Description	Customer Gateway 1	Customer Gateway 2
      Name	Masukkan nama untuk customer gateway.	Masukkan Customer Gateway 1.	Masukkan Customer Gateway 2.
      IP Address	Masukkan alamat IP luar saluran data di platform AWS.	Masukkan 3.XX.XX.52.	Masukkan 3.XX.XX.56.
      ASN	Masukkan nomor sistem otonom (ASN) BGP virtual private gateway AWS. Catatan Parameter ini wajib diisi saat Anda menggunakan perutean dinamis BGP.	Masukkan 64512.	Masukkan 64512.

2. Buat koneksi IPsec-VPN.

   1. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

   2. Di halaman IPsec Connections, klik Bind VPN Gateway.

   3. Di halaman Create IPsec-VPN Connection, atur parameter untuk koneksi IPsec-VPN dan klik OK.

      Configuration	Description	Example value
      IPsec-VPN Connection Name	Masukkan nama untuk koneksi IPsec-VPN.	Masukkan IPsec-VPN connection.
      Region	Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN dideploy. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan gateway VPN.	Pilih Germany (Frankfurt).
      Attach a VPN Gateway	Pilih instans VPN Gateway yang akan dikaitkan dengan koneksi IPsec-VPN.	Pilih VPN Gateway yang telah dibuat.
      Routing Mode	Pilih mode perutean. Destination-based Routing: Mengarahkan traffic berdasarkan alamat IP tujuan. Traffic Of Interest Pattern: Memberikan perutean dan penerusan traffic yang presisi berdasarkan alamat IP sumber dan tujuan.	Saat menggunakan metode perutean statis dalam topik ini, pilih Interested Stream Pattern (Direkomendasikan). Atur Local Network ke 10.0.0.0/16. Atur Remote Network ke 192.168.0.0/16. Dalam topik ini, saat menggunakan perutean dinamis BGP, pilih Destination-based Routing (direkomendasikan).
      Effective Immediately	Pilih apakah konfigurasi koneksi IPsec-VPN berlaku segera. Nilai yang valid adalah: Yes: Negosiasi dimulai segera setelah konfigurasi selesai. No: Negosiasi dipicu oleh traffic.	Pilih Yes.
      Enable BGP	Jika koneksi IPsec-VPN perlu menggunakan BGP, aktifkan BGP. Fitur BGP dinonaktifkan secara default.	Pertahankan pengaturan default dan jangan aktifkan BGP. Ini berarti menggunakan perutean statis secara default. Untuk menggunakan perutean dinamis BGP setelah koneksi IPsec-VPN dibuat, Anda harus menambahkan konfigurasi BGP secara terpisah.
      Tunnel 1	Tambahkan konfigurasi VPN untuk Tunnel 1 (saluran data aktif). Secara default, sistem mengatur Tunnel 1 sebagai saluran data aktif dan Tunnel 2 sebagai saluran data cadangan. Hal ini tidak dapat diubah.
      Customer Gateway	Tambahkan customer gateway yang akan dikaitkan dengan saluran data aktif.	Pilih Customer Gateway 1.
      Pre-Shared Key	Masukkan kunci autentikasi untuk saluran data aktif. Kunci ini digunakan untuk otentikasi identitas. Kunci harus terdiri dari 1 hingga 100 karakter dan dapat berisi angka, huruf besar dan kecil, serta karakter khusus berikut: ~`!@#$%^&*()_-+={}[]\|;:',.<>/?. Jika Anda tidak menentukan kunci pra-bersama, sistem akan menghasilkan string acak sepanjang 16 karakter sebagai kunci pra-bersama. Penting Kunci pra-bersama yang dikonfigurasi untuk saluran data dan perangkat gateway peer-nya harus sama. Jika tidak, sistem tidak dapat membuat koneksi IPsec-VPN.	Kunci autentikasi untuk saluran data ini harus sama dengan kunci untuk saluran data AWS yang terhubung.
      Encryption Configurations	Konfigurasikan IKE, IPsec, DPD, dan Penelusuran NAT.	Di bawah IKE Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Dalam topik ini, nilainya diatur ke 28800. Di bagian IPsec Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Dalam topik ini, nilainya diatur ke 3600. Untuk semua parameter lainnya, gunakan nilai default. Untuk informasi selengkapnya tentang nilai default, lihat IPsec-VPN connections (VPN Gateway).
      Tunnel 2	Tambahkan konfigurasi VPN untuk Tunnel 2 (saluran data cadangan).
      Customer Gateway	Tambahkan customer gateway yang akan dikaitkan dengan saluran data cadangan.	Pilih Customer Gateway 2.
      Pre-Shared Key	Masukkan kunci autentikasi untuk saluran data cadangan. Kunci ini digunakan untuk otentikasi identitas.	Kunci autentikasi untuk saluran data ini harus sama dengan kunci untuk saluran data AWS yang terhubung.
      Encryption Configuration	Konfigurasikan IKE, IPsec, DPD, dan Penelusuran NAT.	Untuk IKE Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Topik ini menggunakan contoh nilai 28800. Untuk IPsec Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Topik ini menggunakan nilai 3600. Untuk semua parameter lainnya, gunakan nilai default. Untuk informasi selengkapnya tentang nilai default, lihat IPsec-VPN connections (VPN Gateway).

   4. Di pesan Created, klik Cancel.

3. Konfigurasikan rute gateway VPN.

   Gunakan perutean statis

   Setelah membuat koneksi IPsec-VPN, Anda harus mengonfigurasi rute untuk instans VPN Gateway. Jika Anda memilih Policy-based Routing untuk Routing Mode saat membuat koneksi IPsec-VPN, sistem secara otomatis membuat rute berbasis kebijakan di instans VPN Gateway. Rute tersebut dibuat dalam status Unpublished. Anda kemudian harus mempublikasikan rute tersebut dari instans VPN Gateway ke VPC.

   1. Di panel navigasi kiri, pilih Interconnections > VPN > VPN Gateways.

   2. Di bilah navigasi atas, pilih wilayah tempat instans gateway VPN berada.

   3. Di halaman VPN Gateways, klik ID gateway VPN target.

   4. Di halaman detail gateway VPN, klik tab Policy-based Route Table, temukan rute yang ingin Anda kelola, lalu klik Advertise di kolom Actions.

   5. Di kotak dialog Advertise Route, klik OK.

   Gunakan perutean dinamis BGP

   1. Tambahkan konfigurasi BGP ke koneksi IPsec-VPN.

      1. Di panel navigasi kiri, buka Interconnections > VPN > IPsec Connections.

      2. Di halaman IPsec Connections, klik ID koneksi IPsec-VPN.

      3. Di bagian IPsec Connections, aktifkan Enable BGP. Di kotak dialog BGP Configuration yang muncul, konfigurasikan pengaturan yang diperlukan dan klik OK.

         Configuration	Description	IPsec-VPN connection configuration
         Local ASN	Masukkan nomor sistem otonom untuk koneksi IPsec-VPN.	Masukkan 65530.
         Tunnel 1	Tambahkan konfigurasi BGP untuk saluran data aktif.	Tambahkan konfigurasi BGP untuk saluran data aktif koneksi IPsec-VPN.
         Tunnel CIDR Block	Masukkan blok CIDR yang digunakan untuk membuat saluran data terenkripsi.	Masukkan 169.254.116.208/30.
         Local BGP IP address	Masukkan alamat IP BGP untuk koneksi IPsec-VPN. Alamat ini merupakan alamat IP dalam blok CIDR saluran data.	Masukkan 169.254.116.210.
         Tunnel 2	Tambahkan konfigurasi BGP untuk saluran data cadangan.	Tambahkan konfigurasi BGP untuk saluran data cadangan koneksi IPsec-VPN.
         Tunnel CIDR Block	Masukkan blok CIDR yang digunakan untuk membuat saluran data terenkripsi.	Masukkan 169.254.214.96/30.
         Local BGP IP address	Masukkan alamat IP BGP untuk koneksi IPsec-VPN. Alamat ini merupakan alamat IP dalam blok CIDR saluran data.	Masukkan 169.254.214.98.

   2. Aktifkan penyebaran rute BGP otomatis untuk instans VPN Gateway.

      1. Di panel navigasi sebelah kiri, pilih Interconnections > VPN > VPN Gateways.

      2. Di halaman VPN Gateways, temukan instans gateway VPN target. Di kolom Actions, pilih > Enable Automatic BGP Propagation.

      3. Di kotak dialog Enable Automatic BGP Propagation, klik OK.

Langkah 4: Uji konektivitas

Setelah konfigurasi selesai, koneksi IPsec-VPN dibuat antara VPC Alibaba Cloud dan VPC AWS. Langkah-langkah berikut menjelaskan cara menguji konektivitas antar VPC dengan mengakses instans EC2 AWS dari instans ECS Alibaba Cloud.

1. Login ke instans ECS di VPC Alibaba Cloud. Untuk informasi selengkapnya tentang cara login ke instans ECS, lihat Select a remote connection method for an ECS instance.

2. Di instans ECS, jalankan perintah ping untuk mengakses instans EC2 AWS dan verifikasi bahwa kedua instans dapat berkomunikasi.

   Jika instans ECS menerima pesan balasan dari instans EC2 AWS, berarti kedua VPC dapat berkomunikasi.

   ping <private IP address of the AWS EC2 instance>

   

3. Uji ketersediaan tinggi koneksi IPsec-VPN.

   Koneksi IPsec-VPN dual-tunnel menyediakan ketersediaan tinggi. Jika saluran data aktif terputus, traffic secara otomatis dialihkan melalui saluran data cadangan. Langkah-langkah berikut menjelaskan cara memverifikasi ketersediaan tinggi koneksi IPsec-VPN dual-tunnel.

   1. Tetap login ke instans ECS di VPC Alibaba Cloud.

   2. Jalankan perintah berikut untuk mengaktifkan instans ECS Alibaba Cloud agar terus-menerus mengakses instans EC2 AWS.

      ping <private IP address of the AWS EC2 instance> -c 10000

   3. Putuskan saluran data aktif koneksi IPsec-VPN.

      Dalam topik ini, saluran data aktif diputus dengan mengubah kunci pra-bersamanya di sisi Alibaba Cloud. Jika kunci pra-bersama di kedua ujung saluran data aktif tidak cocok, saluran data tersebut akan terputus.

   4. Periksa status komunikasi di instans ECS Alibaba Cloud. Anda akan melihat bahwa komunikasi kembali normal setelah gangguan singkat. Hal ini menunjukkan bahwa traffic secara otomatis dialihkan melalui saluran data cadangan setelah saluran data aktif terputus.

      Anda dapat memantau traffic setiap saluran data di tab Monitoring di konsol Alibaba Cloud. Untuk informasi selengkapnya, lihat Monitor an IPsec-VPN connection.

Langkah selanjutnya

Bergantung pada jenis tugas Anda—seperti data synchronization, data migration, atau data validation—tambahkan alamat IP server DTS ke pengaturan keamanan, seperti aturan security group, firewall, dan daftar putih, dari database yang sesuai.