Konfigurasikan dan gunakan DNS private untuk akses instans - Elastic Compute Service

Dalam virtual private cloud (VPC), Anda dapat menggunakan nama domain pribadi untuk komunikasi internal. Fitur ini memungkinkan Anda mengakses layanan pada instance ECS tanpa menggunakan alamat IP, sehingga meningkatkan keamanan dan isolasi dari internet publik. Selain itu, Anda dapat dengan mudah menetapkan nama domain pribadi ke instance dan secara otomatis mengelola catatan resolusi DNS-nya, tanpa perlu pembaruan manual.

Nama domain pribadi untuk instance ECS

Nama domain pribadi untuk instance ECS adalah nama domain internal yang ditetapkan ke instance tersebut dalam VPC, digunakan untuk mengidentifikasi dan mengakses instance di dalam VPC. Layanan resolusi DNS menghasilkan dan menyelesaikan nama domain ini, lalu menerjemahkannya menjadi alamat IP. Fitur ini bergantung pada Private DNS Alibaba Cloud, dengan alamat layanan sistem yang telah ditetapkan, yaitu 100.100.2.136 dan 100.100.2.138.

Kasus penggunaan

Manajemen hostname: Dengan menggunakan layanan resolusi DNS pribadi dan mengonfigurasi tipe hostname instance ECS berbasis alamat IP atau berbasis ID instans, Anda dapat mengakses instance tersebut melalui hostname-nya dalam VPC tertentu, sehingga menyederhanakan manajemen host rutin.
Penerapan layanan di cloud: Layanan di cloud sering kali saling berkomunikasi. Dengan menggunakan resolusi DNS pribadi, Anda dapat membuat nama domain otoritatif dalam VPC untuk setiap layanan cloud dan menyelesaikannya ke alamat IP privat instance ECS tertentu. Pendekatan ini memungkinkan Anda merujuk layanan dengan nama yang konsisten, bukan alamat IP yang berubah-ubah.

Catatan

Jika Anda memerlukan konfigurasi DNS lanjutan, seperti DNS forwarding atau rekursi, Anda dapat menggunakan Private DNS. Untuk resolusi DNS publik, Alibaba Cloud menyediakan Alibaba Cloud DNS, layanan DNS otoritatif yang aman, cepat, dan stabil.

Struktur nama domain pribadi

Nama domain pribadi untuk instance ECS merupakan domain empat tingkat, dengan setiap tingkat dipisahkan oleh titik (.). Contohnya: i-8ps2h6dsc74cuktb****.ap-southeast-3.ecs.internal atau ip-172-16-0-89.ap-southeast-3.ecs.internal. Struktur ini terdiri dari bagian-bagian berikut:

Domain tingkat atas (.internal): Domain internal untuk ECS, digunakan dalam jaringan pribadi.
Domain tingkat dua (.ecs): Pengenal produk untuk ECS.
Subdomain (.[regionID]): ID wilayah tempat instance berada. Misalnya, jika Anda memilih wilayah Malaysia (Kuala Lumpur), ID wilayahnya adalah ap-southeast-3. Untuk informasi lebih lanjut tentang ID wilayah, lihat Wilayah dan zona.
Pengenal host: Mengarah ke instance ECS tertentu. ECS mendukung hostname berbasis alamat IP dan berbasis ID instans:
- Hostname berbasis alamat IP: Hostname berdasarkan alamat IPv4 pribadi utama instance ECS. Misalnya, ip-172-16-0-89 (di mana alamat IPv4 pribadi utama instance adalah 172.16.0.89).
- Hostname berbasis ID instans: Hostname berdasarkan ID instans ECS. Misalnya, i-8ps2h6dsc74cuktb**** (di mana ID instans adalah i-8ps2h6dsc74cuktb****). Jika Anda menggunakan IPv6 untuk komunikasi, Anda dapat memilih hostname berbasis ID instans.

Tipe catatan DNS pribadi

Nama domain pribadi instance ECS mendukung empat jenis resolusi DNS berikut:

Type	Description	Generated domain name	Example	Use cases
DNS resolution (A record) from an IP address-based hostname to the primary private IPv4 address	Memetakan nama domain pribadi berbasis alamat IP yang dihasilkan ke alamat IPv4 pribadi utama instance.	`ip-[primary-private-ipv4-string].[regionID].ecs.internal`	`ip-192-168-1-1.region-name.ecs.internal` diselesaikan ke `192.168.1.1`	Pengujian akses layanan: Dengan memetakan hostname berbasis alamat IP instance ke alamat IPv4-nya, alamat IP terlihat termasuk dalam nama domain. Ini cocok untuk skenario pengujian.
DNS resolution (A record) from an instance ID-based hostname to the primary private IPv4 address	Memetakan nama domain pribadi berbasis ID instans yang dihasilkan ke alamat IPv4 pribadi utama instance.	`[instanceID].[regionID].ecs.internal`	`i-bp1hs9xdprd7xq4p****.region-name.ecs.internal` diselesaikan ke `192.168.XX.XX`	Penerapan dan manajemen otomatis: Alamat IP instance ECS dapat berubah akibat operasi yang sering dilakukan. Menggunakan hostname berbasis ID instans untuk resolusi DNS secara otomatis mengikat alamat IP terbaru ke hostname, sehingga menyederhanakan manajemen konfigurasi dan operasi.
DNS resolution (AAAA record) from an instance ID-based hostname to the primary private IPv6 address Catatan: Opsi ini tersedia hanya jika alamat IPv6 ditetapkan ke instance.	Memetakan nama domain pribadi berbasis ID instans yang dihasilkan ke alamat IPv6 instance.	`[instanceID].[regionID].ecs.internal`	`i-bp1hs9xdprd7xq4p****.region-name.ecs.internal` diselesaikan ke `2408:XXXX:17:8aff:7833:3724:XXXX:XXXX`	Konektivitas jaringan IPv6: Ketika host atau layanan mendukung IPv4 dan IPv6, rekaman AAAA memungkinkan klien yang kompatibel IPv6 membuat koneksi menggunakan alamat IPv6. Hal ini memanfaatkan ruang alamat yang lebih besar dan efisiensi komunikasi yang lebih baik pada jaringan IPv6.
Reverse DNS resolution (PTR record) from a primary private IPv4 address to an IP address-based hostname	Memetakan alamat IPv4 pribadi utama instance ke nama domain pribadi berbasis alamat IP yang dihasilkan.	`ip-[primary-private-ipv4-string].[regionID].ecs.internal`	`192.168.0.1` diselesaikan ke `ip-192-168-0-1.cn-hangzhou.ecs.internal`	Penyaringan spam: Banyak server email menggunakan resolusi DNS terbalik untuk memverifikasi legitimasi server pengirim. Jika alamat IP tidak diselesaikan kembali ke nama domain dengan benar, email tersebut dapat ditandai sebagai spam potensial atau ditolak. Analisis dan pelacakan log: Dalam keamanan jaringan dan manajemen sistem, pencarian DNS terbalik dapat mengonversi alamat IP menjadi nama domain yang lebih mudah dipahami, sehingga mempermudah analisis dan pelacakan sumber dalam file log.

Batasan

Nama domain pribadi untuk instance ECS dihasilkan sistem. Anda tidak dapat mengonfigurasi nama domain kustom.
Nama domain pribadi hanya berlaku dalam satu VPC. Komunikasi lintas-VPC menggunakan nama domain pribadi tidak didukung.
Nama domain pribadi hanya dapat diselesaikan ke alamat IP pribadi utama dari antarmuka jaringan elastis utama. Alamat IP pribadi sekunder tidak didukung.
Jumlah maksimum kueri DNS untuk setiap instance ECS dalam VPC adalah 5.000 per detik. Jika jumlah permintaan DNS puncak per detik melebihi batas ini, pembatasan kecepatan (throttling) dapat dipicu, dan perjanjian tingkat layanan (SLA) ketersediaan 99,99% tidak dijamin.

Gunakan nama domain pribadi untuk komunikasi

Langkah 1: Aktifkan fitur hostname DNS

Mengaktifkan fitur hostname DNS untuk VPC merupakan kontrol utama untuk resolusi DNS pribadi. Nama domain pribadi untuk instance ECS dalam VPC hanya aktif setelah Anda mengaktifkan fitur ini. Saat diaktifkan, layanan resolusi DNS membuat zona otoritatif bawaan dalam format [regionID].ecs.internal. Misalnya, jika Anda membuat VPC di wilayah Malaysia (Kuala Lumpur) dan mengaktifkan fitur ini, zona bernama ap-southeast-3.ecs.internal akan dibuat. Domain ini hanya berlaku dalam VPC tersebut. Untuk informasi lebih lanjut, lihat Nama domain pribadi dalam VPC.

Penting

Pengaturan resolusi DNS pribadi yang Anda konfigurasikan untuk instance ECS hanya berlaku setelah Anda mengaktifkan fitur hostname DNS untuk VPC.

Masuk ke Konsol VPC.
Di bilah navigasi atas, pilih wilayah tempat VPC target berada.
Di halaman VPC, klik ID VPC target. Di bagian Basic Information, aktifkan hostname DNS.

Langkah 2: Konfigurasikan resolusi DNS pribadi

Pemetaan antara nama domain pribadi instance ECS dan alamat IP-nya—yang merupakan catatan DNS—harus dikonfigurasi untuk instance tersebut. Anda dapat mengonfigurasi pemetaan ini saat membuat instance atau mengubahnya nanti. Bagian berikut menjelaskan prosedur tersebut.

Saat pembuatan instance

Catatan

Anda juga dapat menentukan parameter terkait PrivateDnsNameOptions saat memanggil operasi API RunInstances untuk membuat beberapa instance dan mengonfigurasi resolusi nama domain pribadinya.

Prosedur

Buka halaman pembelian instance ECS.
Klik tab Custom Launch.
Konfigurasikan parameter, seperti Metode Penagihan, Wilayah, Tipe Instance, dan Image.
Untuk informasi tentang setiap parameter di tab Peluncuran Kustom, lihat Parameter.
Di bagian bawah halaman, perluas advanced settings (Optional) dan konfigurasikan Private DNS Records.
Berdasarkan skenario Anda, pilih pemetaan yang diinginkan antara nama domain pribadi dan alamat IP. Anda dapat memilih beberapa opsi. Untuk informasi lebih lanjut tentang tipe catatan, lihat Tipe catatan DNS pribadi.

Saat modifikasi instance

Catatan

Anda juga dapat menentukan parameter terkait PrivateDnsNameOptions saat memanggil operasi API ModifyInstanceAttribute untuk memodifikasi atribut instance.

Prosedur

Buka Konsol ECS - Instance.
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari resource yang ingin Anda kelola.
Temukan instance ECS yang dituju dan klik ID-nya untuk membuka halaman detail instance. Di kolom All Operations, pilih ... Instance Properties > Modify Instance Properties. Kotak dialog Modify instance attributes akan muncul.
Berdasarkan skenario Anda, pilih pemetaan yang diinginkan antara nama domain pribadi dan alamat IP. Anda dapat memilih beberapa opsi. Untuk informasi lebih lanjut tentang tipe catatan, lihat Tipe catatan DNS pribadi.
Klik OK untuk menyimpan konfigurasi.

Langkah 3: Verifikasi konfigurasi

Anda dapat memverifikasi bahwa resolusi DNS pribadi berfungsi dengan benar dengan menjalankan perintah pada instance ECS itu sendiri, atau pada instance ECS lain yang dapat berkomunikasi dengannya melalui jaringan internal dalam VPC yang sama. Perintah untuk mengkueri informasi DNS bervariasi tergantung sistem operasinya.

Instance Linux

Perintah host adalah utilitas di Linux untuk mengkueri informasi Domain Name System (DNS). Perintah ini memungkinkan Anda mengkueri pemetaan antara nama domain dan alamat IP, serta melakukan pencarian terbalik untuk menemukan nama domain yang sesuai dengan alamat IP tertentu.

Menginstal perintah host: Secara default, instance Linux tidak mendukung perintah host. Anda perlu menginstalnya dengan menjalankan sudo yum install bind-utils.
Contoh kueri:
Catatan
Contoh ini menggunakan instance dengan detail berikut. Ganti alamat IP dan ID instans dengan nilai aktual Anda.
ID Instans: i-8psi44j4o4yqoh2b****
ID Wilayah: ap-southeast-3
Alamat IPv4: 172.16.0.89
Alamat IPv6: 240b:XXXX:41:b200:1ca9:f9bb:ae4:1ea0
1. Sambungkan ke instance Linux.
  Untuk informasi lebih lanjut, lihat Sambungkan ke instance Linux menggunakan password atau kunci.
2. Berdasarkan catatan resolusi nama domain pribadi yang diaktifkan, jalankan perintah host untuk mengkueri informasi DNS.
  - Untuk mencari alamat IP dari nama domain berbasis alamat IP (A record):
```
host ip-172-16-0-89.ap-southeast-3.ecs.internal
```
  - Untuk mencari alamat IP dari nama domain berbasis ID instans (A record):
```
host i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal
```
  - Untuk mencari alamat IPv6 dari nama domain (AAAA record):
```
host -t AAAA i-8psi44j4o4yqoh2b****.ap-southeast-3.ecs.internal
```
  - Untuk melakukan pencarian DNS terbalik dan menemukan nama domain yang terkait dengan alamat IP (PTR record):
```
host 172.16.0.89
```

Instance Windows

nslookup adalah tool yang sudah terinstal di Windows. Anda dapat menggunakannya untuk mengkueri catatan DNS.

Contoh kueri:
Catatan
Contoh ini menggunakan instance dengan detail berikut. Ganti alamat IP dan ID instans dengan nilai aktual Anda.
ID Instans: i-8ps2h6dsc74cfy02****
ID Wilayah: ap-southeast-3
Alamat IPv4: 172.16.0.91
Alamat IPv6: 240b:XXXX:41:b200:1ca9:f9bb:ae4:1e9a
1. Sambungkan ke instance Windows.
  Untuk informasi lebih lanjut, lihat Sambungkan ke instance Windows menggunakan password atau kunci.
2. Jalankan perintah nslookup yang sesuai berdasarkan catatan resolusi DNS pribadi yang Anda aktifkan.
  - Untuk mencari alamat IP dari nama domain berbasis alamat IP (A record):
```
nslookup ip-172-16-0-91.ap-southeast-3.ecs.internal
```
  - Untuk mencari alamat IP dari nama domain berbasis ID instans (A record):
```
nslookup i-8ps2h6dsc74cfy02****.ap-southeast-3.ecs.internal
```
  - Untuk mencari alamat IPv6 dari nama domain (AAAA record):
```
nslookup -type=AAAA i-8ps2h6dsc74cfy02****.ap-southeast-3.ecs.internal
```
  - Untuk melakukan pencarian DNS terbalik dan menemukan nama domain yang terkait dengan alamat IP (PTR record):
```
nslookup 172.16.0.91
```

Setelah verifikasi berhasil, instance ECS yang dikonfigurasi untuk resolusi nama domain pribadi dapat diakses oleh instance ECS lain dalam VPC yang sama. Anda dapat menjalankan perintah ping <nama domain pribadi> pada instance tersebut untuk menguji koneksi. Misalnya, jalankan ping ip-172-16-0-91.ap-southeast-3.ecs.internal.

Penting

Untuk menguji konektivitas IPv6, Anda harus menetapkan alamat IPv6 ke kedua instance (sumber dan tujuan). Untuk informasi lebih lanjut, lihat Komunikasi IPv6.

Operasi lainnya

Dampak operasi

Mengubah VPC untuk instance
Jika resolusi DNS pribadi diaktifkan untuk instance ECS, Anda harus memastikan bahwa fitur hostname DNS juga diaktifkan untuk VPC tujuan. Untuk informasi lebih lanjut, lihat Mengubah VPC instance ECS.
Mengubah alamat IP pribadi utama instance
Pemetaan ulang otomatis: Saat alamat IPv4 atau IPv6 pribadi utama instance Anda berubah (misalnya, saat Anda mengubah alamat IPv4 pribadi utama), layanan resolusi DNS pribadi secara otomatis menghapus catatan lama dan membuat catatan baru yang memetakan hostname berbasis alamat IP ke alamat IP baru.
Melepas instance
Setelah instance dilepas, semua catatan DNS terkait dalam zona otoritatif bawaan VPC instance tersebut dihapus. Instance dan layanannya tidak dapat lagi diakses menggunakan nama domain pribadi.

Lihat pengaturan DNS pribadi

Bagian ini menunjukkan cara melakukan operasi ini:

Catatan

Anda juga dapat memanggil operasi API DescribeInstances untuk mengkueri informasi detail tentang instance. Parameter PrivateDnsNameOptions dalam respons berisi pengaturan resolusi DNS pribadi.

Buka Konsol ECS - Instance.
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari resource yang ingin Anda kelola.
Di daftar instance, temukan instance ECS target dan klik ID-nya untuk membuka halaman detail instance. Bidang Private DNS Records menampilkan jumlah catatan DNS pribadi yang dikonfigurasi.
Arahkan kursor ke angka tersebut untuk melihat pemetaan saat ini antara nama domain pribadi dan alamat IP instance.

Nonaktifkan resolusi DNS pribadi

Untuk menonaktifkan resolusi DNS pribadi untuk instance ECS tertentu, Anda dapat menghapus centang opsi yang dikonfigurasi di Konsol ECS. Untuk informasi lebih lanjut, lihat Langkah 2: Konfigurasikan resolusi DNS pribadi.

Jika Anda ingin menonaktifkan resolusi DNS pribadi untuk semua instance ECS dalam VPC, Anda dapat menonaktifkan fitur hostname DNS untuk VPC tersebut. Setelah fitur ini dinonaktifkan, zona otoritatif bawaan yang terkait dengan VPC akan dihapus. Akibatnya, nama domain pribadi semua instance ECS dalam VPC menjadi tidak valid dan tidak dapat lagi diselesaikan ke alamat IP yang sesuai. Untuk informasi lebih lanjut, lihat Nama domain pribadi dalam VPC.

Penting

Jika aplikasi Anda menggunakan nama domain pribadi alih-alih alamat IP untuk mengakses resource, menonaktifkan fitur hostname DNS dapat menyebabkan error akses.