Dibandingkan dengan akses Internet, akses jaringan internal melindungi dari serangan jaringan tertentu dan akses tidak sah. Metode ini ideal untuk komunikasi internal yang aman dan berkecepatan tinggi. Akses ini menggunakan alamat IP pribadi dan nama domain, dengan daftar kontrol akses jaringan (ACL) dan kelompok keamanan yang memungkinkan pengendalian akses antar instance Elastic Compute Service (ECS) dalam virtual private cloud (VPC). Untuk akses lintas-VPC, baik antar akun maupun wilayah, Alibaba Cloud menawarkan solusi seperti Cloud Enterprise Network (CEN), Koneksi peering VPC, dan VPN Gateway.
Metode akses jaringan internal
Gunakan alamat IP pribadi untuk akses jaringan internal
Dalam banyak kasus, alamat IP pribadi merujuk pada alamat IPv4 pribadi. Alamat IPv4 pribadi adalah alamat IPv4 yang tidak dapat dijangkau melalui Internet. Anda dapat menggunakan alamat IPv4 pribadi untuk mengizinkan komunikasi antar instance ECS dan sumber daya internal. Alamat IPv4 pribadi ditetapkan ke instance ECS menggunakan Dynamic Host Configuration Protocol (DHCP).
Untuk mengaktifkan akses jaringan internal IPv6 dalam VPC, buat instance ECS dengan alamat IPv6 di VPC dan vSwitch yang dikonfigurasi dengan blok CIDR IPv6.
Untuk informasi lebih lanjut, lihat Alamat IP.
Gunakan nama domain pribadi untuk akses jaringan internal
Anda dapat menggunakan nama domain pribadi untuk komunikasi dalam virtual private cloud (VPC) yang sama guna menghindari penggunaan alamat IP tradisional untuk mengakses layanan yang diterapkan pada instance Elastic Compute Service (ECS). Ini memisahkan jaringan internal dari Internet dan meningkatkan keamanan serta isolasi jaringan. Fitur nama domain pribadi instance ECS memungkinkan penugasan nama domain pribadi ke instance secara mudah dan cepat tanpa perlu memperbarui dan memelihara catatan Sistem Nama Domain (DNS) secara manual.
Konfigurasikan Resolusi DNS Pribadi untuk instance ECS agar memungkinkan akses jaringan internal menggunakan nama domain pribadi. Pastikan fitur hostname DNS diaktifkan dalam VPC. Untuk informasi lebih lanjut, lihat Resolusi DNS Pribadi untuk Instance ECS.
Pengendalian akses jaringan internal
Konfigurasikan ACL jaringan untuk pengendalian akses
ACL jaringan berfungsi sebagai mekanisme pengendalian akses jaringan dalam VPC. Dengan membuat dan mengaitkan aturan ACL jaringan dengan vSwitch, Anda dapat mengelola lalu lintas masuk dan keluar untuk instance ECS yang terhubung ke vSwitch tersebut. Untuk informasi lebih lanjut, lihat ACL Jaringan dan Buat dan Kelola ACL Jaringan.
ACL jaringan juga dapat membatasi koneksi jaringan internal antar instance ECS di vSwitch yang berbeda. Untuk informasi lebih lanjut, lihat Kelola Komunikasi Antar Instance ECS di vSwitch yang Berbeda.
Konfigurasikan aturan kelompok keamanan untuk pengendalian akses
Kelompok keamanan bertindak sebagai firewall virtual pada level kartu antarmuka jaringan, mengatur lalu lintas masuk dan keluar instance ECS. Penggunaan strategis kelompok keamanan secara signifikan meningkatkan keamanan instance. Dalam VPC yang sama, instance ECS dapat mengelola akses jaringan internal melalui aturan kelompok keamanan.
Dalam kelompok keamanan yang sama: Secara default, kelompok keamanan dasar mengizinkan komunikasi intra-grup. Menempatkan instance ECS yang memerlukan akses jaringan internal dalam kelompok keamanan dasar yang sama memfasilitasi akses ini. Kemudian kelompok keamanan tingkat lanjut mempertahankan isolasi jaringan dalam grup. Untuk informasi lebih lanjut, lihat Ubah Kebijakan Kontrol Akses Internal Kelompok Keamanan Dasar.
Lintas kelompok keamanan: Untuk memfasilitasi akses jaringan internal antar instance ECS di kelompok keamanan yang berbeda, atau menggunakan kelompok keamanan tingkat lanjut untuk isolasi intra-grup default dan kontrol akses granular dalam lingkungan jaringan kompleks, otorisasi kelompok keamanan sesuai kebutuhan. Untuk informasi lebih lanjut, lihat Panduan Penggunaan Kelompok Keamanan dan Studi Kasus.
Aktifkan firewall sistem pada instance ECS
Teknologi firewall membantu komputer membangun penghalang pelindung yang relatif terisolasi antara jaringan internal dan eksternal untuk melindungi data. Jika Anda mengaktifkan firewall untuk instance ECS dan mengonfigurasi aturan firewall untuk memblokir akses eksternal, Anda mungkin tidak dapat terhubung ke instance tersebut. Untuk informasi lebih lanjut, lihat topik berikut:
Interkoneksi jaringan internal lintas-VPC
Jika Anda ingin mengaktifkan komunikasi pribadi dan aman antar virtual private cloud (VPC), Anda dapat menggunakan Cloud Enterprise Network (Cloud Enterprise Network), VPN Gateway, VPC peering connections, atau PrivateLink.
Berbagai metode untuk menginterkoneksikan VPC bervariasi dalam implementasi, wilayah yang didukung, kompleksitas konfigurasi, jumlah VPC yang saling terhubung, dan biaya terkait. Untuk informasi lebih lanjut, lihat Ikhtisar Koneksi VPC.
Referensi
Untuk mengubah alamat IP pribadi utama default suatu instance, lihat Alamat IP Pribadi Utama.
Untuk skenario yang memerlukan beberapa alamat IP pribadi, seperti hosting beberapa aplikasi atau memastikan failover, tetapkan beberapa alamat IP pribadi sekunder ke instance ECS. Untuk informasi lebih lanjut, lihat Alamat IP Pribadi Sekunder.
Untuk penggunaan kelompok keamanan, lihat Ikhtisar.
Anda juga dapat menggunakan Cloud Firewall untuk mengelola lalu lintas antar instance ECS (timur-barat) dan antara Internet dan instance ECS (utara-selatan), mencegah akses tidak sah. Untuk informasi lebih lanjut, lihat Ikhtisar.