Secara default, EIP dipetakan ke alamat IP pribadi instance ECS melalui NAT, sehingga sistem operasi hanya melihat alamat IP pribadi tersebut. Namun, beberapa aplikasi memerlukan agar alamat IP publik dikonfigurasi langsung pada antarmuka jaringan agar EIP menjadi terlihat.
-
Persyaratan protokol: Protokol seperti FTP dalam mode aktif mengharuskan muatan paket berisi alamat IP publik host. Komunikasi akan gagal jika muatan berisi alamat IP pribadi.
-
Validasi alamat sumber: Beberapa server mensyaratkan bahwa alamat IP antarmuka jaringan outbound harus sesuai dengan alamat IP egress publik.
-
IPsec VPN: Beberapa perangkat lunak VPN memerlukan binding langsung ke alamat IP publik untuk membuat saluran data.
Dengan menggunakan blok CIDR sekunder VPC, Anda dapat membuat antarmuka jaringan elastis yang alamat IP pribadi utamanya sesuai dengan EIP, sehingga alamat IP publik terlihat dalam sistem operasi. Anda juga dapat menetapkan alamat IPv6 ke antarmuka jaringan yang sama untuk mengaktifkan komunikasi dual-stack IPv4/IPv6 pada satu antarmuka.
Cara kerja
Blok CIDR sekunder VPC memungkinkan Anda menambahkan blok CIDR apa pun, termasuk rentang alamat IP publik, sebagai segmen jaringan yang ditentukan pengguna. Hal ini memungkinkan Anda untuk:
-
Menambahkan blok CIDR publik yang mencakup EIP—misalnya
118.XX.XX.0/24—sebagai blok CIDR sekunder ke VPC. -
Membuat vSwitch dan antarmuka jaringan elastis dalam blok CIDR sekunder, serta mengatur alamat IP pribadi utama antarmuka jaringan elastis agar sesuai dengan alamat EIP.
-
Bind EIP ke antarmuka jaringan elastis dalam Mode NAT agar alamat IP publik terlihat dalam sistem operasi.
Anda juga dapat menetapkan alamat IPv6 ke antarmuka jaringan yang sama dan mengaktifkan bandwidth publik untuk komunikasi dual-stack IPv4/IPv6.
Batasan
-
Komunikasi dalam VPC yang sama: Instance ECS dengan EIP terlihat berkomunikasi dengan instance lain dalam VPC yang sama melalui jaringan pribadi, bukan Internet publik, meskipun menggunakan EIP untuk komunikasi.
-
Blok CIDR vSwitch: Blok CIDR vSwitch yang dibuat dalam blok CIDR sekunder harus mencakup alamat EIP. EIP tidak boleh merupakan salah satu alamat yang dicadangkan sistem vSwitch. Untuk IPv4, tiga alamat IP pertama dan terakhir dari blok CIDR vSwitch dicadangkan.
-
Antarmuka jaringan elastis:
-
Instance ECS dan antarmuka jaringan elastis yang di-bind-nya harus berada dalam VPC dan zona ketersediaan yang sama, tetapi dapat berada dalam vSwitch yang berbeda.
-
Jumlah antarmuka jaringan elastis yang dapat disambungkan ke instance ECS ditentukan oleh tipe instans-nya.
-
-
Blok CIDR sekunder: Setiap VPC mendukung maksimal lima blok CIDR IPv4 sekunder dan lima blok CIDR IPv6 sekunder.
Konfigurasi EIP IPv4 yang terlihat
Konsol
-
Buat EIP: Masuk ke Konsol EIP dan klik Create EIP. Untuk informasi lebih lanjut tentang konfigurasi, lihat Select an EIP.
-
Billing Method: Disarankan memilih Pay-as-you-go.
-
Region: Pilih wilayah yang sama dengan instance ECS.
-
Parameter lainnya dapat menggunakan nilai default.
Alamat EIP menentukan blok CIDR sekunder dan blok CIDR vSwitch yang akan Anda konfigurasi nanti.
-
-
Tambahkan blok CIDR IPv4 sekunder ke VPC, lalu buat vSwitch dan antarmuka jaringan elastis.
-
Tambahkan blok CIDR sekunder:
-
Masuk ke Konsol VPC dan klik ID VPC yang berisi instance ECS Anda untuk membuka halaman detailnya.
-
Klik tab CIDR Block Management dan klik Add Secondary IPv4 CIDR Block. Pilih Custom dan masukkan blok CIDR yang mencakup alamat EIP.
Sebagai contoh, jika alamat EIP adalah
118.XX.XX.230, Anda dapat mengatur blok CIDR menjadi118.XX.XX.0/24.
-
-
Buka halaman Create vSwitch untuk membuat vSwitch dalam blok CIDR sekunder.
-
VPC: Pilih VPC tempat instance ECS berada.
-
IPv4 CIDR: Pilih blok CIDR sekunder yang telah ditambahkan.
-
Zone: Pilih zona ketersediaan instance ECS.
-
IPv4 CIDR: Masukkan blok CIDR untuk vSwitch. Blok ini harus merupakan subnet dari blok CIDR sekunder yang telah Anda tambahkan dan harus mencakup alamat EIP. Sebagai contoh, jika alamat EIP adalah
118.XX.XX.230, Anda dapat mengatur blok CIDR vSwitch menjadi118.XX.XX.128/25.
-
-
Buat antarmuka jaringan elastis:
-
Buka halaman Network Interfaces di Konsol ECS.
-
Klik Create Network Interface.
-
VPC, vSwitch, dan Security Group: Pilih VPC dan security group instance ECS, serta vSwitch yang telah Anda buat dalam blok CIDR sekunder.
-
Primary private IP address: Masukkan alamat IP EIP Anda, misalnya
118.XX.XX.230.
-
-
-
-
Bind resource
-
Bind EIP ke antarmuka jaringan elastis: Buka Konsol EIP, temukan EIP Anda, lalu di kolom Actions, klik Associate with Resource.
-
Instance Type: Pilih ENI.
-
Mode: Pilih NAT Mode.
-
Select an instance to associate: Pilih antarmuka jaringan elastis yang telah Anda buat.
-
-
Bind antarmuka jaringan elastis ke instance ECS:
-
Buka halaman Network Interfaces di Konsol ECS, temukan antarmuka jaringan elastis target, lalu di kolom Operation, klik Bind instance dan pilih instance ECS target. Beberapa tipe instans tidak mendukung hot-plugging. Anda harus menghentikan instance ECS sebelum mengikat antarmuka jaringan elastis.
Jika jumlah antarmuka jaringan elastis sekunder yang terikat ke instance ECS telah mencapai batas untuk tipe instans-nya, Anda dapat mengubah konfigurasi instans untuk meningkatkan tipe instans.
-
Verifikasi bahwa antarmuka jaringan elastis aktif: Masuk ke instance ECS dan jalankan perintah
ip addr showuntuk memverifikasi bahwa alamat IP antarmuka jaringan elastis sekunder sesuai dengan EIP. Jika antarmuka jaringan tidak aktif, Anda perlu mengonfigurasi sistem operasi Linux agar mengenali antarmuka jaringan.
-
-
-
Konfigurasi perutean berbasis kebijakan: Rute default instance ECS mengarah ke antarmuka jaringan utama,
eth0. Untuk memastikan permintaan yang masuk melalui antarmuka jaringan elastis sekunder,eth1, kembali melalui jalur yang sama (source-in/source-out), konfigurasikan perutean berbasis kebijakan.-
Konfigurasi sementara (di-reset saat reboot):
ip route add default via <vswitch_gateway> dev eth1 table 1001 ip rule add from <primary_private_ip_address> lookup 1001 -
Konfigurasi permanen: Konfigurasikan rute agar diperbarui otomatis saat startup sistem untuk menjadikan konfigurasi permanen.
-
-
Verifikasi hasil: Masuk ke instance ECS dan jalankan perintah
curl -4 --interface eth1 ifconfig.meuntuk memverifikasi bahwa alamat IP egress adalah EIP.
API
-
Panggil operasi AllocateEipAddress untuk membuat EIP.
-
Panggil operasi AssociateVpcCidrBlock untuk menambahkan blok CIDR sekunder.
-
Panggil operasi CreateVSwitch untuk membuat vSwitch.
-
Panggil operasi CreateNetworkInterface untuk membuat antarmuka jaringan elastis.
-
Panggil operasi AssociateEipAddress untuk mengikat EIP ke antarmuka jaringan elastis.
-
Panggil operasi AttachNetworkInterface untuk mengikat antarmuka jaringan elastis ke instance ECS yang sudah ada.
Konfigurasi dual-stack IPv6
Anda dapat memperluas konfigurasi sebelumnya dengan menetapkan alamat IPv6 ke antarmuka jaringan elastis sekunder untuk mengaktifkan pengaturan dual-stack.
Konsol
-
Aktifkan IPv6 untuk VPC:
Jika IPv6 belum diaktifkan untuk VPC target, klik Enable IPv6 di kolom IPv6 CIDR VPC target, pilih Allocated by system, dan centang kotak Automatically Enable IPv6 for All vSwitches. Sistem secara otomatis membuat IPv6 Gateway dan menetapkan blok CIDR IPv6.
Jika IPv6 sudah diaktifkan untuk VPC dan vSwitch, Anda dapat melewati langkah ini.
-
Tetapkan alamat IPv6 ke antarmuka jaringan elastis:
Buka halaman Network Interfaces di Konsol ECS. Temukan antarmuka jaringan elastis target, lalu di kolom Operation, klik Manage ENI IP Addresses untuk menambahkan alamat IPv6.
-
Konfigurasikan sistem operasi agar mengenali alamat IPv6: Masuk ke instance ECS dan jalankan perintah
sudo acs-plugin-manager --exec --plugin=ecs-utils-ipv6. Setelah perintah dijalankan, jalankanip -6 addr show dev eth1untuk memastikan alamat tersebut dikenali.[root@iZxxx]# ip -6 addr show dev eth1 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 altname enp0s6 altname ens6 inet6 2408:4005:305:xxx:xxx:xxx:d28b/64 scope global noprefixroute valid_lft forever preferred_lft forever inet6 fe80::xxx/64 scope link noprefixroute valid_lft forever preferred_lft forever -
Aktifkan bandwidth publik untuk alamat IPv6: Secara default, alamat IPv6 hanya mendukung komunikasi intra-VPC. Untuk mengizinkan akses internet melalui IPv6, Anda harus mengaktifkan bandwidth publik.
-
Masuk ke Konsol IPv6 Gateway.
-
Klik gateway IPv6 VPC target. Temukan alamat IPv6 target dan klik Activate Internet Bandwidth di kolom Actions untuk mengonfigurasi bandwidth publik.
-
-
Verifikasi hasil: Masuk ke instance ECS dan jalankan perintah
curl -6 ifconfig.meuntuk memverifikasi egress publik IPv6.
API
-
Untuk VPC dan vSwitch yang sudah ada, panggil operasi ModifyVpcAttribute dan ModifyVSwitchAttribute dan atur parameter
EnableIPv6untuk mengaktifkan atau menonaktifkan IPv6.Berbeda dengan alur kerja konsol, menggunakan API untuk mengaktifkan IPv6 pada VPC dan vSwitch tidak secara otomatis membuat gateway IPv6. Anda harus memanggil operasi CreateIpv6Gateway untuk membuatnya.
-
Panggil operasi AssignIpv6Addresses untuk menetapkan alamat IPv6 ke antarmuka jaringan elastis.
-
Panggil operasi AllocateIpv6InternetBandwidth untuk membeli bandwidth publik untuk alamat IPv6.
FAQ
|
Problem |
Possible cause |
Solution |
|
Alamat IP pribadi utama antarmuka jaringan elastis tidak valid. |
Alamat IP pribadi utama tidak berada dalam blok CIDR vSwitch. |
Buat ulang vSwitch dan pastikan blok CIDR-nya mencakup alamat EIP. |
|
Instance ECS target tidak dapat dipilih saat Anda mengikat antarmuka jaringan elastis. |
Zona ketersediaan tidak sesuai. |
Pastikan antarmuka jaringan elastis dan instance ECS berada dalam zona ketersediaan yang sama. |
|
Terjadi error saat Anda mengikat antarmuka jaringan elastis ke instance ECS. |
Tipe instans tidak mendukung hot-plugging. |
Hentikan instans, ikat antarmuka, lalu restart instans. |
|
Antarmuka jaringan elastis tidak diaktifkan. |
Sistem operasi belum mengenali antarmuka jaringan baru. |
Konfigurasikan sistem operasi Linux agar mengenali antarmuka jaringan. |
|
Instance ECS tidak dapat mengakses internet. |
Rute default mengarah ke antarmuka jaringan utama. |
Sesuaikan prioritas rute agar antarmuka jaringan elastis sekunder digunakan untuk akses internet, atau tentukan antarmuka dengan menggunakan opsi |
|
Terjadi perutean asimetris. |
Konfigurasikan perutean berbasis kebijakan untuk memastikan source-in/source-out. |
|
|
Security group tidak mengizinkan traffic yang diperlukan. |
Periksa apakah security group mengizinkan traffic dari sumber yang diperlukan. |