Ekspor EIP pada NIC ECS melalui CIDR Sekunder untuk Perutean Langsung - Elastic IP Address

Secara default, Elastic IP Address (EIP) dipetakan ke alamat IP pribadi instance ECS melalui Network Address Translation (NAT), sehingga hanya alamat IP pribadi yang terlihat dalam sistem operasi. Namun, beberapa aplikasi memerlukan agar alamat IP publik dikonfigurasi langsung pada elastic network interface (ENI), yang dikenal sebagai EIP terlihat (visible EIP).

Persyaratan protokol: Protokol seperti FTP dalam mode aktif memerlukan agar alamat IP publik dimasukkan ke dalam muatan pesan. Komunikasi akan gagal jika alamat IP pribadi digunakan sebagai gantinya.
Validasi alamat sumber: Beberapa server mensyaratkan bahwa alamat IP antarmuka jaringan asal harus sesuai dengan alamat IP egress publik.
IPsec VPN: Beberapa perangkat lunak VPN memerlukan pengikatan langsung ke alamat IP publik untuk membuat saluran data.

Anda dapat menggunakan blok CIDR sekunder VPC untuk membuat elastic network interface (ENI) dan menetapkan alamat IP pribadi utama yang identik dengan alamat EIP. Hal ini membuat alamat IP publik terlihat dalam sistem operasi. Anda juga dapat mengonfigurasi alamat IPv6 pada ENI yang sama untuk mengaktifkan komunikasi dual-stack IPv4/IPv6 pada satu antarmuka jaringan.

Cara kerja

Fitur blok CIDR sekunder Virtual Private Cloud (VPC) memungkinkan Anda menambahkan blok CIDR apa pun, termasuk rentang IP publik, sebagai segmen jaringan kustom. Ini memungkinkan alur kerja berikut:

Tambahkan blok CIDR publik yang mencakup EIP Anda, misalnya 118.XX.XX.0/24, sebagai blok CIDR sekunder ke VPC Anda.
Buat vSwitch dan elastic network interface (ENI) dalam blok CIDR sekunder tersebut. Konfigurasikan alamat IP pribadi utama ENI agar identik dengan alamat EIP Anda.
Asosiasikan EIP dengan ENI dalam mode NAT. Alamat IP publik kemudian akan terlihat dalam sistem operasi.

Berdasarkan konfigurasi ini, Anda dapat menetapkan alamat IPv6 pada ENI yang sama dan mengaktifkan bandwidth publik untuk mencapai komunikasi dual-stack IPv4 dan IPv6 pada satu antarmuka jaringan.

Batasan

Komunikasi intra-VPC: Instance ECS yang menggunakan blok CIDR sekunder dalam mode ENI-terlihat tidak dapat menggunakan EIP untuk berkomunikasi dengan instance lain dalam VPC yang sama melalui jaringan publik. Sebaliknya, komunikasi terjadi secara privat dalam VPC.
Blok CIDR vSwitch: Jika Anda membuat vSwitch dari blok CIDR sekunder, blok CIDR vSwitch tersebut harus mencakup alamat EIP. EIP tidak boleh merupakan salah satu alamat yang dicadangkan sistem. Untuk IPv4, sistem mencadangkan alamat IP pertama dan tiga alamat IP terakhir dari setiap vSwitch.
Elastic network interface:
- Instance ECS dan elastic network interfaces (ENIs) yang dilampirkan harus berada dalam VPC dan Zona yang sama. Mereka dapat berada di vSwitch yang berbeda.
- Tipe instans menentukan jumlah ENI yang dapat dilampirkan ke instance ECS.
Blok CIDR sekunder: Setiap VPC mendukung hingga 5 blok CIDR IPv4 sekunder dan 5 blok CIDR IPv6 sekunder.

Konfigurasi visibilitas antarmuka jaringan IPv4

Konsol

Buat EIP. Masuk ke atau Konsol EIP, lalu klik Create EIP. Untuk informasi selengkapnya, lihat panduan pemilihan EIP.
- Tetapkan Billing Method ke Pay-as-you-go.
- Region: Pilih wilayah yang sama dengan instance ECS.
- Pertahankan nilai default untuk parameter lainnya.
Alamat EIP menentukan blok CIDR sekunder dan blok CIDR vSwitch yang akan Anda konfigurasi nanti.
Tambahkan blok CIDR IPv4 sekunder ke VPC, lalu buat vSwitch dan elastic network interface (ENI).
1. Tambahkan blok CIDR sekunder.
  1. Masuk ke Konsol VPC. Klik ID VPC yang berisi instance ECS untuk membuka halaman detail.
  2. Klik tab CIDR Block Management lalu klik Add Secondary IPv4 CIDR Block. Pilih Custom dan masukkan blok CIDR yang mencakup alamat EIP.
    Misalnya, jika alamat EIP adalah 118.XX.XX.230, tetapkan blok CIDR menjadi 118.XX.XX.0/24.
2. Buka halaman Create vSwitch dan buat vSwitch dalam blok CIDR sekunder.
  - VPC: Pilih VPC yang berisi instance ECS.
  - IPv4 CIDR: Pilih blok CIDR sekunder yang telah Anda tambahkan.
  - Zone: Pilih zona tempat instance ECS berada.
  - IPv4 CIDR: Masukkan blok CIDR yang mencakup alamat EIP. Misalnya, jika alamat EIP adalah 118.XX.XX.230, tetapkan blok CIDR menjadi 118.XX.XX.128/25.
3. Buat ENI.
  1. Buka halaman Elastic Network Interfaces di Konsol ECS.
  2. Klik Create ENI.
    - VPC, vSwitch, dan Security Group: Pilih VPC dan security group yang berisi instance ECS, serta vSwitch yang telah Anda buat dalam blok CIDR sekunder.
    - Primary Private IP Address: Masukkan alamat IP EIP (misalnya, 118.XX.XX.230).
Kaitkan sumber daya.
1. Asosiasikan EIP dengan ENI. Buka Konsol EIP. Temukan EIP target lalu klik Associate with Resource pada kolom Actions.
  - Tetapkan Instance Type ke ENI.
  - Tetapkan Mode ke NAT Mode.
  - Select an instance to associate: Pilih ENI yang telah Anda buat.
2. Asosiasikan ENI dengan instance ECS.
  1. Buka halaman Elastic Network Interfaces di Konsol ECS. Temukan instance target, klik Bind Instance pada kolom Operation, lalu pilih instance ECS target. Beberapa tipe instans tidak mendukung hot-plugging. Anda harus menghentikan instance ECS sebelum dapat mengasosiasikan ENI.
    Jika jumlah ENI sekunder yang diasosiasikan ke instance ECS mencapai batas untuk tipe instans-nya, Anda dapat mengubah ukuran instans untuk meningkatkan tipe instansnya.
  2. Verifikasi bahwa ENI berfungsi. Masuk ke instance ECS dan jalankan perintah ip addr show untuk memastikan bahwa alamat IP ENI sekunder sama dengan EIP. Jika ENI belum diaktifkan, Anda harus mengonfigurasi sistem operasi Linux agar mengenali antarmuka jaringan.
Konfigurasikan routing kebijakan. Rute default instance ECS mengarah ke antarmuka jaringan utama, eth0. Untuk memastikan permintaan yang masuk melalui ENI sekunder, eth1, dikembalikan melalui jalur asalnya, konfigurasikan routing kebijakan.
- Konfigurasi sementara (hilang setelah restart):
```
ip route add default via <subnet_gateway> dev eth1 table 1001
ip rule add from <primary_private_IP_address> lookup 1001
```
- Konfigurasi permanen: Konfigurasikan rute agar diperbarui otomatis saat startup untuk menjadikan konfigurasi permanen.
Verifikasi hasilnya. Masuk ke instance ECS dan jalankan perintah curl -4 --interface eth1 ifconfig.me untuk memverifikasi bahwa alamat IP outbound adalah alamat IP pribadi utama.

API

Panggil AllocateEipAddress untuk membuat EIP.
Panggil AssociateVpcCidrBlock untuk menambahkan blok CIDR sekunder.
Panggil CreateVSwitch untuk membuat vSwitch.
Panggil CreateNetworkInterface untuk membuat ENI.
Panggil AssociateEipAddress untuk mengasosiasikan EIP dengan ENI.
Panggil AttachNetworkInterface untuk mengasosiasikan ENI dengan instance ECS yang sudah ada.

Konfigurasi dual stack IPv6

Setelah Anda mengonfigurasi visibilitas ENI IPv4, tetapkan alamat IPv6 ke elastic network interface (ENI) sekunder. Hal ini menerapkan dual stack IPv4/IPv6 pada satu ENI.

Konsol

Aktifkan IPv6 untuk Virtual Private Cloud (VPC):
Jika IPv6 belum diaktifkan untuk VPC target, klik Enable IPv6 pada kolom IPv6 CIDR VPC target. Pilih Allocated by system, lalu centang kotak Automatically Enable IPv6 for All vSwitches. Sistem secara otomatis membuat IPv6 Gateway dan menetapkan blok CIDR IPv6.
Jika IPv6 sudah diaktifkan untuk VPC target dan vSwitch-nya, lewati langkah ini.
Tetapkan alamat IPv6 ke ENI:
Buka halaman Elastic Network Interfaces di Konsol ECS. Pada kolom Operation ENI target, klik Manage ENI IP Addresses dan tambahkan alamat IPv6.
Konfigurasikan sistem operasi agar mengenali alamat IPv6: Masuk ke instance ECS dan jalankan perintah sudo acs-plugin-manager --exec --plugin=ecs-utils-ipv6. Kemudian, jalankan perintah ip -6 addr show dev eth1 untuk memastikan alamat tersebut dikenali dengan benar.
Aktifkan bandwidth publik untuk alamat IPv6: Secara default, alamat IPv6 hanya mendukung komunikasi dalam VPC-nya. Untuk mengaktifkan akses internet, Anda harus mengaktifkan bandwidth publik untuk alamat tersebut.
1. Masuk ke Konsol IPv6 Gateway.
2. Klik gateway IPv6 VPC target. Pada kolom Actions alamat IPv6 target, klik Activate Internet Bandwidth dan konfigurasikan bandwidth publik.
Verifikasi hasilnya: Masuk ke instance ECS dan jalankan perintah curl -6 ifconfig.me untuk memverifikasi egress publik IPv6.

API

Untuk VPC dan vSwitch yang sudah ada, panggil operasi ModifyVpcAttribute dan ModifyVSwitchAttribute dan tetapkan parameter EnableIPv6 untuk mengaktifkan atau menonaktifkan IPv6.
Tidak seperti konsol, gateway IPv6 tidak dibuat secara otomatis saat Anda mengaktifkan IPv6 untuk VPC dan vSwitch-nya melalui operasi API. Panggil operasi CreateIpv6Gateway untuk membuatnya.
Panggil operasi AssignIpv6Addresses untuk menetapkan alamat IPv6 ke ENI.
Panggil operasi AllocateIpv6InternetBandwidth untuk membeli bandwidth publik untuk alamat IPv6.

Pertanyaan umum

Masalah	Kemungkinan penyebab	Solusi
Alamat IP pribadi utama elastic network interface tidak valid.	Alamat IP pribadi utama tidak berada dalam blok CIDR vSwitch.	Buat ulang vSwitch. Pastikan blok CIDR vSwitch mencakup alamat IP pribadi utama.
Tidak dapat memilih instance ECS target saat mengikat elastic network interface.	Zona berbeda.	Pastikan elastic network interface dan instance ECS berada dalam Zona yang sama.
Terjadi error saat mengikat elastic network interface ke instance ECS.	Tipe instans tidak mendukung hot-plugging.	Hentikan instans, ikat antarmuka, lalu nyalakan kembali instans.
Elastic network interface tidak diaktifkan.	Sistem operasi tidak mengenali antarmuka jaringan baru.	Konfigurasikan sistem operasi Linux agar mengenali antarmuka jaringan.
Instance ECS tidak dapat mengakses internet.	Rute default mengarah ke antarmuka jaringan utama.	Sesuaikan prioritas rute agar ENI sekunder digunakan untuk mengakses internet. Atau, gunakan `--interface eth1` untuk menentukan ENI sekunder saat mengakses.
	Routing asimetris terjadi.	Konfigurasikan routing kebijakan agar traffic kembali melalui antarmuka yang sama tempat ia masuk.
	Security group tidak mengizinkan traffic.	Periksa apakah security group mengizinkan traffic dari sumber yang relevan.