Mengasosiasikan beberapa EIP ke instans ECS dalam mode NAT - Elastic IP Address

Untuk menghosting berbagai layanan pada satu instans Elastic Compute Service (ECS) menggunakan beberapa Alamat IP Elastis (EIP), asosiasikan EIP tersebut dengan antarmuka jaringan elastis (ENI) pada instans tersebut dalam mode NAT.

Anda dapat mengasosiasikan beberapa EIP baik ke ENI primer maupun ENI sekunder. Topik ini menggunakan ENI sekunder sebagai contoh.

Cara kerja

Mengasosiasikan beberapa EIP: Sambungkan ENI sekunder yang memiliki beberapa alamat IP pribadi ke instans ECS, lalu asosiasikan beberapa EIP ke masing-masing alamat IP pribadi tersebut dalam mode NAT.
Konfigurasi perutean berbasis kebijakan untuk memastikan jalur lalu lintas simetris:
- Lalu lintas masuk: Saat permintaan eksternal mengakses suatu EIP, sistem secara otomatis meneruskan lalu lintas tersebut ke alamat IP pribadi yang diasosiasikan dengan EIP tersebut.
- Lalu lintas keluar: Konfigurasikan perutean berbasis kebijakan pada instans ECS agar instans mengembalikan lalu lintas tanggapan melalui EIP yang sesuai. Perutean berbasis kebijakan menentukan lompatan berikutnya dan perangkat keluar (ENI sekunder) berdasarkan alamat IP sumber dari paket data (alamat IP pribadi). Konfigurasi ini memastikan perutean simetris dalam lingkungan multi-NIC dan mencegah konflik perutean.

Catatan penggunaan

Jumlah ENI yang dapat Anda sambungkan dan jumlah alamat IP pribadi sekunder yang dapat Anda tetapkan bergantung pada keluarga instans.
Sebagai contoh, instans ecs.c6.large mendukung maksimal 2 ENI yang tersambung (satu primer dan satu sekunder), dan setiap ENI mendukung hingga 6 alamat IP pribadi. Baik pada ENI primer maupun sekunder, Anda dapat mengasosiasikan satu EIP ke alamat IP pribadi utama dan lima EIP ke alamat IP pribadi sekunder.
EIP yang diasosiasikan dalam mode NAT tidak mendukung protokol yang memerlukan NAT Application Level Gateway (ALG).
- EIP dapat diasosiasikan baik ke ENI primer maupun sekunder.
- Jumlah EIP yang dapat Anda asosiasikan bergantung pada jumlah alamat IP pribadi pada ENI, dengan pemetaan satu-satu di antara keduanya.
Untuk memungkinkan instans mengakses Internet, tambahkan rute ke gateway IPv4 jika virtual private cloud (VPC) instans tersebut menggunakan gateway IPv4 untuk akses Internet terpusat.

Prosedur

Langkah 1: Asosiasikan beberapa EIP

Sambungkan ENI sekunder yang memiliki beberapa alamat IP pribadi ke instans ECS.
Jika Anda sudah memiliki ENI sekunder, Anda dapat langsung mengikatnya ke instans ECS.
1. Buka halaman Konsol ECS - Halaman ENI dan pilih wilayah instans tersebut.
2. Klik Create ENI.
  Pertahankan pengaturan default untuk parameter lainnya. Setelah pembuatan, klik Manage ENI IP Addresses di kolom Operation ENI target untuk menambahkan, menghapus, atau memodifikasi alamat IP pribadi.
  - Pilih VPC, vSwitch, dan grup keamanan dari instans ECS.
  - Primary Private IP Address: Tentukan alamat IP yang belum digunakan dalam vSwitch. Atau, biarkan parameter ini kosong, dan sistem akan secara acak menetapkan alamat yang tersedia. Nilai parameter ini tidak dapat diubah setelah pembuatan.
  - Secondary Private IPv4 Address: Pilih Auto-assign dan masukkan jumlah alamat IP pribadi sekunder yang ingin Anda tetapkan.
3. Pada kolom Operation untuk ENI target, klik Bind to Instance dan pilih instans ECS target.
Konfigurasikan sistem operasi agar mengenali alamat IP pribadi sekunder.
Dalam contoh ini, instans ECS target menjalankan sistem operasi Alibaba Cloud Linux 3.2. Untuk informasi tentang pengenalan alamat IP pada sistem operasi lainnya, lihat Konfigurasikan sistem operasi instans agar mengenali alamat IP pribadi sekunder.
1. Login ke instans ECS dan jalankan perintah ip a untuk melihat dan mengonfirmasi informasi ENI.
  - Identifikasi antarmuka jaringan: eth0 (ENI primer), eth1 (ENI sekunder).
  - Status antarmuka jaringan: state UP menunjukkan bahwa ENI berfungsi dengan benar dalam instans. Jika statusnya state DOWN, Anda harus mengonfigurasi OS Linux agar mengenali ENI.
2. Gunakan nmcli con untuk mengonfigurasi alamat IP pribadi sekunder.
  1. Untuk memastikan konfigurasi tetap berlaku setelah restart, nonaktifkan inisialisasi jaringan otomatis oleh cloud-init dengan menjalankan sudo vim /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg untuk membuat file dan menambahkan konfigurasi network: {config: disabled}.
  2. Jalankan nmcli con show untuk melihat nama koneksi untuk eth1.
  3. Jalankan perintah berikut untuk mengonfigurasi alamat IPv4 pribadi sekunder dan gateway default untuk ENI sekunder.
    Anda dapat menjalankan route -n untuk melihat gateway default.
```
sudo nmcli con modify "<eth1 connection name>" ipv4.addresses <Secondary private IPv4 address 1>,<Secondary private IPv4 address 2>
sudo nmcli con modify "<eth1 connection name>" ipv4.gateway <default gateway>
```
3. Jalankan sudo nmcli con up "<eth1 connection name>" untuk mengaktifkan koneksi jaringan yang telah dimodifikasi. Pesan Connection successfully activated menunjukkan konfigurasi berhasil. Jalankan kembali ip a untuk melihat alamat IP pribadi sekunder.
Buat beberapa EIP dan asosiasikan ke ENI sekunder.
1. Buka halaman pembelian EIP.
  Hanya item konfigurasi yang relevan yang tercantum di sini. Untuk panduan pemilihan detail, lihat Panduan pemilihan EIP.
  - Billing Method: Model penagihan bayar sesuai pemakaian cocok untuk beban kerja yang fluktuatif, sedangkan langganan ideal untuk layanan jangka panjang yang stabil. Dalam contoh ini, pilih Pay-as-you-go.
  - Region: Harus sama dengan wilayah instans ECS.
  - Line Type: Anda hanya dapat menyesuaikan parameter ini di beberapa wilayah tertentu.
  - Security Protection: Anda hanya dapat menyesuaikan parameter ini untuk EIP BGP (Multi-ISP) yang menggunakan metode penagihan bayar sesuai pemakaian.
  - IP Address Pool: Anda dapat mengalokasikan EIP dari kolam alamat IP jika Anda memilikinya.
  - Quantity: Pilih jumlah EIP yang ingin Anda asosiasikan.
2. Asosiasikan setiap EIP secara individual ke alamat IP pribadi pada ENI sekunder.
  1. Buka Konsol VPC - Halaman Alamat IP Elastis dan pilih wilayah tempat EIP berada.
  2. Pada kolom Actions EIP target, klik Associate with Resource. Pada kotak dialog yang muncul, pilih ENI, lalu pilih alamat IP pribadi sekunder.

Langkah 2: Konfigurasi perutean berbasis kebijakan

Konfigurasikan perutean berbasis kebijakan pada instans ECS untuk memastikan jalur lalu lintas simetris.

Login ke instans ECS dan tambahkan rute default untuk ENI sekunder eth1 dengan membuat tabel rute table 1001 dan kebijakan perutean untuk alamat IP pribadi.

ip -4 route add default via <Default gateway> dev eth1 metric 1001 && \
ip -4 route add default via <Default gateway> dev eth1 table 1001 && \
ip -4 rule add from <Private IPv4 address 1 of the secondary ENI> lookup 1001 && \
ip -4 rule add from <Private IPv4 address 2 of the secondary ENI> lookup 1001 && \
ip -4 rule add from <Private IPv4 address 3 of the secondary ENI> lookup 1001

Jalankan ip route list table 1001 && ip rule list untuk melihat tabel rute dan rute berbasis kebijakan yang telah dibuat.
Konfigurasikan rute agar diterapkan secara otomatis saat sistem dinyalakan untuk memastikan konfigurasi tetap berlaku setelah restart instans.
1. Jalankan vim /etc/rc.local dan tambahkan perintah untuk membuat tabel rute dan rute berbasis kebijakan ke dalam file tersebut.
2. Jalankan sudo chmod +x /etc/rc.local untuk menjadikan file tersebut dapat dieksekusi.

Langkah 3: Verifikasi konfigurasi

Verifikasi alamat IP keluar

Login ke instans ECS dan jalankan curl --interface <Private IP address of the secondary ENI> https://ifconfig.me. Pastikan bahwa alamat IP publik keluar untuk permintaan yang dikirim dari alamat IP pribadi berbeda sesuai dengan EIP yang diasosiasikan.

Verifikasi jalur lalu lintas masuk dan keluar

Login ke instans ECS uji lain yang dapat mengakses Internet dan jalankan ping <EIP associated with the secondary ENI>.
Pada saat yang sama, login ke instans ECS target dan jalankan tcpdump -i eth1 icmp untuk menangkap paket ICMP pada eth1.

Anda dapat melihat bahwa paket masuk dan keluar melalui eth1, yang mengonfirmasi bahwa jalur lalu lintas bersifat simetris.

Penerapan di lingkungan produksi

Pencegahan risiko: Solusi ini menggunakan satu instans ECS. Kami merekomendasikan penggunaan Server Load Balancer (SLB) untuk memastikan ketersediaan tinggi (HA) bagi layanan Anda. Perhatikan bahwa gangguan bisnis dapat terjadi jika instans direstart atau konfigurasi jaringan diubah.
Pemantauan dan peringatan: Siapkan pemantauan dan peringatan untuk metrik utama ENI sekunder, seperti lalu lintas jaringan, pemanfaatan CPU, dan memori, untuk mendeteksi anomali secara cepat.
Penguatan keamanan: Konfigurasikan aturan grup keamanan untuk ENI sekunder dan izinkan hanya port dan alamat IP sumber yang diperlukan untuk mengakses layanan Anda.

Penagihan

Penagihan EIP:
- Biaya konfigurasi EIP (biaya retensi alamat IP publik):
  - EIP bayar sesuai pemakaian: Saat EIP diasosiasikan dengan ENI sekunder, Anda dikenai biaya konfigurasi untuk retensi alamat IP publik, meskipun tidak ada lalu lintas Internet.
  - EIP langganan: Tidak dikenai biaya konfigurasi.
- Biaya transfer data Internet:
  - EIP bayar sesuai pemakaian: Biaya dikenakan berdasarkan metode pengukuran yang dipilih (bayar-per-bandwidth atau bayar-berdasarkan-transfer-data).
  - EIP langganan: Biaya dikenakan berdasarkan metode pengukuran yang dipilih (bayar-per-bandwidth atau bayar-berdasarkan-transfer-data).
Penagihan sumber daya lainnya: Sumber daya seperti instans ECS ditagih sesuai aturan masing-masing. ENI sekunder tidak dikenai biaya.