Siapkan akses jaringan workspace Flink melalui NAT Gateway dan peering VPC-Realtime Compute for Apache Flink-Alibaba Cloud

Untuk mengatasi keterbatasan bahwa Realtime Compute for Apache Flink tidak dapat langsung mengakses Internet, topik ini menjelaskan tiga opsi konektivitas yang memungkinkan Anda menghubungkan ruang kerja Flink ke Internet, VPC lain, atau jaringan lokal.

Wilayah dan zona

Sebelum mengaktifkan Realtime Compute for Apache Flink, pahami konsep-konsep berikut:

Wilayah
Wilayah adalah area geografis independen tempat pusat data Alibaba Cloud berada. Wilayah biasanya diidentifikasi oleh kota tempat pusat data tersebut berada. Misalnya, wilayah China (Hangzhou) menunjukkan bahwa pusat data berada di Hangzhou, Tiongkok. Untuk mencapai latensi jaringan lebih rendah dan kecepatan akses lebih cepat, prioritaskan wilayah yang secara geografis lebih dekat dengan data bisnis Anda.
Zona
Zona adalah area fisik terisolasi yang menampung pusat data dalam suatu wilayah, masing-masing dengan infrastruktur daya dan jaringan yang independen. Setiap wilayah biasanya memiliki beberapa zona. Zona di wilayah yang berbeda sepenuhnya terisolasi. Praktik terbaik adalah menerapkan aplikasi bisnis Anda di beberapa zona untuk mencapai ketersediaan tinggi lintas zona.

Catatan

Berdasarkan lokasi data bisnis Anda, pilih wilayah dan zona optimal yang memastikan ketersediaan tinggi, stabilitas, dan transmisi data latensi rendah.

Ikhtisar opsi konektivitas

Tabel berikut mencantumkan tiga opsi konektivitas yang tersedia. Pilih opsi yang sesuai dengan kebutuhan Anda.

Opsi	Skenario
Terhubung ke Internet	Sesuai untuk skenario di mana sumber data harus diakses melalui alamat IP publik, karena tidak mendukung koneksi jaringan pribadi atau tidak terhubung langsung ke VPC.
Terhubung ke VPC lainnya	Sesuai untuk skenario di mana sumber data di VPC lain harus diakses melalui koneksi jaringan pribadi yang aman dan latensi rendah. Koneksi antar akun atau lintas wilayah didukung.
Terhubung ke jaringan lokal	Sesuai untuk skenario penyebaran multi-cloud dan hybrid.

Terhubung ke Internet

Catatan

Latensi mengakses sumber data melalui Internet tidak dapat diprediksi. Jika bisnis Anda memerlukan latensi rendah dan stabilitas tinggi, kami sarankan menggunakan akses VPC.

Anda dapat menggunakan NAT Gateway dari Alibaba Cloud untuk membuat koneksi antara VPC dan Internet. Setelah koneksi dibuat, ruang kerja Realtime Compute for Apache Flink Anda dapat mengakses sumber data melalui Internet.

Konfigurasikan koneksi Internet

Langkah 1: Buat NAT Gateway dan konfigurasikan EIP

Masuk ke Konsol NAT Gateway.
Klik Create Internet NAT Gateway.

Di halaman pembelian, atur NAT gateway sebagai berikut:

Region, VPC, dan Associate vSwitch: Pilih wilayah, VPC, dan vSwitch dari ruang kerja Flink Anda.
Informasi ini dapat ditemukan di konsol manajemen Realtime Compute for Apache Flink dengan mengklik More > Workspace Details dari ruang kerja Anda.
Access Mode: Pilih SNAT-enabled Mode.
EIP: Pilih Purchase EIP. Jika Anda sudah memiliki EIP, pilih Select EIP.

Line Type: Pilih BGP (Multi-ISP). Item konfigurasi ini hanya muncul jika Anda telah memilih Purchase EIP pada langkah sebelumnya.

Catatan

Jika ruang kerja Flink Anda berada di wilayah di luar daratan Tiongkok, opsi tipe jalur lainnya mungkin tersedia (lihat tabel di bawah) saat Anda membuat EIP di konsol EIP. Namun, di konsol NAT Gateway, hanya BGP (Multi-ISP) yang tersedia. Untuk menggunakan EIP dengan tipe jalur yang diinginkan, buat EIP di konsol EIP dan pilih EIP saat membuat instance NAT Gateway.

Perbandingan Tipe Jalur

Item	EIP (BGP Multi-ISP)	EIP (BGP Multi-ISP Pro)	Anycast EIP
Keunggulan utama	Akses Internet hemat biaya melalui jalur BGP berkualitas tinggi	Transmisi data latensi rendah ke daratan Tiongkok melalui layanan yang disediakan oleh ISP daratan Tiongkok	Banyak wilayah di seluruh dunia berbagi Anycast EIP yang sama. Lalu lintas pengguna diarahkan ke titik akses terdekat dari jaringan transmisi global Alibaba Cloud.
Skema	Beban kerja diterapkan di wilayah mana pun. Pengguna mengakses layanan melalui Internet dari mana saja. Lalu lintas melewati jalur operator reguler.	Beban kerja diterapkan di wilayah di luar daratan Tiongkok. Pengguna mengakses layanan melalui Internet dari daratan Tiongkok. Lalu lintas melewati jalur yang disediakan oleh ISP daratan Tiongkok.	Beban kerja diterapkan di wilayah di luar daratan Tiongkok Pengguna mengakses layanan melalui Internet dari lokasi di luar daratan Tiongkok. Lalu lintas melewati jalur reguler operator dan jaringan transmisi global Alibaba Cloud.
Kualitas	Rendah	Tinggi	Tinggi
Biaya	Rendah	Sedang	Tinggi

Klik Buy Now, lanjutkan untuk menyelesaikan pembayaran, dan tunggu hingga konfigurasi sumber daya selesai.
(Opsional) Konfigurasikan SNAT.
1. Di kolom Actions dari instance Internet NAT Gateway yang Anda beli, klik Configure SNAT.
2. Klik Create SNAT Entry.
3. Di bidang SNAT Entry, pilih Specify VPC. Di bidang Select EIP, pilih EIP dari daftar drop-down.
4. Klik OK.

Langkah 2: Otorisasi akses ke sistem upstream/downstream

Saat ini, Realtime Compute for Apache Flink dapat terhubung ke sumber data melalui Internet. Selanjutnya, Anda perlu mengotorisasi akses dari Flink dengan menambahkan EIP ke aturan firewall atau kebijakan grup keamanan sistem upstream dan downstream.

Sebagai contoh, untuk mengakses database MySQL Anda yang diterapkan pada instance Elastic Compute (ECS) Alibaba Cloud (dengan EIP yang sudah terikat), tambahkan kebijakan grup keamanan sebagai berikut:

Pergi ke Konsol ECS - Instance.
Klik nama instance ECS target.
Pilih tab Security Groups, lalu klik nama grup keamanan yang diinginkan.
Pada tab Security Group Details, pilih subtab Inbound di bagian Access Rule, lalu klik Quick Add.
Kotak dialog Quick Add muncul.
Untuk Authorization Object, tempel EIP yang terkait dengan instance NAT Gateway Anda di Langkah 1. Untuk Port Range, pilih MySQL (3306).
Klik OK.
Ruang kerja Flink Anda sekarang dapat mengakses database MySQL yang diterapkan pada instance ECS melalui alamat IP publik instance tersebut.
Pergi ke konsol pengembangan Realtime Compute for Apache Flink. Klik ikon Network detection di sudut kanan atas untuk menguji konektivitas jaringan.

Terhubung ke VPC lainnya

Catatan

Jika layanan lainnya masih dalam tahap perencanaan awal atau biaya penggantian rendah, kami sarankan Anda meluncurkan ulang sumber daya Anda ke VPC yang sama dengan ruang kerja Flink Anda. Sebagai alternatif, Anda dapat melepaskan ruang kerja Flink Anda saat ini dan membuat yang baru di VPC yang sama dengan layanan lainnya.

Gunakan salah satu metode berikut untuk membuat koneksi jaringan lintas-VPC:

Koneksi peering VPC: Koneksi peering VPC adalah koneksi jaringan antara dua VPC yang memungkinkan mereka berkomunikasi melalui alamat IP pribadi, seolah-olah mereka berada di jaringan yang sama. Anda dapat membuat koneksi peering VPC antara VPC Anda sendiri, atau dengan VPC di akun Alibaba Cloud lainnya. Koneksi peering VPC lintas wilayah juga didukung.
Router transit: Router transit dapat digunakan untuk menghubungkan instance jaringan dan meneruskan lalu lintas di antara mereka di wilayah yang sama atau lintas wilayah. Setelah router transit terhubung dengan VPC Anda, rute akan disinkronkan secara otomatis. Hanya satu router transit yang diizinkan per wilayah. Untuk membuat koneksi lintas wilayah, terapkan router transit di setiap wilayah.
PrivateLink: PrivateLink memungkinkan Anda mengakses sumber daya di VPC dari VPC lain melalui jaringan aman dan pribadi. PrivateLink menyederhanakan arsitektur jaringan dan menghindari risiko keamanan dari Internet.

Item	Koneksi peering VPC	Router transit	PrivateLink
Metode koneksi	VPC terhubung berpasangan.	VPC terhubung melalui router transit.	Koneksi unidirectional dibuat antara VPC melalui layanan endpoint.
Dukungan untuk propagasi rute	Tidak didukung	Didukung	Tidak didukung
Koneksi dua arah atau satu arah	Koneksi dua arah	Koneksi dua arah	Koneksi satu arah
Dukungan untuk akses sumber daya lintas akun	Didukung	Didukung	Didukung
Dukungan untuk akses lintas wilayah	Didukung	Didukung	Tidak didukung
Skema yang cocok	Menghubungkan beberapa VPC	Menghubungkan banyak VPC	Membuat koneksi satu arah dari satu VPC ke VPC lain
Kompleksitas konfigurasi	Tinggi. Anda perlu membuat koneksi peering antara setiap pasangan VPC dan memperbarui tabel rute kedua VPC tersebut.	Rendah. Anda perlu menghubungkan VPC Anda ke router transit dan mengonfigurasi tabel rute VPC untuk mengarahkan lalu lintas ke router transit.	Rendah. Anda dapat menghubungkan VPC yang memiliki blok CIDR yang tumpang tindih dan tidak perlu mengonfigurasi tabel rute.
Latensi jaringan	Latensi rendah	Latensi sedang. Latensi jaringan lebih tinggi karena router transit menambahkan hop tambahan antara VPC.	Latensi rendah
Biaya	Koneksi intra-wilayah: Tidak dikenakan biaya. Koneksi inter-wilayah: Anda dikenakan biaya untuk lalu lintas keluar oleh Cloud Data Transfer (CDT).	Koneksi intra-wilayah: Anda dikenakan biaya untuk koneksi dan penerusan data. Koneksi inter-wilayah: Anda dikenakan biaya untuk paket bandwidth, koneksi, dan penerusan data.	Anda dikenakan biaya untuk layanan PrivateLink berdasarkan model pay-as-you-go, termasuk biaya instance dan biaya transfer data.
Dukungan untuk blok CIDR yang tumpang tindih	Tidak didukung	Tidak didukung	Didukung

Contoh

Sebuah perusahaan telah membuat VPC A di wilayah China (Hangzhou) dan VPC B di wilayah China (Beijing). Ruang kerja Realtime Compute for Apache Flink-nya diterapkan di wilayah China (Hangzhou), sedangkan instance ECS untuk penyimpanan data dan pengembangan diterapkan di wilayah China (Beijing).

Koneksi peering VPC dibuat antara VPC A dan B.

Catatan

VPC dan vSwitch yang terlibat dalam peering tidak boleh memiliki blok CIDR yang tumpang tindih.
Sebagai contoh, jika VPC A memiliki blok CIDR 192.168.0.0/16 dan VPC B memiliki blok CIDR 192.168.0.0/24, mereka tidak dapat dihubungkan, meskipun koneksi peering telah dibuat.
Untuk mempeerkan VPC lintas akun Alibaba Cloud, pastikan baik akun peminta maupun akun penerima memiliki VPC.
Untuk instruksi terperinci, lihat Gunakan koneksi peering VPC untuk komunikasi pribadi.

Terhubung ke jaringan lokal

Untuk menghubungkan ke pusat data lokal, gunakan salah satu layanan berikut:

Express Connect: Express Connect dapat menghubungkan pusat data lokal atau platform cloud lainnya ke Alibaba Cloud melalui sirkuit Express Connect. Express Connect menawarkan koneksi latensi rendah, kehilangan paket rendah, dan bandwidth tinggi, bahkan saat data ditransmisikan pada jarak jauh.
VPN Gateway: VPN Gateway menyediakan layanan koneksi jaringan yang secara aman dan andal menghubungkan pusat data, jaringan kantor, dan klien Internet ke Alibaba Cloud melalui terowongan terenkripsi dan pribadi.

Tabel di bawah ini membandingkan kedua layanan tersebut:

Item	Express Connect	VPN Gateway
Kualitas	Tinggi (melalui sirkuit Express Connect)	Rendah (melalui Internet)
Jangka waktu implementasi	Lama (2 hingga 3 bulan)	Singkat (siap pakai)
Biaya	Tinggi	Rendah
Bandwidth	Sebuah sirkuit Express Connect tunggal mendukung bandwidth maksimum 100 Gbps. Beberapa sirkuit Express Connect dapat mencapai bandwidth level Tbps.	Bandwidth dibatasi oleh batas bandwidth alamat IP publik Anda.
Skema yang cocok	Express Connect cocok untuk organisasi keuangan atau lembaga pemerintah untuk mengakses layanan cloud secara aman.	VPN Gateway ideal untuk memindahkan layanan dasar ke cloud, seperti jaringan kantor atau sistem penyimpanan data.