Gateway NAT Internet adalah layanan Translasi Alamat Jaringan (NAT) yang meningkatkan keamanan dengan menerjemahkan dan menyembunyikan alamat IP pribadi dari layanan Alibaba Cloud, mencegah alamat IP tersebut terpapar ke Internet.
Setelah membuat Gateway NAT Internet dan mengaitkan Elastic IP Address (EIP), lakukan langkah-langkah berikut:
Konfigurasikan Source Network Address Translation (SNAT) agar instance Elastic Compute Service (ECS) dapat berbagi EIP untuk akses Internet, menghemat penggunaan IP publik.
Konfigurasikan Destination Network Address Translation (DNAT) agar instance ECS dapat menyediakan layanan melalui Internet menggunakan pemetaan port atau IP.
SNAT - Akses Internet | DNAT - Sediakan layanan melalui Internet |
Gunakan SNAT untuk mengakses Internet
Mengalokasikan EIP ke setiap instance ECS untuk akses Internet bisa menjadi mahal. Dengan SNAT, Anda dapat membiarkan instance ECS yang memerlukan akses Internet berbagi EIP yang sama. Ini membantu menurunkan biaya dan meningkatkan keamanan dengan menyembunyikan alamat IP instance serta membatasi lalu lintas masuk.
Cara kerjanya
Contoh berikut menunjukkan bagaimana instance ECS dengan alamat IP privat 192.168.1.100 mengakses Internet.
Penerusan Rute: Paket data dikirim ke Gateway NAT Internet berdasarkan tabel rute VPC.
SNAT: Setelah menerima paket, gateway NAT mengubah alamat IP sumber 192.168.1.100 menjadi EIP terkait sesuai aturan SNAT. Sistem mencatat lima-tupel asli (protokol, IP sumber, port sumber, IP tujuan, port tujuan) dan lima-tupel yang diterjemahkan (protokol, EIP, port sumber eksternal, IP tujuan, port tujuan) untuk keperluan pelacakan.
Akses Internet: Paket data dengan IP yang telah diterjemahkan dikirim ke Internet, dengan EIP ditampilkan sebagai sumber alih-alih IP internal instance ECS.
Ketika server target di Internet mengembalikan paket respons, gateway NAT menggunakan tabel pemetaan sesi untuk mengembalikan IP privat asli dan meneruskan kembali paket ke instance ECS.
Prioritas aturan SNAT
Apakah SNAT berlaku atau tidak bergantung pada aturan berikut:
Pastikan bahwa lalu lintas keluar dari VPC ke Internet dirutekan dengan benar ke gateway NAT. Entri rute ke blok CIDR tujuan harus menunjuk ke Gateway NAT Internet.
Otomatis: Jika tidak ada rute
0.0.0.0/0dalam tabel rute VPC, sistem secara otomatis menambahkan rute ini ketika Anda membuat Gateway NAT Internet pertama.Manual: Jika Anda menggunakan tabel rute kustom, atau sudah memiliki rute
0.0.0.0/0dalam tabel rute sistem, tambahkan atau modifikasi entri rute kustom secara manual. Ikuti prinsip hak istimewa minimal dan atur blok CIDR tujuan ke blok CIDR publik spesifik yang perlu Anda akses.Prioritas Rute: Jika ada entri rute yang tumpang tindih, lalu lintas diteruskan berdasarkan pencocokan awalan terpanjang.
Prioritas IP Keluar: IP publik statis atau EIP yang terkait dengan instans > Pemetaan IP DNAT (Semua port) > EIP dalam entri SNAT. Lihat IP Keluar Terpusat untuk mengubah arsitektur jaringan Anda.
Prioritas SNAT: Jika blok CIDR sumber tumpang tindih, masker terpanjang akan diprioritaskan. Sebagai contoh, SNAT dari sebuah instance ECS memiliki blok CIDR sumber dengan
/32mask. Ini adalah masker terpanjang dan memiliki prioritas tertinggi.
1. Buat Gateway NAT Internet dan sambungkan EIP
Gateway NAT Internet harus memiliki EIP yang terkait agar dapat berfungsi. Anda dapat mengaitkan hingga 20 EIP dengan Gateway NAT Internet. Untuk meningkatkan kuota ini, kunjungi halaman Pusat Kuota.
Mulai 19 September 2022, mengikat EIP dengan Gateway NAT Internet yang baru dibuat akan menggunakan satu IP pribadi dari vSwitch gateway. Hal ini tidak mempengaruhi gateway NAT yang sudah ada. Pastikan bahwa vSwitch memiliki cukup IP pribadi yang tersedia.
Konsol
Buka halaman pembelian Gateway NAT - Gateway NAT Internet.
Billing Method: Bayar sesuai pemakaian.
Region: Pilih wilayah tempat Anda ingin membuat Gateway NAT Internet.
Network and Zone: Pilih VPC dan vSwitch untuk Gateway NAT Internet. Pengaturan ini tidak dapat diubah setelah gateway dibuat.
EIP: Pilih opsi berdasarkan apakah Anda sudah membuat EIP atau belum.
Select EIP: Pilih EIP yang tidak terkait dengan instans.
Purchase EIP: Pilih opsi ini jika Anda tidak memiliki EIP yang tersedia. Secara default, EIP BGP (Multi-ISP) bayar-per-lalu-lintas akan dibuat. Atur Maximum Bandwidth sesuai kebutuhan.
Untuk mengaitkan EIP BGP (Multi-ISP) Pro atau EIP dengan metode penagihan berbeda, ajukan permohonan EIP, dan pilih Select EIP selama pembuatan.
Configure Later: Gateway NAT tidak akan memiliki akses Internet. Kaitkan EIP secara manual nanti.
Setelah pembuatan, temukan kolom EIP untuk Gateway NAT Internet target dan klik Associate Now. Anda dapat memilih EIP yang ada, atau membeli dan mengikat yang baru.
API
Panggil CreateNatGateway untuk membuat Gateway NAT Internet.
Panggil ModifyNatGatewayAttribute untuk memodifikasi konfigurasi Gateway NAT Internet.
Panggil AssociateEipAddress untuk mengaitkan EIP.
2. Konfigurasikan entri SNAT
Konsol
Buka halaman Gateway NAT. Klik Configure SNAT di kolom Actions dari instans target, dan klik Create SNAT Entry.
SNAT Entry: Ruang lingkup aturan SNAT. Pilih salah satu ruang lingkup berikut:
Specify VPC: Berikan akses Internet ke semua instance ECS di seluruh VPC melalui aturan SNAT.
Tepat untuk: Pengaturan sederhana di mana kontrol luas sudah cukup.
Catatan: Opsi paling umum.
Specify vSwitch: Berikan akses Internet hanya ke instance ECS dalam vSwitch yang dipilih.
Tepat untuk: Lingkungan di mana vSwitch digunakan untuk memisahkan layanan demi kontrol akses yang lebih ketat.
Catatan: Jika Anda memilih beberapa vSwitch, entri SNAT terpisah dibuat untuk masing-masingnya, semuanya menggunakan EIP yang sama.
Specify ECS Instance/ENI: Berikan akses Internet hanya ke instance ECS atau Antarmuka Jaringan Elastis (ENI) yang dipilih.
Tepat untuk: Skenario yang memerlukan kontrol akses presisi.
Catatan: Konfigurasi mungkin memakan waktu untuk beberapa instans.
Specify Custom CIDR Block: Berikan akses Internet ke blok CIDR tertentu.
Tepat untuk: Desain jaringan kompleks.
Select EIP: Di daftar drop-down, pilih EIP.
Pilih EIP: Jika tidak ada EIP yang tersedia, klik Purchase and Associate EIP di daftar drop-down dan ikuti petunjuk untuk membeli dan mengikat EIP baru.
Pilih beberapa EIP: Pilih beberapa EIP untuk aturan SNAT. Lalu lintas koneksi didistribusikan di antara EIP yang dipilih menggunakan algoritma hash. Karena pola lalu lintas bervariasi, lalu lintas aktual mungkin tidak tersebar merata di seluruh EIP. Untuk menghindari gangguan ketika satu EIP mencapai batas bandwidth-nya, kami sarankan menambahkan semua EIP yang dipilih ke instans Bandwidth Internet Bersama.
EIP Affinity:
Nonaktif: Saat Anda memilih beberapa EIP, alamat IP privat yang mengakses alamat IP tujuan mungkin menggunakan EIP yang berbeda.
Aktif: EIP yang sama selalu digunakan untuk koneksi itu. Jika terlalu banyak koneksi bersamaan dilakukan ke tujuan tunggal, kehabisan port dapat terjadi dan alokasi mungkin gagal. Anda harus memantau alokasi port gagal.
Setelah entri dibuat, klik Edit di kolom Actions untuk memodifikasi pengaturan EIP dan afiliasi EIP.
API
Panggil CreateSnatEntry untuk membuat entri SNAT.
Panggil ModifySnatEntry untuk memodifikasi entri SNAT yang ditentukan.
3. Konfigurasikan rute
Konfigurasikan rute untuk memastikan bahwa lalu lintas dari instance ECS ke Internet dirutekan dengan benar ke gateway NAT.
Konsol
Buka halaman Konsol VPC - Tabel Rute. Di bilah navigasi atas, pilih wilayah tempat Gateway NAT Internet ditempatkan. Temukan tabel rute yang terkait dengan vSwitch tempat instance ECS berada. Klik ID-nya untuk membuka halaman detail. Pilih konfigurasi manual atau otomatis:
Jika Anda membuat Gateway NAT Internet pertama di VPC ini dan vSwitch untuk instance ECS Anda terhubung ke tabel rute sistem, sistem akan secara otomatis menambahkan entri rute dengan tujuan
0.0.0.0/0dan gateway NAT sebagai hop berikutnya. Tidak diperlukan operasi manual dalam kasus ini.Jika rute
0.0.0.0/0sudah ada di VPC, atau jika vSwitch terkait dengan tabel rute kustom, tambahkan rute secara manual ke tabel rute. Atur blok CIDR tujuan ke blok CIDR publik spesifik yang perlu Anda akses, dan atur gateway NAT sebagai hop berikutnya.
API
Panggil CreateRouteEntry untuk menambahkan entri rute tunggal
Panggil ModifyRouteEntry untuk memodifikasi hop berikutnya dari entri rute.
Verifikasi konektivitas jaringan
Masuk ke instance ECS dan jalankan perintah berikut.
# Pastikan grup keamanan instance ECS mengizinkan lalu lintas keluar ke internet.
# Uji konektivitas ke Internet.
ping www.aliyun.com
# Lihat alamat IP publik keluar saat ini. Harusnya EIP yang terkait dengan gateway NAT.
curl ifconfig.meGunakan DNAT untuk menyediakan layanan melalui internet
Jika instance ECS perlu menyediakan layanan web ke Internet, menetapkan EIP mengekspos semua port-nya dan meningkatkan risiko keamanan. Sebaliknya, gunakan fitur DNAT dari Gateway NAT Internet untuk meneruskan hanya port tertentu atau semua lalu lintas dari EIP gateway NAT ke instance ECS. Alamat IP privat tetap tersembunyi. Sebelum memulai, pastikan bahwa instance ECS tidak memiliki EIP yang terkait.
Cara kerjanya
Contoh berikut menunjukkan bagaimana instance ECS dengan alamat IP privat 192.168.1.100 menyediakan layanan ke Internet.
Permintaan Pengguna: Pengguna di Internet mengirim permintaan ke EIP yang terkait dengan Gateway NAT Internet.
Terjemahan DNAT: Gateway NAT Internet menerima paket dan, menggunakan aturan DNAT, menerjemahkan EIP tujuan menjadi IP privat instance ECS. Ini juga mencatat pemetaan alamat.
Penerusan Paket: Paket yang telah diterjemahkan diteruskan ke instance ECS.
Respons: Ketika instance ECS mengirim respons, paket dirutekan kembali ke Gateway NAT Internet. Gateway menerjemahkan IP sumber dari IP privat kembali ke EIP menggunakan tabel pemetaan sesinya, lalu mengirim paket ke pengguna di Internet.
Konfigurasikan entri DNAT
Bagian ini hanya menjelaskan cara mengonfigurasi entri DNAT. Untuk detail tentang cara membuat gateway NAT, mengaitkan EIP, dan mengonfigurasi rute, lihat Aktifkan Server untuk Mengakses Internet.
Konsol
Buka halaman Gateway NAT Internet. Di bilah menu atas, pilih wilayah Gateway NAT Internet.
Klik Configure DNAT di kolom Actions dari Gateway NAT Internet, dan klik Create DNAT Entry.
Select EIP: Pilih EIP yang akan diakses oleh pengguna Internet. Anda dapat menggunakan EIP yang sama untuk entri DNAT dan SNAT.
Select Private IP Address: Pilih IP privat server backend yang menyediakan layanan. Anda dapat memilih instance ECS atau ENI, atau memasukkan IP secara manual.
Port Settings: Konfigurasikan pemetaan DNAT.
Any Port: Pemetaan IP. Semua permintaan ke EIP ini diteruskan ke instance ECS tujuan, menggunakan semua port.
Instance ECS dapat menggunakan EIP ini untuk mengakses Internet. EIP ini tidak dapat digunakan untuk entri DNAT atau SNAT lainnya secara bersamaan.
Jika pemetaan IP DNAT dan entri SNAT dikonfigurasikan untuk Gateway NAT Internet, lalu lintas dari instance ECS menggunakan EIP yang ditetapkan ke pemetaan IP DNAT terlebih dahulu.
Specific Port: Pemetaan port. Hanya permintaan ke EIP pada port (atau rentang port) dan protokol yang diteruskan ke port yang dikonfigurasi pada instance ECS. Konfigurasikan Public Port (eksternal) dan Private Port (internal), serta Protocol Type.
Port harus berada dalam rentang 1 hingga 65535. Untuk rentang port, gunakan garis miring (/), misalnya
10/20. Pengaturan port publik dan privat harus konsisten. Keduanya harus port tunggal atau rentang port dengan panjang yang sama. Misalnya, atur Public Port ke 10/20 dan Private Port ke 80/90.Jika EIP yang dipilih sudah digunakan dalam entri SNAT dan Anda perlu menetapkan port publik lebih besar dari
1024, Anda harus klik Remove Port Limits. Ini karena rentang port SNAT default adalah 1025 hingga 65535.
PentingPenggantian port dapat menyebabkan gangguan sementara pada sesi SNAT aktif. Koneksi akan pulih setelah dibuat ulang. Lanjutkan dengan hati-hati.
Setelah entri dibuat, Anda dapat klik Edit di kolom Actions untuk entri untuk memodifikasi EIP, IP privat, dan pengaturan port.
API
Panggil CreateForwardEntry untuk membuat entri DNAT.
Panggil ModifyForwardEntry untuk memodifikasi entri DNAT yang ditentukan.
Hapus sumber daya
Anda akan dikenakan biaya untuk Gateway NAT Internet mulai dari saat dibuat hingga dilepaskan, termasuk biaya instans dan unit kapasitas (CU) untuk lalu lintas yang diproses. Untuk menghindari biaya yang tidak diinginkan, hapus sumber daya ketika tidak lagi diperlukan. Ikuti langkah-langkah berikut:
Konsol
Hapus Entri: Di tab SNAT dan DNAT pada halaman detail instans, hapus entri tersebut.
Lepas dan Lepaskan EIP: Di tab Associated EIP, lepaskan EIP. Anda masih akan dikenakan biaya untuk EIP yang hanya dilepas tetapi tidak dilepaskan sepenuhnya. Untuk menghentikan penagihan, Anda harus melepaskan EIP di konsol EIP.
Jika entri belum dihapus, Anda dapat memilih Force Unbind NAT.
Untuk menghapus Gateway NAT Internet, klik
> Delete di kolom Actions dari instans.Jika Anda belum melepas EIP atau menghapus entri rute, pilih Force Delete (Delete the NAT gateway and associated SNAT/DNAT entries). Sistem kemudian akan menghapus instans dan sumber daya terkaitnya.
Anda dapat mengaktifkan perlindungan pelepasan untuk mencegah penghapusan tidak disengaja. Sebelum penghapusan, Anda harus menonaktifkan perlindungan pelepasan.
API
Panggil DeleteSnatEntry dan DeleteForwardEntry untuk menghapus entri SNAT dan entri DNAT, masing-masing.
Panggil UnassociateEipAddress untuk melepas EIP.
Panggil DeleteNatGateway untuk menghapus Gateway NAT Internet.
Mulai beroperasi
Praktik terbaik
Perencanaan Jaringan: Buat vSwitch khusus untuk Gateway NAT Internet dan cadangkan cukup IP privat. Ini mencegah kehabisan IP saat mengaitkan beberapa EIP dengan gateway.
Kontrol Granular: Konfigurasikan entri SNAT pada tingkat vSwitch atau instance ECS. Ikuti prinsip hak istimewa minimal dengan memberikan akses Internet hanya ke sumber daya yang memerlukannya.
Strategi pemulihan bencana
Ketersediaan Tinggi dan Pemulihan Bencana: Gateway NAT Internet mendukung pemulihan bencana lintas zona utama dan cadangan, dengan cadangan dipilih oleh Alibaba Cloud. Failover antar zona dapat mengganggu layanan hingga 10 menit. Untuk aplikasi kritis, sebarkan gateway NAT di zona berbeda dan implementasikan pengalihan lalu lintas serta failover di lapisan aplikasi.
Redundansi EIP: Kaitkan beberapa EIP dengan entri SNAT Anda. Jika satu EIP menjadi tidak tersedia karena serangan atau kegagalan, lalu lintas keluar akan secara otomatis beralih ke EIP lain yang tersedia.
Pencegahan risiko
Grup Keamanan: Gateway NAT Internet melakukan translasi alamat, namun keamanan backend ECS tetap bergantung pada grup keamanan dan ACL jaringan yang dikonfigurasi dengan benar. Terapkan aturan masuk yang ketat dan hanya buka port yang diperlukan untuk meminimalkan paparan.
Pemantauan dan Peringatan: Atur peringatan untuk metrik kunci gateway NAT, seperti koneksi bersamaan dan bandwidth masuk/keluar. Pantau metrik ini untuk memastikan penskalaan sumber daya tepat waktu sebelum mencapai batas kapasitas.
Batas Koneksi: Jika layanan Anda memerlukan banyak koneksi ke layanan publik tunggal, seperti gateway pembayaran, koneksi keluar per entri SNAT dibatasi hingga N × 55.000. N adalah jumlah EIP yang dikonfigurasikan. Rencanakan cukup EIP dan pantau metrik ErrorPortAllocationCount.
ICMP Echo Reply: Fitur ini diaktifkan secara default, memungkinkan gateway NAT merespons perintah ping. Ini hanya mengonfirmasi kesehatan gateway NAT, bukan status server backend. Jika Anda memerlukan pemantauan backend, nonaktifkan ICMP echo reply di halaman detail.
Permintaan ICMP ping hanya diteruskan ke server backend ketika DNAT dikonfigurasikan untuk Any Port.
Untuk pemetaan Specific Port, probe ping akan gagal. Gunakan
telnet <EIP> <Port Publik>untuk memeriksa port layanan yang dipetakan.
Tanya Jawab Umum
Mengapa saya tidak bisa mengakses Internet setelah mengonfigurasi SNAT?
Ikuti langkah-langkah berikut untuk memecahkan masalah:
Konfigurasi Rute: Di halaman detail Gateway NAT Internet, lihat VPC routes that point to the NAT gateway dan konfirmasikan bahwa ada entri rute yang menunjuk ke Gateway NAT Internet.
Konfigurasi Entri SNAT: Di tab SNAT dari Gateway NAT Internet, konfirmasikan bahwa status entri SNAT adalah Active. Alamat sumber yang digunakan untuk mengakses internet berada dalam Source CIDR Block yang ditentukan.
Kontrol Akses: Periksa apakah titik akhir publik yang Anda coba akses memiliki kebijakan kontrol akses yang dikonfigurasikan, atau jika EIP terkait telah ditambahkan ke daftar putih.
Periksa apakah gateway IPv4 dikonfigurasikan: Saat digunakan dengan gateway IPv4, pastikan bahwa gateway NAT berada dalam mode NAT dan rute dikonfigurasikan dengan benar.
Mengapa akses Internet mengalami timeout atau lambat?
Ini biasanya disebabkan oleh alasan berikut:
Bandwidth Tidak Cukup: Lihat data pemantauan untuk EIP terkait dan periksa penggunaan bandwidth. Jika penggunaan mendekati 100%, tingkatkan bandwidth atau tambahkan lebih banyak EIP dan kaitkan mereka dengan instans Bandwidth Internet Bersama.
Batas Koneksi Terlampaui: Ketika koneksi bersamaan ke satu tujuan melebihi batas, sistem memutus koneksi karena alokasi port gagal. Lihat metrik ErrorPortAllocationCount. Jika nilai ini meningkat, tambahkan lebih banyak EIP ke SNAT.
Ketika koneksi bersamaan ke satu tujuan melebihi batas, sistem memutus koneksi karena alokasi port gagal. Pantau metrik ErrorPortAllocationCount—jika meningkat, tambahkan lebih banyak EIP ke konfigurasi SNAT Anda.
Informasi lebih lanjut
Penagihan
Gateway NAT Internet dikenakan biaya instans dan biaya unit kapasitas (CU). EIP terkait dikenakan biaya secara terpisah.
Kuota
Nama Kuota | Deskripsi | Batas Default | Tingkatkan Kuota |
natgw_quota_nat_num_per_vpc | Jumlah gateway NAT yang dapat dibuat dalam VPC | 5 | Pergi ke Manajemen Kuota atau Pusat Kuota untuk meminta peningkatan kuota. |
natgw_quota_nat_ip_num_per_vpc_nat | Jumlah EIP yang dapat dikaitkan dengan setiap gateway NAT | 20 | |
natgw_quota_snat_entry_num | Jumlah entri SNAT yang dapat dibuat untuk setiap gateway NAT | 40 | |
natgw_quota_dnat_entry_num | Jumlah entri DNAT yang dapat dibuat untuk setiap gateway NAT | 100 |