All Products
Search
Document Center

NAT Gateway:Akses jaringan pribadi melalui Gateway NAT dan VPN

Last Updated:Jun 22, 2026

Gunakan VPC NAT Gateway bersama VPN Gateway untuk mengaktifkan komunikasi antara Virtual Private Cloud (VPC) dan pusat data lokal melalui alamat IP pribadi tertentu.

Skenario

Topik ini menjelaskan skenario yang ditunjukkan pada gambar berikut. Sebuah perusahaan memiliki VPC bernama VPC1 di wilayah China (Qingdao) dan pusat data lokal di wilayah China (Beijing). Perusahaan tersebut memerlukan VPC1 agar dapat mengakses pusat data lokal menggunakan alamat IP pribadi tertentu, dan sebaliknya.

Perusahaan berencana menggunakan VPC NAT Gateway bersama VPN Gateway untuk memenuhi kebutuhan ini.

Anda dapat menggunakan koneksi IPsec pada VPN Gateway untuk membuat koneksi aman antara pusat data lokal dan VPC. Fitur SNAT dan DNAT dari VPC NAT Gateway memungkinkan komunikasi antara alamat IP tertentu di VPC dan pusat data lokal. Tabel berikut mencantumkan paket jaringan untuk contoh ini. Anda juga dapat merencanakan Blok CIDR sendiri, pastikan Blok CIDR tersebut tidak tumpang tindih.

Parameter

Blok alamat

CIDR block of VPC1

10.0.0.0/16

CIDR blocks of the VSwitches

  • VSW1: 10.0.0.0/24 (China (Qingdao) Zone B)

  • VSW2: 10.0.1.0/24 (China (Qingdao) Zone E)

IP address of the ECS instance

ECS1: 10.0.0.81

CIDR block of the on-premises data center

172.16.0.0/12

IP address of the on-premises server

172.16.0.124

IP address of the on-premises gateway device

211.68.XX.XX

Prasyarat

  • Anda telah membuat VPC bernama VPC1 di wilayah China (Qingdao), dengan dua vSwitch: VSW1 di Zona B dan VSW2 di Zona E. Untuk informasi selengkapnya, lihat Buat dan kelola VPC.

  • Anda telah membuat instans ECS bernama ECS1 di VSW1 dan men-deploy aplikasi di dalamnya. Untuk informasi selengkapnya, lihat Buat instans menggunakan wizard.

Langkah konfigurasi

配置流程

Langkah 1: Konfigurasikan IPsec-VPN

Gunakan IPsec-VPN untuk membuat koneksi VPN antara VPC dan IDC lokal. Untuk menggunakan IPsec-VPN, Anda harus membuat VPN Gateway, gateway pelanggan, dan koneksi IPsec. Untuk informasi selengkapnya, lihat Panduan cepat untuk gateway VPN tradisional.

  1. Masuk ke Konsol VPN Gateway.

  2. Buat VPN Gateway.

    1. Pada halaman VPN Gateways, klik Create VPN Gateway.

    2. Pada halaman pembelian, atur parameter berikut, klik Buy Now, lalu selesaikan pembayaran.

      Parameter

      Deskripsi

      Instance Name

      Masukkan nama untuk instans VPN Gateway.

      Region

      Pilih wilayah untuk instans VPN Gateway. Pada contoh ini, pilih China (Qingdao).

      Gateway type

      Pertahankan nilai default Standard.

      VPC

      Pilih VPC yang akan dihubungkan. Pada contoh ini, pilih VPC1.

      VSwitch

      Pilih VSwitch dari VPC. Pada contoh ini, pilih VSW1.

      VSwitch 2

      Pilih VSwitch dari VPC. Pada contoh ini, pilih VSW2.

      Peak bandwidth

      Pilih bandwidth puncak untuk VPN Gateway. Satuannya adalah Mbps.

      Pada contoh ini, pilih 5 Mbps.

      Traffic

      Secara default, gateway VPN ditagih berdasarkan transfer data. Untuk informasi selengkapnya, lihat Penagihan.

      IPsec-VPN

      Pilih apakah akan mengaktifkan IPsec-VPN. Pada contoh ini, pilih Enable.

      SSL-VPN

      Pilih apakah akan mengaktifkan SSL-VPN. Pada contoh ini, pilih Disable.

      Duration

      Secara default, VPN Gateway ditagih per jam.

    3. Kembali ke halaman VPN Gateways untuk melihat instans VPN Gateway yang telah Anda buat.

      Instans baru awalnya berada dalam status Preparing. Setelah 1 hingga 5 menit, statusnya berubah menjadi Normal. Status Active berarti instans telah diinisialisasi dan siap digunakan.

  3. Buat gateway pelanggan.

    1. Di panel navigasi kiri, pilih Interconnections > VPN > Customer Gateways.

    2. Di bilah navigasi atas, pilih wilayah untuk gateway pelanggan. Pada contoh ini, pilih China (Qingdao).

    3. Pada halaman Customer Gateway, klik Create Customer Gateway.

    4. Di panel Create Customer Gateway, atur parameter berikut lalu klik OK.

      Parameter

      Deskripsi

      Name

      Masukkan nama untuk gateway pelanggan.

      IP Address

      Masukkan alamat IP publik perangkat gateway di IDC lokal Anda. Pada contoh ini, masukkan 211.68.XX.XX.

      ASN

      Masukkan Autonomous System Number (ASN) perangkat gateway lokal Anda.

      Description

      Masukkan deskripsi untuk gateway pelanggan.

      Untuk informasi selengkapnya tentang parameter tersebut, lihat gateway pelanggan.

  4. Buat koneksi IPsec.

    1. Di panel navigasi kiri, buka Interconnections > VPN > IPsec Connections.

    2. Di bilah navigasi atas, pilih wilayah untuk koneksi IPsec. Pada contoh ini, pilih China (Qingdao).

    3. Pada halaman IPsec-VPN connection, klik Create IPsec-VPN Connection.

    4. Pada halaman Create IPsec-VPN Connection, konfigurasikan parameter berikut lalu klik OK.

      Parameter

      Deskripsi

      Name

      Masukkan nama untuk koneksi IPsec.

      Associate Resource

      Pilih VPN Gateways.

      VPN Gateways

      Pilih VPN Gateway yang telah Anda buat.

      Routing Mode

      Pilih mode routing. Pada contoh ini, pilih Destination Routing Mode.

      Effective Immediately

      Menentukan kapan koneksi dibuat.

      • Yes. Start negotiations after the configuration is completed.

      • No. Start negotiations when inbound traffic is detected.

      Pada contoh ini, pengaturan default digunakan.

      Tunnel 1 > Customer Gateways

      Pilih gateway pelanggan yang akan dikaitkan.

      Tunnel 2 > Customer Gateways

      Pilih gateway pelanggan yang akan dikaitkan.

      Pre-Shared Key

      Masukkan kunci pra-bersama. Kunci ini harus sesuai dengan kunci pra-bersama yang dikonfigurasi pada perangkat gateway lokal Anda. Jika Anda mengosongkannya, sistem akan menghasilkan string acak sepanjang 16 karakter.

Langkah 2: Terapkan konfigurasi VPN ke gateway lokal

Setelah Anda mengonfigurasi VPN Gateway, Anda juga harus menerapkan konfigurasi VPN ke perangkat gateway lokal Anda.

  1. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

  2. Pada halaman IPsec Connections, temukan koneksi IPsec target lalu klik Generate Peer Configuration di kolom Actions.

  3. Terapkan konfigurasi yang diunduh ke perangkat gateway lokal Anda. Untuk informasi selengkapnya, lihat Konfigurasikan gateway lokal.

Langkah 3: Buat gateway NAT VPC

  1. Masuk ke Konsol NAT Gateway.

  2. Di panel navigasi kiri, pilih NAT Gateway > VPC NAT Gateway.

  3. Pada halaman VPC NAT Gateway, klik Create VPC NAT Gateway.

  4. Pada halaman NAT Gateway, konfigurasikan parameter berikut lalu klik Buy Now.

    Parameter

    Deskripsi

    Region

    Pilih wilayah tempat Anda ingin membuat instans gateway NAT VPC. Contoh ini menggunakan China (Qingdao).

    VPC

    Pilih VPC untuk instans gateway NAT VPC. Anda tidak dapat mengubah VPC setelah instans dibuat. Contoh ini menggunakan VPC1.

    Zone

    Pilih zona ketersediaan untuk instans gateway NAT VPC. Pada contoh ini, pilih zona ketersediaan yang berisi VSW2.

    vSwitch

    Pilih vSwitch untuk instans gateway NAT VPC. Kami menyarankan Anda memilih vSwitch khusus. Contoh ini menggunakan VSW2.

    Instance Name

    Masukkan nama untuk instans gateway NAT VPC.

    Service-linked Role

    Jika ini pertama kalinya Anda menggunakan gateway NAT (termasuk gateway NAT Internet dan gateway NAT VPC), Anda harus mengklik Create Service-Linked Role untuk membuat role tersebut.

  5. Kembali ke halaman VPC NAT Gateway untuk melihat instans baru.

    1. Klik ID instans gateway NAT VPC. Di tab Basic Information, lihat informasi seperti VPC dan vSwitch-nya.

    2. Klik tab NAT IP untuk melihat rentang alamat IP NAT default dan alamat IP NAT default.

    Catatan

    Rentang alamat IP NAT default adalah blok CIDR dari vSwitch gateway NAT VPC. Alamat IP NAT default adalah alamat IP acak dari blok CIDR vSwitch. Anda tidak dapat menghapus rentang alamat IP NAT default atau alamat IP NAT default.

Langkah 4: Tambahkan entri rute

Tambahkan entri rute ke tabel rute sistem VPC1 yang mengarah ke gateway NAT VPC.

  1. Masuk ke Konsol VPC.

  2. Pada halaman VPC, klik ID VPC1.

  3. Di halaman detail VPC, klik tab Resource Management lalu klik tautan di bawah Route Tables.

  4. Pada halaman Route Tables, temukan tabel rute dengan Route Table Type bernilai System lalu klik ID-nya.

  5. Di halaman detail tabel rute, pilih Route Entry List > Custom Route, lalu klik Add Route Entry.

  6. Di panel Add Route Entry, atur parameter berikut lalu klik OK.

    Parameter

    Deskripsi

    Name

    Masukkan nama untuk entri rute. Pada contoh ini, masukkan VPCENTRY.

    Destination CIDR Block

    Masukkan blok CIDR tujuan. Pada contoh ini, gunakan alamat IP server IDC lokal, 172.16.0.124/32.

    Next Hop Type

    Pilih NAT Gateway.

    NAT Gateway

    Pilih gateway NAT VPC yang dibuat di Langkah 3: Buat gateway NAT VPC.

Langkah 5: Buat tabel rute kustom dan entri rute

Buat tabel rute kustom untuk VSwitch VSW2 dan tambahkan entri rute yang mengarah ke VPN Gateway.

Untuk informasi tentang wilayah yang mendukung tabel rute kustom, lihat Tabel rute.

  1. Masuk ke Konsol VPC.

  2. Di panel navigasi kiri, klik Route Tables.

  3. Di bilah navigasi atas, pilih wilayah tempat tabel rute berada.

  4. Pada halaman Route Tables, klik Create Route Table.

  5. Pada halaman Create Route Table, konfigurasikan parameter berikut lalu klik OK.

    Parameter

    Deskripsi

    Resource Group

    Pilih kelompok sumber daya untuk tabel rute. Pada contoh ini, dipilih All.

    VPC

    Pilih VPC untuk tabel rute. Pada contoh ini, dipilih VPC1.

    Name

    Masukkan nama untuk tabel rute. Pada contoh ini, masukkan VPNVTB.

    Description

    Masukkan deskripsi untuk tabel rute. Pada contoh ini, masukkan Custom route table for VPN Gateway.

  6. Di tab Associated vSwitch, klik Associate vSwitch.

  7. Di kotak dialog Associate vSwitch, pilih VSwitch yang akan dikaitkan lalu klik OK.

    Contoh ini menggunakan VSwitch VSW2.

  8. Di halaman detail tabel rute, buka tab Route Entry List > Custom Route lalu klik Add Route Entry.

  9. Di panel Add Route Entry, konfigurasikan parameter berikut lalu klik OK.

    Parameter

    Deskripsi

    Name

    Masukkan nama untuk entri rute. Pada contoh ini, masukkan VPCNATENTRY.

    Destination CIDR Block

    Masukkan blok CIDR tujuan. Pada contoh ini, masukkan alamat IP server di IDC lokal, 172.16.0.124/32.

    Next Hop Type

    Pilih jenis lompatan berikutnya. Pada contoh ini, pilih VPN Gateway.

    VPN Gateway

    Pilih instans VPN Gateway. Pada contoh ini, pilih VPN Gateway yang dibuat di Langkah 1: Konfigurasikan koneksi IPsec-VPN.

Langkah 6: Buat entri SNAT dan DNAT

  1. Masuk ke Konsol NAT Gateway.

  2. Di panel navigasi kiri, pilih NAT Gateway > VPC NAT Gateway.

  3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway NAT Internet.

  4. Lakukan langkah-langkah berikut untuk membuat entri SNAT:

    1. Pada halaman VPC NAT Gateway, temukan instans VPC NAT Gateway target lalu klik SNAT di kolom Actions.

    2. Di tab SNAT, klik Create SNAT Entry.

    3. Pada halaman Create SNAT Entry, atur parameter berikut lalu klik OK.

      Parameter

      Description

      SNAT Entry

      Pilih Select vSwitch. Dari daftar Select vSwitch, pilih vSwitch tempat ECS1 berada. Contoh ini menggunakan VSW1. Bidang vSwitch CIDR Block kemudian akan menampilkan Blok CIDR dari VSW1.

      Select NAT IP Address

      Dari daftar drop-down, pilih alamat IP NAT yang akan digunakan untuk mengakses jaringan pribadi eksternal. Contoh ini menggunakan alamat IP NAT default.

      Entry Name

      Masukkan nama untuk entri SNAT.

      Nama harus terdiri dari 2 hingga 128 karakter, diawali dengan huruf atau karakter Tionghoa, serta dapat berisi angka, garis bawah (_), dan tanda hubung (-).

  5. Kembali ke halaman VPC NAT Gateway lalu lakukan langkah-langkah berikut untuk membuat entri DNAT.

    1. Pada halaman VPC NAT Gateway, temukan instans VPC NAT Gateway target lalu klik DNAT di kolom Actions.

    2. Di tab DNAT, klik Create DNAT Entry.

    3. Pada halaman Create DNAT Entry, atur parameter berikut lalu klik OK.

      Parameter

      Deskripsi

      Select NAT IP Address

      Pilih alamat IP NAT yang dapat digunakan oleh jaringan pribadi eksternal untuk mengakses sumber daya di VPC Anda. Contoh ini menggunakan alamat IP NAT default.

      Select Private IP Address

      Pilih alamat IP pribadi yang akan diakses melalui entri DNAT. Untuk contoh ini, pilih Select by ECS or ENI lalu pilih alamat IP pribadi ECS1.

      Port Settings

      Pilih metode pemetaan DNAT. Untuk contoh ini, pilih Specific Port, yang juga dikenal sebagai pemetaan port.

      Atur Frontend Port ke 22, Backend Port ke 22, dan Protocol ke TCP.

      Entry Name

      Masukkan nama untuk entri DNAT.

      Nama harus terdiri dari 2 hingga 128 karakter, dimulai dengan huruf atau karakter Tionghoa, serta dapat berisi angka, garis bawah (_), dan tanda hubung (-).

Langkah 7: Konfigurasikan rute untuk VPN Gateway

Konfigurasikan rute di VPN Gateway dan publikasikan ke tabel rute VPC untuk mengaktifkan komunikasi antara pusat data lokal Anda dan VPC.

  1. Masuk ke Konsol VPN Gateway.

  2. Di bilah navigasi atas, pilih wilayah tempat instans gateway VPN berada.

  3. Di panel navigasi kiri, pilih Interconnections > VPN > VPN Gateways.

  4. Pada halaman VPN Gateway, temukan gateway VPN yang ingin Anda kelola lalu klik ID gateway VPN tersebut.

  5. Di tab Destination-based Route Table, klik Add Route Entry.

  6. Di panel Add Route Entry, konfigurasikan parameter berikut lalu klik OK.

    Parameter

    Deskripsi

    Destination CIDR Block

    Masukkan blok CIDR pribadi pusat data lokal. Untuk contoh ini, masukkan 172.16.0.0/12.

    Next Hop Type

    Pilih IPsec Connections.

    Next Hop

    Pilih koneksi IPsec yang dibuat di Langkah 1: Konfigurasikan koneksi IPsec.

    Publish to VPC

    Menentukan apakah rute baru akan dipublikasikan ke tabel rute VPC. Pada contoh ini, pilih Yes.

    Weight

    Pilih bobot untuk rute. Pada contoh ini, pilih 100.

    • 100: Prioritas tinggi.

    • 0: Prioritas rendah.

Langkah 8: Uji konektivitas

  1. Masuk ke ECS1 di VSW1. Untuk detailnya, lihat Metode koneksi.

  2. Jalankan perintah ping <alamat IP server pusat data> untuk memverifikasi bahwa ECS1 dapat mengakses server pusat data.

    Pada contoh ini, jalankan perintah berikut.

    ping 172.16.0.124

    Hasilnya mengonfirmasi bahwa ECS1 dapat mengakses server pusat data.

    [root@iZm5ed xxx 6xsog69bpZ ~]# ping 172.16.0.124
    PING 172.16.0.124 (172.16.0.124) 56(84) bytes of data.
    64 bytes from 172.16.0.124: icmp_seq=1 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=2 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=3 ttl=62 time=15.7 ms
    64 bytes from 172.16.0.124: icmp_seq=4 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=5 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=6 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=7 ttl=62 time=15.6 ms
    ^C
    --- 172.16.0.124 ping statistics ---
    7 packets transmitted, 7 received, 0% packet loss, time 6008ms
    rtt min/avg/max/mdev = 15.578/15.605/15.665/0.136 ms
  3. Masuk ke server pusat data lalu jalankan perintah ssh root@<NAT_IP> untuk menguji apakah server pusat data dapat terhubung jarak jauh ke ECS1. Dalam perintah tersebut, ganti <NAT_IP> dengan alamat IP NAT default dari VPC NAT Gateway. Kemudian, masukkan password login untuk ECS1 saat diminta.

    Pada contoh ini, jalankan perintah berikut.

    ssh 10.0.1.43

    Hasilnya menunjukkan bahwa server pusat data dapat mengakses ECS1 dengan menggunakan fitur DNAT dari VPC NAT Gateway.

    [root@iZ2ze9r3txxxz25cs7cfZ ~]# ssh 10.0.1.43
    root@10.0.1.43's password:
    Welcome to Alibaba Cloud Elastic Compute Service !
    Updates Information Summary: available
        6 Security notice(s)
        6 Moderate Security notice(s)
    Run "dnf upgrade-minimal --security" to apply all updates.
    Last login: Tue Nov 30 17:40:43 2021 from 172.16.0.124
    [root@iZm5edtfgxxxixsog69bpZ ~]#