Topik ini menjelaskan cara menggunakan Virtual Private Cloud (VPC) NAT Gateway dan gateway VPN untuk menghubungkan pusat data dengan VPC. Anda dapat menentukan alamat IP pribadi agar pusat data dan VPC dapat berkomunikasi satu sama lain.
Contoh skenario
Gambar berikut menunjukkan skenario penggunaan. Anda memiliki VPC bernama VPC1 di China (Qingdao) dan pusat data di China (Beijing). Anda ingin VPC1 berkomunikasi dengan pusat data melalui alamat IP pribadi yang ditentukan.
Anda dapat menggunakan gateway NAT VPC dan gateway VPN untuk memenuhi kebutuhan tersebut.
Anda dapat menggunakan gateway VPN untuk membuat koneksi IPsec-VPN antara pusat data dan VPC, serta mengaktifkan pusat data untuk berkomunikasi dengan VPC melalui alamat IP pribadi yang ditentukan. Tabel berikut menjelaskan perencanaan jaringan. Anda dapat merencanakan blok CIDR sesuai kebutuhan bisnis Anda. Pastikan bahwa blok CIDR tidak tumpang tindih satu sama lain.
Parameter | Alamat IP/Blok CIDR |
VPC1 | 10.0.0.0/16 |
vSwitches |
|
Elastic Compute Service (ECS) instance | ECS1: 10.0.0.81 |
Pusat data | 172.16.0.0/12 |
Server lokal | 172.16.0.124 |
Perangkat gateway di pusat data | 211.68.XX.XX |
Prasyarat
VPC1 telah dibuat di wilayah China (Qingdao). Dua vSwitch bernama VSW1 dan VSW2 ditempatkan di VPC1. VSW1 berada di Zona B, sedangkan VSW2 berada di Zona E. Untuk informasi lebih lanjut, lihat Buat dan kelola VPC.
Sebuah instance ECS bernama ECS1 telah dibuat di VSW1 dan aplikasi telah diterapkan pada ECS1. Untuk informasi lebih lanjut, lihat Buat instance di tab Peluncuran Kustom.
Prosedur
Langkah 1: Konfigurasikan IPsec-VPN
Anda dapat membuat koneksi IPsec-VPN antara VPC dan pusat data. Untuk membuat koneksi IPsec-VPN, Anda harus terlebih dahulu membuat gateway VPN dan gateway pelanggan. Untuk informasi lebih lanjut tentang fitur IPsec-VPN, lihat Konfigurasikan koneksi IPsec-VPN yang terkait dengan gateway VPN.
Masuk ke Konsol Gateway VPN.
Lakukan operasi berikut untuk membuat gateway VPN:
Di halaman VPN Gateways, klik Create VPN Gateway.
Di halaman pembelian, atur parameter berikut, klik Buy Now, lalu selesaikan pembayaran.
Parameter
Deskripsi
Name
Masukkan nama untuk gateway VPN.
Wilayah
Pilih wilayah tempat Anda ingin menerapkan gateway VPN. Dalam contoh ini, China (Qingdao) dipilih.
Gateway Type
Standard dipilih secara default.
VPC
Pilih VPC yang ingin Anda hubungkan. Dalam contoh ini, VPC1 dipilih.
vSwitch
Pilih vSwitch dari VPC. Dalam contoh ini, VSW1 dipilih.
vSwitch 2
Pilih vSwitch lain dari VPC. Dalam contoh ini, VSW2 dipilih.
Bandwidth Maksimum
Tentukan bandwidth maksimum gateway VPN. Unit: Mbit/s.
5 Mbit/s dipilih dalam contoh ini.
Traffic
Secara default, gateway VPN menggunakan metode penagihan berbasis transfer data. Untuk informasi lebih lanjut, lihat Aturan penagihan.
IPsec-VPN
Tentukan apakah akan mengaktifkan fitur IPsec-VPN. Dalam contoh ini, Enable dipilih.
SSL-VPN
Tentukan apakah akan mengaktifkan fitur SSL-VPN. Dalam contoh ini, Disable dipilih.
Duration
Secara default, gateway VPN ditagih per jam.
Setelah membuat gateway VPN, lihat gateway VPN di halaman VPN Gateways.
Gateway VPN yang baru dibuat berada dalam status Preparing. Setelah 1 hingga 5 menit, status berubah menjadi Normal, yang menunjukkan bahwa gateway VPN telah diinisialisasi dan tersedia.
Lakukan operasi berikut untuk membuat gateway pelanggan:
Di panel navigasi sisi kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan. Dalam contoh ini, China (Qingdao) dipilih.
Di halaman Customer Gateway, klik Create Customer Gateway.
Di panel Create Customer Gateway, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Name
Masukkan nama untuk gateway pelanggan.
IP Address
Masukkan alamat IP publik perangkat gateway di pusat data yang ingin Anda hubungkan ke VPC1. Dalam contoh ini, 211.68.XX.XX digunakan.
ASN
Nomor Sistem Otonom (ASN) perangkat gateway di pusat data.
Description
Masukkan deskripsi untuk gateway pelanggan.
Untuk informasi lebih lanjut, lihat Buat dan kelola gateway pelanggan.
Lakukan operasi berikut untuk membuat koneksi IPsec-VPN:
Di panel navigasi sisi kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat koneksi IPsec-VPN. Dalam contoh ini, China (Qingdao) dipilih.
Di halaman IPsec-VPN connection, klik Create IPsec-VPN Connection.
Di halaman Create IPsec-VPN Connection, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Name
Tentukan nama untuk koneksi IPsec-VPN.
Associate Resource
Pilih VPN Gateway.
VPN Gateway
Pilih gateway VPN yang Anda buat.
Routing Mode
Mode perutean. Dalam contoh ini, Destination Routing Mode dipilih.
Effective Immediately
Tentukan apakah akan segera memulai negosiasi untuk koneksi. Nilai valid:
Yes: segera memulai negosiasi IPsec-VPN setelah koneksi IPsec-VPN dibuat.
No: memulai negosiasi IPsec-VPN ketika trafik masuk terdeteksi.
Ya dipilih secara default.
Tunnel1>Customer gateway
Pilih gateway pelanggan yang akan dikaitkan dengan koneksi IPsec-VPN.
Tunnel2 > Customer gateway
Pilih gateway pelanggan yang akan dikaitkan dengan koneksi IPsec-VPN.
Pre-Shared Key
Masukkan kunci pra-berbagi. Kunci pra-berbagi harus sama dengan kunci pra-berbagi perangkat gateway di pusat data. Jika Anda tidak memasukkan nilai, sistem secara default menghasilkan string acak 16-bit.
Langkah 2: Muat konfigurasi gateway VPN ke perangkat gateway di pusat data
Untuk membuat koneksi IPsec-VPN antara VPC dan pusat data, Anda harus memuat konfigurasi gateway VPN ke perangkat gateway di pusat data.
Di panel navigasi sisi kiri, pilih .
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik Generate Peer Configuration di kolom Actions.
Muat konfigurasi koneksi IPsec-VPN ke perangkat gateway di pusat data. Untuk informasi lebih lanjut, lihat Konfigurasikan gateway lokal.
Langkah 3: Buat gateway NAT VPC
Masuk ke Konsol Gateway NAT.
Di panel navigasi sisi kiri, pilih .
Di halaman VPC NAT Gateway, klik Create VPC NAT Gateway.
Di halaman VPC NAT Gateway (Pay-As-You-Go), atur parameter berikut dan klik Buy Now.
Parameter
Deskripsi
Region
Pilih wilayah tempat Anda ingin membuat gateway NAT VPC. Dalam contoh ini, China (Qingdao) dipilih.
VPC ID
Pilih VPC tempat gateway NAT VPC berada. Setelah Anda membuat gateway NAT VPC, Anda tidak dapat mengubah VPC tempat gateway NAT VPC berada. Dalam contoh ini, VPC1 dipilih.
Zones
Pilih zona tempat gateway NAT VPC berada. Dalam contoh ini, zona VSW2 dipilih.
vSwitch ID
Pilih vSwitch tempat gateway NAT VPC berada. Kami menyarankan Anda memilih vSwitch yang independen. Dalam contoh ini, VSW2 dipilih.
Name
Masukkan nama untuk gateway NAT VPC.
Service-linked Role
Menampilkan apakah peran terkait layanan dibuat untuk gateway NAT VPC.
Jika ini adalah pertama kalinya Anda menggunakan gateway NAT, termasuk gateway NAT Internet dan gateway NAT VPC, Anda harus mengklik Create Service-linked Role untuk membuat peran terkait layanan.
Kembali ke halaman VPC NAT Gateway untuk melihat gateway NAT VPC yang telah dibuat.
Klik ID gateway NAT VPC. Di tab Basic Information, lihat VPC dan vSwitch dari gateway NAT VPC.
Klik tab NAT IP Address untuk melihat alamat IP NAT default dan blok CIDR NAT default.
CatatanBlok CIDR NAT default adalah blok CIDR dari vSwitch tempat gateway NAT VPC dilampirkan. Alamat IP NAT default adalah alamat IP yang dialokasikan secara acak dari blok CIDR vSwitch. Anda tidak dapat menghapus blok CIDR NAT default atau alamat IP NAT default.
Langkah 4: Tambahkan entri rute ke tabel rute sistem VPC1.
Tambahkan rute ke tabel rute sistem VPC1. Rute tersebut harus mengarah ke gateway NAT VPC.
Masuk ke Konsol VPC.
Di halaman VPC, temukan VPC1 dan klik ID-nya.
Di halaman detail, klik tab Resource Management dan klik nomor di bawah Route Table.
Di halaman Route Tables, temukan tabel rute dengan Route Table Type adalah System dan klik ID-nya.
Di halaman detail tabel rute, pilih dan klik Add Route Entry.
Di panel Add Route Entry, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Name
Masukkan nama untuk rute. Dalam contoh ini, VPCENTRY digunakan.
Destination CIDR Block
Masukkan blok CIDR tujuan. Dalam contoh ini, 172.16.0.124/32 digunakan, yang merupakan alamat IP server di pusat data.
Next Hop Type
Pilih tipe hop berikutnya. Dalam contoh ini, NAT Gateway dipilih.
NAT Gateway
Pilih gateway NAT. Dalam contoh ini, gateway NAT VPC yang dibuat di Langkah 3: Buat gateway NAT VPC dipilih.
Langkah 5: Buat tabel rute kustom dan tambahkan rute
Buat tabel rute kustom untuk VSW2 dan tambahkan rute yang mengarah ke gateway VPN ke tabel rute kustom.
Untuk informasi lebih lanjut tentang wilayah yang mendukung tabel rute kustom, lihat Tabel Rute.
Masuk ke Konsol VPC.
Di panel navigasi sisi kiri, klik Route Tables.
Di bilah navigasi atas, pilih wilayah tempat tabel rute berada.
Di halaman Route Tables, klik Create Route Table.
Di halaman Create Route Table, atur parameter berikut dan klik OK.
Parameter
Deskripsi
Resource Group
Pilih grup sumber daya tempat tabel rute berada. Dalam contoh ini, All dipilih.
VPC
Pilih VPC tempat tabel rute berada. Dalam contoh ini, VPC1 dipilih.
Name
Masukkan nama untuk tabel rute. Dalam contoh ini, VPNVTB digunakan.
Description
Masukkan deskripsi untuk tabel rute. Dalam contoh ini, Kustom digunakan.
Klik tab Associated vSwitch dan klik Associate vSwitch.
Di kotak dialog Associate vSwitch, pilih vSwitch dan klik OK.
Dalam contoh ini, VSW2 dipilih.
Di halaman detail tabel rute, pilih dan klik Add Route Entry.
Di panel Add Route Entry, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Name
Masukkan nama untuk rute. Dalam contoh ini, VPCNATENTRY digunakan.
Destination CIDR Block
Masukkan blok CIDR tujuan. Dalam contoh ini, 172.16.0.124/32 digunakan, yang merupakan alamat IP server di pusat data.
Next Hop Type
Pilih tipe hop berikutnya. Dalam contoh ini, VPN Gateway dipilih.
VPN Gateway
Pilih gateway VPN. Dalam contoh ini, gateway VPN yang dibuat di Langkah 1: Konfigurasikan IPsec-VPN dipilih.
Langkah 6: Buat entri SNAT dan entri DNAT menggunakan alamat IP NAT default
Masuk ke Konsol Gateway NAT.
Di panel navigasi sisi kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway NAT Internet.
Lakukan operasi berikut untuk membuat entri SNAT:
Di halaman VPC NAT Gateway, temukan gateway NAT VPC yang ingin Anda kelola dan klik SNAT Management di kolom Actions.
Di tab SNAT Management, klik Create SNAT Entry.
Di halaman Create SNAT Entry, atur parameter berikut dan klik OK.
Parameter
Deskripsi
SNAT Entry
Tentukan apakah Anda ingin membuat entri SNAT untuk VPC, vSwitch, instance ECS, atau blok CIDR kustom. Dalam contoh ini, Specify vSwitch dipilih. Lalu, pilih vSwitch tempat ECS1 berada dari daftar drop-down Select vSwitch. Dalam contoh ini, VSW1 dipilih. Bagian vSwitch CIDR Block menampilkan blok CIDR VSW1.
Select NAT IP Address
Pilih alamat IP yang digunakan untuk mengakses jaringan pribadi eksternal. Alamat IP NAT default dipilih dalam contoh ini.
Entry Name
Nama entri SNAT.
Nama harus memiliki panjang 2 hingga 128 karakter, dan dapat berisi angka, garis bawah (_), dan tanda hubung (-). Nama harus dimulai dengan huruf.
Kembali ke halaman VPC NAT Gateway dan lakukan operasi berikut untuk membuat entri DNAT:
Di halaman VPC NAT Gateway, temukan gateway NAT VPC yang ingin Anda kelola dan klik DNAT Management di kolom Actions.
Di tab DNAT Management, klik Create DNAT Entry.
Di halaman Create DNAT Entry, atur parameter berikut dan klik OK.
Parameter
Deskripsi
Select NAT IP Address
Pilih alamat IP NAT yang digunakan untuk menerima permintaan dari jaringan pribadi eksternal. Alamat IP NAT default dipilih dalam contoh ini.
Select Private IP Address
Tentukan alamat IP pribadi yang digunakan untuk berkomunikasi dengan jaringan eksternal. Dalam contoh ini, Select by ECS or ENI dipilih dan alamat IP pribadi ECS1 dipilih.
Port Settings
Pilih metode pemetaan DNAT. Dalam contoh ini, Specific Port dipilih, yang menentukan metode pemetaan port.
Tentukan 22 untuk Frontend Port, 22 untuk Backend Port, dan TCP untuk Protocol.
Entry Name
Nama entri DNAT.
Nama harus memiliki panjang 2 hingga 128 karakter, dan dapat berisi angka, garis bawah (_), dan tanda hubung (-). Nama harus dimulai dengan huruf.
Langkah 7: Konfigurasikan rute untuk gateway VPN
Anda harus menambahkan rute ke gateway VPN dan mengiklankan rute tersebut ke tabel rute VPC. Kemudian, VPC dan pusat data dapat berkomunikasi satu sama lain.
Masuk ke Konsol Gateway VPN.
Di bilah menu atas, pilih wilayah gateway VPN.
Di panel navigasi sisi kiri, pilih .
Di halaman VPN Gateway, temukan gateway VPN yang ingin Anda kelola dan klik ID gateway VPN.
Di tab Destination-based Route Table, klik Add Route Entry.
Di panel Add Route, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Destination CIDR Block
Masukkan blok CIDR pribadi pusat data. Dalam contoh ini, 172.16.0.0/12 digunakan.
Next Hop Type
Pilih IPsec-VPN connection.
Next Hop
Pilih koneksi IPsec-VPN. Dalam contoh ini, koneksi IPsec-VPC yang dibuat di Langkah 1: Konfigurasikan IPsec-VPN dipilih.
Advertise to VPC
Tentukan apakah akan mengiklankan rute ke tabel rute VPC. Dalam contoh ini, Yes dipilih.
Weight
Pilih bobot rute. Dalam contoh ini, 100 dipilih.
100: prioritas tinggi
0: prioritas rendah
Langkah 8: Uji konektivitas
Masuk ke ECS1 di VSW1. Untuk informasi lebih lanjut, lihat Metode Koneksi.
Ping alamat IP server di pusat datauntuk memeriksa apakah ECS1 dapat mengakses server di pusat data.Dalam contoh ini, perintah berikut digunakan:
ping 172.16.0.124Hasil pengujian menunjukkan bahwa ECS1 dapat mengakses server di pusat data.
Masuk ke server di pusat data dan jalankan perintah
ssh root@NAT IP. Sebelum menjalankan perintah ini, ganti NAT IP dengan alamat IP NAT default yang ditentukan di gateway NAT VPC. Lalu, masukkan kata sandi yang digunakan untuk masuk ke ECS1 untuk memeriksa apakah server dapat mengakses ECS1.Dalam contoh ini, perintah berikut digunakan:
ssh 10.0.1.43Hasil pengujian menunjukkan bahwa server di pusat data dapat mengakses ECS1 menggunakan fitur DNAT dari gateway NAT VPC.
