Gunakan VPC NAT Gateway bersama VPN Gateway untuk mengaktifkan komunikasi antara Virtual Private Cloud (VPC) dan pusat data lokal melalui alamat IP pribadi tertentu.
Skenario
Topik ini menjelaskan skenario yang ditunjukkan pada gambar berikut. Sebuah perusahaan memiliki VPC bernama VPC1 di wilayah China (Qingdao) dan pusat data lokal di wilayah China (Beijing). Perusahaan tersebut memerlukan VPC1 agar dapat mengakses pusat data lokal menggunakan alamat IP pribadi tertentu, dan sebaliknya.
Perusahaan berencana menggunakan VPC NAT Gateway bersama VPN Gateway untuk memenuhi kebutuhan ini.
Anda dapat menggunakan koneksi IPsec pada VPN Gateway untuk membuat koneksi aman antara pusat data lokal dan VPC. Fitur SNAT dan DNAT dari VPC NAT Gateway memungkinkan komunikasi antara alamat IP tertentu di VPC dan pusat data lokal. Tabel berikut mencantumkan paket jaringan untuk contoh ini. Anda juga dapat merencanakan Blok CIDR sendiri, pastikan Blok CIDR tersebut tidak tumpang tindih.
|
Parameter |
Blok alamat |
|
CIDR block of VPC1 |
10.0.0.0/16 |
|
CIDR blocks of the VSwitches |
|
|
IP address of the ECS instance |
ECS1: 10.0.0.81 |
|
CIDR block of the on-premises data center |
172.16.0.0/12 |
|
IP address of the on-premises server |
172.16.0.124 |
|
IP address of the on-premises gateway device |
211.68.XX.XX |
Prasyarat
-
Anda telah membuat VPC bernama VPC1 di wilayah China (Qingdao), dengan dua vSwitch: VSW1 di Zona B dan VSW2 di Zona E. Untuk informasi selengkapnya, lihat Buat dan kelola VPC.
-
Anda telah membuat instans ECS bernama ECS1 di VSW1 dan men-deploy aplikasi di dalamnya. Untuk informasi selengkapnya, lihat Buat instans menggunakan wizard.
Langkah konfigurasi

Langkah 1: Konfigurasikan IPsec-VPN
Gunakan IPsec-VPN untuk membuat koneksi VPN antara VPC dan IDC lokal. Untuk menggunakan IPsec-VPN, Anda harus membuat VPN Gateway, gateway pelanggan, dan koneksi IPsec. Untuk informasi selengkapnya, lihat Panduan cepat untuk gateway VPN tradisional.
Masuk ke Konsol VPN Gateway.
-
Buat VPN Gateway.
Pada halaman VPN Gateways, klik Create VPN Gateway.
-
Pada halaman pembelian, atur parameter berikut, klik Buy Now, lalu selesaikan pembayaran.
Parameter
Deskripsi
Instance Name
Masukkan nama untuk instans VPN Gateway.
Region
Pilih wilayah untuk instans VPN Gateway. Pada contoh ini, pilih China (Qingdao).
Gateway type
Pertahankan nilai default Standard.
VPC
Pilih VPC yang akan dihubungkan. Pada contoh ini, pilih VPC1.
VSwitch
Pilih VSwitch dari VPC. Pada contoh ini, pilih VSW1.
VSwitch 2
Pilih VSwitch dari VPC. Pada contoh ini, pilih VSW2.
Peak bandwidth
Pilih bandwidth puncak untuk VPN Gateway. Satuannya adalah Mbps.
Pada contoh ini, pilih 5 Mbps.
Traffic
Secara default, gateway VPN ditagih berdasarkan transfer data. Untuk informasi selengkapnya, lihat Penagihan.
IPsec-VPN
Pilih apakah akan mengaktifkan IPsec-VPN. Pada contoh ini, pilih Enable.
SSL-VPN
Pilih apakah akan mengaktifkan SSL-VPN. Pada contoh ini, pilih Disable.
Duration
Secara default, VPN Gateway ditagih per jam.
-
Kembali ke halaman VPN Gateways untuk melihat instans VPN Gateway yang telah Anda buat.
Instans baru awalnya berada dalam status Preparing. Setelah 1 hingga 5 menit, statusnya berubah menjadi Normal. Status Active berarti instans telah diinisialisasi dan siap digunakan.
-
Buat gateway pelanggan.
Di panel navigasi kiri, pilih .
-
Di bilah navigasi atas, pilih wilayah untuk gateway pelanggan. Pada contoh ini, pilih China (Qingdao).
Pada halaman Customer Gateway, klik Create Customer Gateway.
-
Di panel Create Customer Gateway, atur parameter berikut lalu klik OK.
Parameter
Deskripsi
Name
Masukkan nama untuk gateway pelanggan.
IP Address
Masukkan alamat IP publik perangkat gateway di IDC lokal Anda. Pada contoh ini, masukkan 211.68.XX.XX.
ASN
Masukkan Autonomous System Number (ASN) perangkat gateway lokal Anda.
Description
Masukkan deskripsi untuk gateway pelanggan.
Untuk informasi selengkapnya tentang parameter tersebut, lihat gateway pelanggan.
-
Buat koneksi IPsec.
Di panel navigasi kiri, buka .
-
Di bilah navigasi atas, pilih wilayah untuk koneksi IPsec. Pada contoh ini, pilih China (Qingdao).
Pada halaman IPsec-VPN connection, klik Create IPsec-VPN Connection.
-
Pada halaman Create IPsec-VPN Connection, konfigurasikan parameter berikut lalu klik OK.
Parameter
Deskripsi
Name
Masukkan nama untuk koneksi IPsec.
Associate Resource
Pilih VPN Gateways.
VPN Gateways
Pilih VPN Gateway yang telah Anda buat.
Routing Mode
Pilih mode routing. Pada contoh ini, pilih Destination Routing Mode.
Effective Immediately
Menentukan kapan koneksi dibuat.
-
Yes. Start negotiations after the configuration is completed.
-
No. Start negotiations when inbound traffic is detected.
Pada contoh ini, pengaturan default digunakan.
Tunnel 1 > Customer Gateways
Pilih gateway pelanggan yang akan dikaitkan.
Tunnel 2 > Customer Gateways
Pilih gateway pelanggan yang akan dikaitkan.
Pre-Shared Key
Masukkan kunci pra-bersama. Kunci ini harus sesuai dengan kunci pra-bersama yang dikonfigurasi pada perangkat gateway lokal Anda. Jika Anda mengosongkannya, sistem akan menghasilkan string acak sepanjang 16 karakter.
-
Langkah 2: Terapkan konfigurasi VPN ke gateway lokal
Setelah Anda mengonfigurasi VPN Gateway, Anda juga harus menerapkan konfigurasi VPN ke perangkat gateway lokal Anda.
Di panel navigasi kiri, pilih .
-
Pada halaman IPsec Connections, temukan koneksi IPsec target lalu klik Generate Peer Configuration di kolom Actions.
-
Terapkan konfigurasi yang diunduh ke perangkat gateway lokal Anda. Untuk informasi selengkapnya, lihat Konfigurasikan gateway lokal.
Langkah 3: Buat gateway NAT VPC
Masuk ke Konsol NAT Gateway.
-
Di panel navigasi kiri, pilih .
Pada halaman VPC NAT Gateway, klik Create VPC NAT Gateway.
-
Pada halaman NAT Gateway, konfigurasikan parameter berikut lalu klik Buy Now.
Parameter
Deskripsi
Region
Pilih wilayah tempat Anda ingin membuat instans gateway NAT VPC. Contoh ini menggunakan China (Qingdao).
VPC
Pilih VPC untuk instans gateway NAT VPC. Anda tidak dapat mengubah VPC setelah instans dibuat. Contoh ini menggunakan VPC1.
Zone
Pilih zona ketersediaan untuk instans gateway NAT VPC. Pada contoh ini, pilih zona ketersediaan yang berisi VSW2.
vSwitch
Pilih vSwitch untuk instans gateway NAT VPC. Kami menyarankan Anda memilih vSwitch khusus. Contoh ini menggunakan VSW2.
Instance Name
Masukkan nama untuk instans gateway NAT VPC.
Service-linked Role
Jika ini pertama kalinya Anda menggunakan gateway NAT (termasuk gateway NAT Internet dan gateway NAT VPC), Anda harus mengklik Create Service-Linked Role untuk membuat role tersebut.
-
Kembali ke halaman VPC NAT Gateway untuk melihat instans baru.
-
Klik ID instans gateway NAT VPC. Di tab Basic Information, lihat informasi seperti VPC dan vSwitch-nya.
-
Klik tab NAT IP untuk melihat rentang alamat IP NAT default dan alamat IP NAT default.
Catatan
Rentang alamat IP NAT default adalah blok CIDR dari vSwitch gateway NAT VPC. Alamat IP NAT default adalah alamat IP acak dari blok CIDR vSwitch. Anda tidak dapat menghapus rentang alamat IP NAT default atau alamat IP NAT default.
-
Langkah 4: Tambahkan entri rute
Tambahkan entri rute ke tabel rute sistem VPC1 yang mengarah ke gateway NAT VPC.
Masuk ke Konsol VPC.
-
Pada halaman VPC, klik ID VPC1.
-
Di halaman detail VPC, klik tab Resource Management lalu klik tautan di bawah Route Tables.
-
Pada halaman Route Tables, temukan tabel rute dengan Route Table Type bernilai System lalu klik ID-nya.
-
Di halaman detail tabel rute, pilih Route Entry List > Custom Route, lalu klik Add Route Entry.
-
Di panel Add Route Entry, atur parameter berikut lalu klik OK.
Parameter
Deskripsi
Name
Masukkan nama untuk entri rute. Pada contoh ini, masukkan VPCENTRY.
Destination CIDR Block
Masukkan blok CIDR tujuan. Pada contoh ini, gunakan alamat IP server IDC lokal, 172.16.0.124/32.
Next Hop Type
Pilih NAT Gateway.
NAT Gateway
Pilih gateway NAT VPC yang dibuat di Langkah 3: Buat gateway NAT VPC.
Langkah 5: Buat tabel rute kustom dan entri rute
Buat tabel rute kustom untuk VSwitch VSW2 dan tambahkan entri rute yang mengarah ke VPN Gateway.
Untuk informasi tentang wilayah yang mendukung tabel rute kustom, lihat Tabel rute.
Masuk ke Konsol VPC.
-
Di panel navigasi kiri, klik Route Tables.
Di bilah navigasi atas, pilih wilayah tempat tabel rute berada.
-
Pada halaman Route Tables, klik Create Route Table.
-
Pada halaman Create Route Table, konfigurasikan parameter berikut lalu klik OK.
Parameter
Deskripsi
Resource Group
Pilih kelompok sumber daya untuk tabel rute. Pada contoh ini, dipilih All.
VPC
Pilih VPC untuk tabel rute. Pada contoh ini, dipilih VPC1.
Name
Masukkan nama untuk tabel rute. Pada contoh ini, masukkan VPNVTB.
Description
Masukkan deskripsi untuk tabel rute. Pada contoh ini, masukkan Custom route table for VPN Gateway.
-
Di tab Associated vSwitch, klik Associate vSwitch.
-
Di kotak dialog Associate vSwitch, pilih VSwitch yang akan dikaitkan lalu klik OK.
Contoh ini menggunakan VSwitch VSW2.
-
Di halaman detail tabel rute, buka tab Route Entry List > Custom Route lalu klik Add Route Entry.
-
Di panel Add Route Entry, konfigurasikan parameter berikut lalu klik OK.
Parameter
Deskripsi
Name
Masukkan nama untuk entri rute. Pada contoh ini, masukkan VPCNATENTRY.
Destination CIDR Block
Masukkan blok CIDR tujuan. Pada contoh ini, masukkan alamat IP server di IDC lokal, 172.16.0.124/32.
Next Hop Type
Pilih jenis lompatan berikutnya. Pada contoh ini, pilih VPN Gateway.
VPN Gateway
Pilih instans VPN Gateway. Pada contoh ini, pilih VPN Gateway yang dibuat di Langkah 1: Konfigurasikan koneksi IPsec-VPN.
Langkah 6: Buat entri SNAT dan DNAT
Masuk ke Konsol NAT Gateway.
-
Di panel navigasi kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway NAT Internet.
-
Lakukan langkah-langkah berikut untuk membuat entri SNAT:
-
Pada halaman VPC NAT Gateway, temukan instans VPC NAT Gateway target lalu klik SNAT di kolom Actions.
Di tab SNAT, klik Create SNAT Entry.
-
Pada halaman Create SNAT Entry, atur parameter berikut lalu klik OK.
Parameter
Description
SNAT Entry
Pilih Select vSwitch. Dari daftar Select vSwitch, pilih vSwitch tempat ECS1 berada. Contoh ini menggunakan VSW1. Bidang vSwitch CIDR Block kemudian akan menampilkan Blok CIDR dari VSW1.
Select NAT IP Address
Dari daftar drop-down, pilih alamat IP NAT yang akan digunakan untuk mengakses jaringan pribadi eksternal. Contoh ini menggunakan alamat IP NAT default.
Entry Name
Masukkan nama untuk entri SNAT.
Nama harus terdiri dari 2 hingga 128 karakter, diawali dengan huruf atau karakter Tionghoa, serta dapat berisi angka, garis bawah (_), dan tanda hubung (-).
-
-
Kembali ke halaman VPC NAT Gateway lalu lakukan langkah-langkah berikut untuk membuat entri DNAT.
-
Pada halaman VPC NAT Gateway, temukan instans VPC NAT Gateway target lalu klik DNAT di kolom Actions.
Di tab DNAT, klik Create DNAT Entry.
-
Pada halaman Create DNAT Entry, atur parameter berikut lalu klik OK.
Parameter
Deskripsi
Select NAT IP Address
Pilih alamat IP NAT yang dapat digunakan oleh jaringan pribadi eksternal untuk mengakses sumber daya di VPC Anda. Contoh ini menggunakan alamat IP NAT default.
Select Private IP Address
Pilih alamat IP pribadi yang akan diakses melalui entri DNAT. Untuk contoh ini, pilih Select by ECS or ENI lalu pilih alamat IP pribadi ECS1.
Port Settings
Pilih metode pemetaan DNAT. Untuk contoh ini, pilih Specific Port, yang juga dikenal sebagai pemetaan port.
Atur Frontend Port ke 22, Backend Port ke 22, dan Protocol ke TCP.
Entry Name
Masukkan nama untuk entri DNAT.
Nama harus terdiri dari 2 hingga 128 karakter, dimulai dengan huruf atau karakter Tionghoa, serta dapat berisi angka, garis bawah (_), dan tanda hubung (-).
-
Langkah 7: Konfigurasikan rute untuk VPN Gateway
Konfigurasikan rute di VPN Gateway dan publikasikan ke tabel rute VPC untuk mengaktifkan komunikasi antara pusat data lokal Anda dan VPC.
Masuk ke Konsol VPN Gateway.
Di bilah navigasi atas, pilih wilayah tempat instans gateway VPN berada.
Di panel navigasi kiri, pilih .
Pada halaman VPN Gateway, temukan gateway VPN yang ingin Anda kelola lalu klik ID gateway VPN tersebut.
-
Di tab Destination-based Route Table, klik Add Route Entry.
-
Di panel Add Route Entry, konfigurasikan parameter berikut lalu klik OK.
Parameter
Deskripsi
Destination CIDR Block
Masukkan blok CIDR pribadi pusat data lokal. Untuk contoh ini, masukkan 172.16.0.0/12.
Next Hop Type
Pilih IPsec Connections.
Next Hop
Pilih koneksi IPsec yang dibuat di Langkah 1: Konfigurasikan koneksi IPsec.
Publish to VPC
Menentukan apakah rute baru akan dipublikasikan ke tabel rute VPC. Pada contoh ini, pilih Yes.
Weight
Pilih bobot untuk rute. Pada contoh ini, pilih 100.
-
100: Prioritas tinggi.
-
0: Prioritas rendah.
-
Langkah 8: Uji konektivitas
-
Masuk ke ECS1 di VSW1. Untuk detailnya, lihat Metode koneksi.
-
Jalankan perintah
ping <alamat IP server pusat data>untuk memverifikasi bahwa ECS1 dapat mengakses server pusat data.Pada contoh ini, jalankan perintah berikut.
ping 172.16.0.124Hasilnya mengonfirmasi bahwa ECS1 dapat mengakses server pusat data.
[root@iZm5ed xxx 6xsog69bpZ ~]# ping 172.16.0.124 PING 172.16.0.124 (172.16.0.124) 56(84) bytes of data. 64 bytes from 172.16.0.124: icmp_seq=1 ttl=62 time=15.6 ms 64 bytes from 172.16.0.124: icmp_seq=2 ttl=62 time=15.6 ms 64 bytes from 172.16.0.124: icmp_seq=3 ttl=62 time=15.7 ms 64 bytes from 172.16.0.124: icmp_seq=4 ttl=62 time=15.6 ms 64 bytes from 172.16.0.124: icmp_seq=5 ttl=62 time=15.6 ms 64 bytes from 172.16.0.124: icmp_seq=6 ttl=62 time=15.6 ms 64 bytes from 172.16.0.124: icmp_seq=7 ttl=62 time=15.6 ms ^C --- 172.16.0.124 ping statistics --- 7 packets transmitted, 7 received, 0% packet loss, time 6008ms rtt min/avg/max/mdev = 15.578/15.605/15.665/0.136 ms -
Masuk ke server pusat data lalu jalankan perintah
ssh root@<NAT_IP>untuk menguji apakah server pusat data dapat terhubung jarak jauh ke ECS1. Dalam perintah tersebut, ganti<NAT_IP>dengan alamat IP NAT default dari VPC NAT Gateway. Kemudian, masukkan password login untuk ECS1 saat diminta.Pada contoh ini, jalankan perintah berikut.
ssh 10.0.1.43Hasilnya menunjukkan bahwa server pusat data dapat mengakses ECS1 dengan menggunakan fitur DNAT dari VPC NAT Gateway.
[root@iZ2ze9r3txxxz25cs7cfZ ~]# ssh 10.0.1.43 root@10.0.1.43's password: Welcome to Alibaba Cloud Elastic Compute Service ! Updates Information Summary: available 6 Security notice(s) 6 Moderate Security notice(s) Run "dnf upgrade-minimal --security" to apply all updates. Last login: Tue Nov 30 17:40:43 2021 from 172.16.0.124 [root@iZm5edtfgxxxixsog69bpZ ~]#