All Products
Search
Document Center

Server Load Balancer:Bangun firewall Internet menggunakan GWLB

Last Updated:Jun 21, 2026

Untuk mengatasi kompleksitas manajemen dan risiko keamanan akibat titik akses publik yang terfragmentasi serta kebijakan keamanan yang tidak konsisten di lingkungan cloud, Anda dapat membangun firewall batas Internet dengan mengintegrasikan Gateway Load Balancer (GWLB) dan IPv4 gateway. Solusi ini menggunakan IPv4 gateway untuk mengontrol secara terpusat seluruh traffic publik yang masuk atau keluar dari VPC, lalu mengarahkannya melalui GWLB ke network virtual appliance guna menjalani inspeksi dan penyaringan mendalam. Pendekatan ini memungkinkan penerapan kebijakan keamanan secara terpusat, mengurangi risiko keamanan, serta meningkatkan efisiensi manajemen jaringan.

Ikhtisar solusi integrasi GWLB dan IPv4 gateway

Pada penerapan layanan publik tradisional, resource di dalam VPC berkomunikasi langsung dengan Internet dengan mengikat alamat IP publik. Pendekatan ini menimbulkan beberapa masalah keamanan:

  • Permukaan serangan yang luas: Setiap alamat IP publik yang diikat berfungsi sebagai titik eksposur langsung ke Internet. Seiring bertambahnya jumlah IP tersebut di berbagai resource, perimeter keamanan jaringan perusahaan menjadi terfragmentasi, sehingga menyulitkan pemantauan traffic dan penerapan kebijakan secara terpadu.

  • Manajemen kebijakan yang kompleks: Kebijakan keamanan (seperti security group) harus dikonfigurasi dan dikelola secara terpisah untuk setiap resource yang memiliki IP publik. Hal ini meningkatkan beban operasional, biaya waktu, serta risiko kesalahan konfigurasi yang mengompromikan keamanan.

  • Kurangnya inspeksi mendalam: Security group dan ACL jaringan menerapkan kontrol akses terutama pada Lapisan 4 (berdasarkan alamat IP dan port). Mereka tidak dapat melakukan deep packet inspection (DPI), pencegahan intrusi, atau perlindungan keamanan Lapisan 7 lainnya.

Dengan menerapkan IPv4 gateway bersama GWLB, Anda dapat membangun firewall batas Internet yang terpusat, transparan, dan skalabel. IPv4 gateway mengelola secara terpusat seluruh traffic publik inbound dan outbound dari VPC. Traffic tersebut kemudian diarahkan melalui endpoint Gateway Load Balancer (GWLBe) ke network virtual appliance backend (seperti firewall) untuk inspeksi mendalam. Setelah diperiksa, traffic dikembalikan melalui GWLBe yang sesuai dan akhirnya diteruskan ke server aplikasi.

Fitur utama

  • IPv4 gateway

    • Kontrol terpusat atas traffic publik: Dengan menggabungkan IPv4 gateway dengan tabel rute dan komponen lainnya, Anda dapat memastikan seluruh traffic publik melewati IPv4 gateway. Hal ini menyederhanakan penerapan dan audit kebijakan keamanan terpadu serta secara efektif mengurangi risiko keamanan akibat akses yang terdesentralisasi.

  • GWLB

    • Inspeksi traffic transparan: GWLB beroperasi sebagai gerbang jaringan Lapisan 3. Traffic mempertahankan alamat IP sumber dan tujuan aslinya selama inspeksi oleh network virtual appliance, sehingga tidak memerlukan perubahan pada klien atau layanan backend.

    • Network virtual appliance yang skalabel: Anda dapat menambah atau menghapus network virtual appliance di belakang GWLB kapan saja sesuai perubahan volume traffic layanan.

    • Penerapan ketersediaan tinggi lintas zona: GWLB dan network virtual appliance backend-nya dapat diterapkan di beberapa zona. Jika network virtual appliance atau GWLBe gagal di satu zona, traffic secara otomatis dialihkan ke node sehat di zona lain, memastikan ketersediaan tinggi layanan keamanan.

Skenario

  • Audit kepatuhan keamanan terpusat: Menyediakan kluster terpadu perangkat keamanan bagi industri dengan persyaratan kepatuhan ketat (seperti keuangan dan pemerintahan) untuk memungkinkan audit, pemantauan, dan pelacakan event yang konsisten terhadap log traffic publik dan kebijakan keamanan.

  • Perlindungan keamanan mendalam untuk layanan publik: Memberikan inspeksi konten mendalam untuk situs web, API, atau aplikasi yang terekspos ke Internet, sehingga secara efektif mampu mempertahankan diri dari serangan web, pemindaian berbahaya, intrusi virus, dan ancaman canggih lainnya.

  • Akses keluar yang aman untuk resource VPC: Menyediakan saluran egress yang aman bagi resource VPC yang secara aktif mengakses Internet (untuk tugas seperti pembaruan patch atau panggilan API eksternal), mencegah akses ke situs berbahaya dan kebocoran data.

Batasan

  • Setidaknya satu network virtual appliance harus berjalan di belakang GWLB.

  • Kebijakan akses (misalnya, aturan security group) untuk server backend GWLB harus mengizinkan traffic UDP pada port 6081 (port protokol Geneve).

  • Saat membuat layanan titik akhir, Anda harus memilih wilayah dan zona yang mendukung instance PrivateLink dan GWLB. Untuk informasi tentang wilayah dan zona yang mendukung PrivateLink dan GWLB, lihat Wilayah dan zona yang mendukung PrivateLink dan Wilayah dan zona yang mendukung GWLB.

  • Zona tempat GWLBe diterapkan harus merupakan subset dari zona tempat sumber daya layanan titik akhir (GWLB) diterapkan agar koneksi dapat dibuat.

Contoh skenario

Sistem bisnis inti sebuah perusahaan berjalan di VPC di wilayah Alibaba Cloud China (Ulanqab). Untuk memastikan ketersediaan tinggi, instance ECS server aplikasi didistribusikan di dua zona (Zona B Ulanqab dan Zona C Ulanqab) serta melayani traffic eksternal dengan langsung mengikat elastic IP addresses (EIPs). Seiring pertumbuhan bisnis, model penerapan ini—karena titik masuk publiknya yang terfragmentasi—menyulitkan penerapan kebijakan keamanan dan audit terpadu, sehingga tidak memenuhi kebutuhan perusahaan yang semakin besar akan kontrol keamanan terpusat. Selain itu, model ini tidak memiliki kemampuan inspeksi traffic mendalam, sehingga tidak efektif menghadapi serangan siber yang semakin canggih.

Untuk mengatasi masalah ini, perusahaan dapat menerapkan GWLB bersama IPv4 gateway guna membangun firewall batas Internet dengan ketersediaan tinggi. Konfigurasi ini memungkinkan inspeksi dan manajemen traffic terpusat, secara signifikan mengurangi risiko keamanan, serta menerapkan kebijakan perlindungan keamanan yang konsisten.

Prasyarat

  • Anda telah membuat VPC bisnis dan VPC keamanan, mengonfigurasi subnet bisnis dan subnet GWLB di Zona B dan Zona C VPC bisnis, serta menyiapkan subnet keamanan di Zona B dan Zona C VPC keamanan. Untuk informasi lebih lanjut, lihat Virtual Private Cloud dan vSwitch.

  • Anda telah membuat instance ECS server aplikasi di VPC bisnis dan menerapkan layanan aplikasi di atasnya. Jika instance ECS memerlukan komunikasi jaringan publik, tetapkan alamat IP publik padanya.

  • Anda telah membuat dan mengaktifkan IPv4 gateway untuk VPC bisnis.

  • Anda telah membuat tabel rute yang diperlukan, termasuk tabel rute IPv4 gateway, tabel rute subnet bisnis, dan tabel rute subnet GWLBe.

  • Anda telah membuat minimal dua instance ECS di VPC keamanan untuk mensimulasikan network virtual appliance.

    Penting

    Pastikan tipe instance ECS di VPC keamanan mendukung frame jumbo karena enkapsulasi Geneve menambahkan 68 byte ke paket asli, yang dapat melebihi 1500 byte. Untuk informasi lebih lanjut, lihat Unit transmisi maksimum jaringan dan Keluarga instance yang mendukung frame jumbo.

  • Anda telah membuat security group untuk semua instance ECS di VPC bisnis maupun VPC keamanan. Pastikan security group untuk instance ECS di VPC keamanan mengizinkan traffic UDP pada port 6081 dan mengizinkan port serta protokol yang diperlukan untuk pemeriksaan kesehatan.

Contoh referensi: Perencanaan Blok CIDR

VPC

Zona

Blok CIDR dan resource

VPC Bisnis

Blok CIDR primer: 192.168.0.0/16

Zona B

  • Subnet GWLBe_01 B: 192.168.101.0/24

  • Subnet bisnis B: 192.168.1.0/24

  • Server aplikasi ECS_B_01 (diikat ke EIP): 192.168.1.153

    Contoh referensi: Terapkan layanan uji di ECS_B_01 (menggunakan Alibaba Cloud Linux 3)

    yum install -y nginx
    systemctl start nginx.service
    cd /usr/share/nginx/html/
    echo "Hello World ! This is ECS_B_01." > index.html

Zona C

  • Subnet GWLBe_02 C: 192.168.102.0/24

  • Subnet bisnis C: 192.168.2.0/24

  • Server aplikasi ECS_C_01 (diikat ke EIP): 192.168.2.151

    Contoh referensi: Terapkan layanan uji di ECS_C_01 (menggunakan Alibaba Cloud Linux 3)

    yum install -y nginx
    systemctl start nginx.service
    cd /usr/share/nginx/html/
    echo "Hello World ! This is ECS_C_01." > index.html

VPC Keamanan

Blok CIDR: 10.0.0.0/16

Zona B

  • Subnet keamanan B: 10.0.1.0/24

  • Network virtual appliance ECS_01: 10.0.1.40

Zona C

  • Subnet keamanan C: 10.0.2.0/24

  • Network virtual appliance ECS_02: 10.0.2.170

Prosedur

Langkah 1: Konfigurasi Gateway Load Balancer

Buat instance GWLB

Instance adalah entitas layanan load balancing. Buat instance GWLB terlebih dahulu.

  1. Di bilah menu atas Konsol Gateway Load Balancer (GWLB), pilih wilayah tempat Anda ingin menerapkan instance GWLB.

  2. Di halaman Instances, klik Create GWLB.

  3. Di halaman pembelian Gateway Load Balancer, konfigurasikan pengaturan instance GWLB, lalu klik Buy Now dan ikuti petunjuk konsol untuk menyelesaikan aktivasi instance.

    Dalam skenario ini, atur Region and zone ke China (Ulanqab), VPC ke VPC keamanan yang telah Anda buat, dan Zone ke Ulanqab Zone B dan Ulanqab Zone C. Pilih ID vSwitch dari subnet keamanan yang sesuai di setiap zona. Gunakan nilai default atau sesuaikan bila diperlukan untuk pengaturan instance GWLB lainnya yang tidak tercantum di sini.

  4. Kembali ke halaman Instances dan pilih wilayah yang sesuai untuk melihat instance baru Anda.

Buat grup server backend

Buat grup server dan tambahkan server backend untuk menerima permintaan klien yang diteruskan oleh GWLB.

  1. Di panel navigasi kiri, pilih GWLB > Server Group.

  2. Di halaman Server Group, klik Create Server Group.

  3. Di kotak dialog Create Server Group, konfigurasikan parameter grup server, lalu klik Create.

    Dalam skenario ini, atur Server Group Type ke Server dan VPC ke VPC keamanan yang telah Anda buat (VPC yang sama dengan instance GWLB). Gunakan nilai default atau sesuaikan bila diperlukan untuk pengaturan grup server lainnya yang tidak tercantum di sini.

  4. Di kotak dialog The server group is created, klik Add Backend Server.

  5. Di panel Add Backend Server, pilih instance ECS_01 dan ECS_02 yang telah Anda buat, lalu klik OK.

Konfigurasikan Pendengar

Konfigurasikan listener untuk instance dan kaitkan dengan grup server backend guna meneruskan traffic di semua port ke server backend menggunakan protokol Geneve.

  1. Di panel navigasi kiri, pilih GWLB dan klik ID instance.

  2. Klik tab Listener, lalu klik Create IP Listener.

  3. Di halaman konfigurasi Create IP Listener, pilih Server Group Type, pilih grup server yang telah Anda buat, lalu klik OK.

    Gunakan nilai default atau sesuaikan bila diperlukan untuk pengaturan IP listener lainnya yang tidak tercantum di sini.

Langkah 2: Konfigurasikan peranti virtual jaringan

Karena GWLB beroperasi dalam mode transparan pada Lapisan 3 Model OSI, Anda harus menyesuaikan network virtual appliance yang diterapkan di belakangnya agar dapat menerima, memproses, dan mengembalikan traffic yang dienkapsulasi Geneve secara benar.

GWLB Alibaba Cloud mendukung integrasi network virtual appliance pihak ketiga (seperti Fortinet dan Hillstone) ke dalam grup server backend. Topik ini menggunakan iptables untuk mensimulasikan network virtual appliance backend. Ikuti petunjuk vendor perangkat Anda untuk konfigurasi aktual.

Contoh referensi: Konfigurasi iptables di ECS_01 (menggunakan Alibaba Cloud Linux 3)

# Langkah 1: Simpan skrip konfigurasi ke file
cat > setup_gwlb_multi_iptables.sh <<'EOF'
#!/bin/bash
# setup_gwlb_multi_iptables.sh
# Untuk penerapan GWLB multi-zona, secara otomatis mengonfigurasi IP forwarding, iptables, dan aturan hairpin NAT
# ---- 1. Parameter konfigurasi (sesuaikan bila diperlukan) ----
instance_ip="10.0.1.40" # IP privat instance ECS ini, misalnya ECS_01 di Zona B Ulanqab 
gwlb_ip1="10.0.1.41"   # IP privat GWLB di Zona B Ulanqab
gwlb_ip2="10.0.2.171"  # IP privat GWLB di Zona C Ulanqab
# ---- 2. Aktifkan forwarding IPv4 ----
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.d/00-defaults.conf
sysctl -p /etc/sysctl.d/00-defaults.conf
# ---- 3. Instal layanan iptables ----
yum install iptables-services -y
# ---- 4. Aktifkan dan mulai layanan iptables ----
systemctl enable iptables
systemctl start iptables
# ---- 5. Atur kebijakan dasar iptables untuk menerima semua traffic (hanya untuk pengujian/POC; batasi sesuai kebutuhan di produksi) ----
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# ---- 6. Hapus semua tabel dan aturan iptables ----
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X
# ---- 7. Konfigurasi aturan hairpin NAT untuk GWLB multi-zona ----
iptables -t nat -A PREROUTING -p udp -s $gwlb_ip1 -d $instance_ip -i eth0 -j DNAT --to-destination $gwlb_ip1:6081
iptables -t nat -A POSTROUTING -p udp --dport 6081 -s $gwlb_ip1 -d $gwlb_ip1 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -p udp -s $gwlb_ip2 -d $instance_ip -i eth0 -j DNAT --to-destination $gwlb_ip2:6081
iptables -t nat -A POSTROUTING -p udp --dport 6081 -s $gwlb_ip2 -d $gwlb_ip2 -o eth0 -j MASQUERADE
# ---- 8. Simpan aturan iptables ----
service iptables save
echo "【Selesai】ECS $instance_ip telah menerapkan aturan NAT dan forwarding untuk GWLB multi-zona!"
EOF
# Langkah 2: Jadikan skrip dapat dieksekusi
chmod +x setup_gwlb_multi_iptables.sh
# Langkah 3: Jalankan segera
sudo ./setup_gwlb_multi_iptables.sh

Langkah 3: Konfigurasi PrivateLink

Konfigurasi layanan titik akhir

Ekspos instance GWLB sebagai sumber daya layanan dalam layanan titik akhir agar dapat diakses oleh VPC bisnis.

  1. Di halaman Endpoint Services, klik Create Endpoint Service.

  2. Di halaman Create Endpoint Service, konfigurasikan pengaturan layanan titik akhir, lalu klik OK.

    Dalam skenario ini, atur Region ke China (Ulanqab), Service Resource Type ke GWLB, Select Service Resource ke Ulanqab Zone B dan Ulanqab Zone C, pilih instance GWLB yang telah Anda buat sebagai sumber daya layanan, dan atur Automatically Accept Endpoint Connections ke Yes. Gunakan nilai default atau sesuaikan bila diperlukan untuk pengaturan layanan titik akhir lainnya yang tidak tercantum di sini.

Konfigurasi endpoint Gateway Load Balancer

Sebagai konsumen layanan, buat instance GWLBe untuk terhubung ke layanan titik akhir.

  1. Di halaman Endpoints, klik tab GWLB Endpoint, lalu klik Create Endpoint.

  2. Di halaman Create Endpoint, konfigurasikan pengaturan GWLBe_01, lalu klik OK.

    Konfigurasi untuk skenario ini adalah sebagai berikut. Gunakan nilai default atau sesuaikan bila diperlukan untuk pengaturan endpoint lainnya yang tidak tercantum di sini.

    Parameter

    Deskripsi

    Region

    Topik ini memilih China (Ulanqab).

    Endpoint Name

    Masukkan nama kustom untuk endpoint.

    Endpoint Type

    Pilih tipe node untuk endpoint. Topik ini memilih GWLB Endpoint.

    Type

    Topik ini memilih Select Service dan memilih layanan titik akhir yang telah Anda buat.

    VPC

    Pilih VPC untuk endpoint. Topik ini memilih ID VPC bisnis.

    Zones and vSwitches

    Pilih zona yang sesuai dengan layanan titik akhir, lalu pilih vSwitch di zona tersebut. Sistem secara otomatis membuat endpoint elastic network interface (ENI) di bawah vSwitch ini.

    Topik ini memilih Ulanqab Zone B dan ID vSwitch dari subnet GWLBe di Zona B.

  3. Ulangi langkah pembuatan untuk membuat GWLBe_02. Pilih Ulanqab Zone C dan ID vSwitch dari subnet GWLBe di Zona C.

    Catatan

    Pastikan status koneksi endpoint menunjukkan Connected.

Langkah 4: Konfigurasi routing

Konfigurasikan rute untuk mengarahkan traffic ke GWLBe.

  1. Di bilah menu atas halaman Route Table, pilih wilayah tabel rute.

    Dalam skenario ini, pilih China (Ulanqab).

  2. Ikuti petunjuk di bawah ini untuk mengklik ID setiap tabel rute target dan konfigurasikan rute di halaman detail tabel rute.

    Catatan

    Di halaman detail tabel rute, di bawah tab Route Entry List > System Route, Anda dapat melihat entri rute sistem.

    Sistem secara otomatis menambahkan rute sistem berikut ke tabel rute kustom: rute dengan blok CIDR tujuan yang cocok dengan blok CIDR vSwitch di VPC, memungkinkan komunikasi antar resource cloud di dalam vSwitch tersebut.

    • Tabel rute IPv4 gateway: Tabel rute IPv4 gateway harus berisi entri yang mengarahkan traffic yang ditujukan ke server aplikasi ke GWLBe.

      Di halaman detail tabel rute, di bawah tab Route Entry List > System Route, temukan entri rute sistem target. Di kolom Operations, klik Modify. Di kotak dialog Modify Route Entry, konfigurasikan sebagai berikut, lalu klik OK.

      Setelah dikonfigurasi, entri rute ini muncul di bawah tab Custom Route.

      Konfigurasi

      Entri rute sistem dengan blok CIDR tujuan 192.168.1.0/24

      Entri rute sistem dengan blok CIDR tujuan 192.168.2.0/24

      Next Hop Type

      Pilih GWLB Endpoint.

      GWLB Endpoint

      Pilih GWLBe_01 yang ada di zona B.

      Pilih GWLBe_02 yang ada di zona C.

    • Tabel rute subnet bisnis: Tabel rute subnet bisnis harus berisi entri yang mengarahkan seluruh traffic dari server aplikasi ke GWLBe.

      Di halaman detail tabel rute untuk subnet bisnis di Zona B dan Zona C Ulanqab, buka tab Route Entry List > Custom Route dan klik Add Route Entry. Di kotak dialog Add Route Entry, konfigurasikan sebagai berikut, lalu klik OK.

      Pengaturan

      Tabel rute subnet bisnis B

      Tabel rute subnet bisnis C

      Destination CIDR Block

      0.0.0.0/0

      Next Hop Type

      Pilih GWLB Endpoint.

      GWLB Endpoint

      Pilih GWLBe_01 di Zona B.

      Pilih GWLBe_02 yang telah Anda buat di Zona C Ulanqab.

    • Tabel rute subnet GWLBe: Tabel rute subnet GWLBe harus mengarahkan traffic balasan yang telah diperiksa ke tujuan akhirnya. Untuk traffic yang berasal dari Internet, rute lokal memastikan pengiriman ke server aplikasi. Untuk traffic dari server aplikasi, tambahkan rute yang mengirim seluruh traffic ke IPv4 gateway.

      Di halaman detail tabel rute untuk subnet GWLBe di Zona B dan Zona C Ulanqab, buka tab Route Entry List > Custom Route dan klik Add Route Entry. Di kotak dialog Add Route Entry, konfigurasikan sebagai berikut, lalu klik OK.

      Pengaturan

      Tabel rute subnet GWLBe

      Destination CIDR Block

      0.0.0.0/0

      Next Hop Type

      Pilih IPv4 Gateway.

      IPv4 Gateway

      Pilih IPv4 gateway yang telah Anda buat.

Referensi konfigurasi routing: Entri rute untuk tabel rute IPv4 gateway, tabel rute subnet bisnis, dan tabel rute subnet GWLBe (hanya menampilkan entri rute kustom)

  • Konfigurasi tabel rute IPv4 gateway

    Destination CIDR Block

    Next hop

    Jenis entri rute

    192.168.1.0/24

    Gateway Load Balancer endpoint (GWLBe_01)

    Entri rute kustom

    192.168.2.0/24

    Gateway Load Balancer endpoint (GWLBe_02)

    Entri rute kustom

  • Konfigurasi tabel rute subnet bisnis

    Jenis subnet

    Destination CIDR Block

    Next hop

    Jenis entri rute

    Subnet bisnis B

    0.0.0.0/0

    Gateway Load Balancer endpoint (GWLBe_01)

    Entri rute kustom

    Subnet bisnis C

    0.0.0.0/0

    Gateway Load Balancer endpoint (GWLBe_02)

    Entri rute kustom

  • Konfigurasi tabel rute subnet GWLBe

    Jenis subnet

    Destination CIDR Block

    Next hop

    Jenis entri rute

    Subnet GWLBe B

    0.0.0.0/0

    IPv4 gateway

    Entri rute kustom

    Subnet GWLBe C

    0.0.0.0/0

    IPv4 gateway

    Entri rute kustom

Langkah 5: Pengujian verifikasi

Login ke server perangkat keamanan dan tangkap semua paket pada port 6081 dengan menjalankan perintah berikut:

tcpdump -i any port 6081

Output menunjukkan paket permintaan dan respons dari instance ECS server aplikasi, yang mengonfirmasi bahwa GWLB berhasil mengarahkan traffic ke network virtual appliance untuk inspeksi keamanan.

Uji konektivitas traffic inbound

  1. Dari klien mana pun yang memiliki akses Internet, jalankan curl http://<EIP yang diikat ke server aplikasi ECS_B_01> dan curl http://<EIP yang diikat ke server aplikasi ECS_C_01> untuk memverifikasi akses aplikasi normal.

    C:\Users\Administrator>curl http://8.xxx.56/
    Hello World ! This is ECS_C_01.
    C:\Users\Administrator>curl http://8.xxx.130/
    Hello World ! This is ECS_B_01.
  2. Di instance ECS backend GWLB mana pun, buka jendela command line dan jalankan tcpdump -i any port 6081 untuk menangkap semua paket pada port 6081.

    Jika output menunjukkan traffic yang dienkapsulasi Geneve dengan paket dalam seperti IP <IP publik klien>.xxxxx > <IP privat ECS aplikasi>.http ..., maka GWLB telah berhasil mendistribusikan traffic eksternal ke perangkat keamanan untuk diproses.

    10:24:36.525075 IP 10.0.1.41.56736 > iZ0jlgs5xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [SEW], seq 2485172945, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    10:24:36.525098 IP iZ0jlgsxxx .56736 > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [SEW], seq 2485172945, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    10:24:36.526547 IP 10.0.1.41.56736 > iZ0jlgs5xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153.http > 47.83.xxx.59927: Flags [S,E], seq 3488689686, ack 2485172946, win 59220, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
    10:24:36.526549 IP iZ0jlgxxx .56736 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153.http > 47.83.xxx.59927: Flags [S,E], seq 3488689686, ack 2485172946, win 59220, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
    10:24:36.572545 IP 10.0.1.41.56736 > iZ0jlgxxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [.], ack 1, win 255, length 0
    10:24:36.572551 IP iZ0jlgs4u5xxx .56736 > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [.], ack 1, win 255, length 0
    10:24:36.572552 IP 10.0.1.41.56736 > iZ0jlgs5xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [P.], seq 1:77, ack 1, win 255, length 76: HTTP: GET / HTTP/1.1
    10:24:36.572554 IP iZ0xxx .56736 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [P.], seq 1:77, ack 1, win 255, length 76: HTTP: GET / HTTP/1.1
    10:24:36.622282 IP 10.0.1.41.56736 > iZ0jlgsxxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [F.], seq 77, ack 269, win 254, length 0
    10:24:36.622288 IP iZ0jlgs4uxxx .56736 > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 47.83.xxx.59927 > 192.168.1.153.http: Flags [F.], seq 77, ack 269, win 254, length 0
    10:24:36.623401 IP 10.0.1.41.56736 > iZ0jlgs5xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153.http > 47.83.xxx.59927: Flags [F.], seq 269, ack 78, win 463, length 0
    10:24:36.623481 IP iZ0jlgs4uxxx .56736 > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153.http > 47.83.xxx.59927: Flags [F.], seq 269, ack 78, win 463, length 0

Uji konektivitas lalu lintas keluar

  1. Login ke server aplikasi mana pun dan jalankan ping www.aliyun.com untuk memverifikasi akses Internet normal.

    [root@iZ0jl xxx xxx ~]# ping www.aliyun.com
    PING www.aliyun.com.w.cdngslb.com (124.238.xxx.xxx) 56(84) bytes of data.
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=1 ttl=51 time=17.3 ms
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=2 ttl=51 time=15.1 ms
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=3 ttl=51 time=15.1 ms
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=4 ttl=51 time=14.5 ms
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=5 ttl=51 time=14.4 ms
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=6 ttl=51 time=14.4 ms
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=7 ttl=51 time=14.4 ms
    64 bytes from 124.238.xxx.xxx (124.238.xxx.xxx): icmp_seq=8 ttl=51 time=14.4 ms
  2. Di instance ECS backend GWLB mana pun, buka jendela command line dan jalankan tcpdump -i any port 6081 untuk menangkap semua paket pada port 6081.

    Output menunjukkan paket permintaan dan respons dari instance ECS server aplikasi, yang mengonfirmasi bahwa traffic outbound dari server aplikasi melewati network virtual appliance backend GWLB untuk inspeksi dan transmisi langsung.

    10:15:18.247012 IP 10.0.1.41.32236 > iZ0jlgs xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153 > 124.238.xxx          : ICMP echo request, id 9, seq 8, length 64
    10:15:18.247028 IP iZ0jlgs xxx > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153 > 124.238.xxx          : ICMP echo request, id 9, seq 8, length 64
    10:15:18.261183 IP 10.0.1.41.32236 > iZ0jlgs xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 124.238.xxx    > 192.168.1.153: ICMP echo reply, id 9, seq 8, length 64
    10:15:18.261192 IP iZ0jlgs xxx.32236 > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 124.238.xxx    > 192.168.1.153: ICMP echo reply, id 9, seq 8, length 64
    10:15:19.248397 IP 10.0.1.41.32236 > iZ0jlgs xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153 > 124.238.xxx          : ICMP echo request, id 9, seq 9, length 64
    10:15:19.248419 IP iZ0jlg xxx.32236 > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 192.168.1.153 > 124.238.xxx          : ICMP echo reply, id 9, seq 9, length 64
    10:15:19.262605 IP 10.0.1.41.32236 > iZ0jlg xxx.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 124.238.xxx    > 192.168.1.153: ICMP echo request, id 9, seq 9, length 64
    10:15:19.262613 IP iZ0jlg xxx.32236 > 10.0.1.41.geneve: Geneve, Flags [none], vni 0x0, options [32 bytes]: IP 124.238.xxx    > 192.168.1.153: ICMP echo reply, id 9, seq 9, length 64

Referensi

  • Ikhtisar penagihan GWLB: GWLB menggunakan harga bayar sesuai penggunaan. Biaya mencakup biaya instans GWLB dan biaya LCU.

  • Penagihan PrivateLink: GWLB memerlukan GWLBe untuk mengirimkan layanan. GWLBe diberi harga dan ditagih secara independen oleh layanan PrivateLink.

  • Saat menerapkan GWLB, aktifkan fitur-fitur berikut:

    • Pemeriksaan kesehatan GWLB: Mendeteksi ketersediaan network virtual appliance backend. Jika perangkat gagal, permintaan baru secara otomatis diarahkan ke perangkat backend yang sehat.

    • Connection draining: Menangani koneksi yang ada secara lancar saat menghapus network virtual appliance backend.

    • Rebalance existing traffic: Saat network virtual appliance backend gagal atau dihapus, GWLB mengalihkan ulang traffic yang ada ke perangkat backend yang sehat untuk mencegah gangguan layanan.

  • Untuk informasi lebih lanjut tentang PrivateLink dan IPv4 gateway: