Virtual Private Cloud：FAQ VPC

Bagaimana cara saya menghubungkan VPC yang berbeda untuk mengizinkan akses sumber daya di antara mereka?

Anda dapat menggunakan koneksi peering VPC atau Cloud Enterprise Network (CEN) untuk menghubungkan VPC yang berada di akun dan wilayah yang sama atau berbeda. Untuk perbandingan kedua metode tersebut, lihat Interkoneksi VPC.

Bagaimana cara saya mendiagnosis kegagalan koneksi peering VPC?

Gunakan metode pemecahan masalah berikut. Anda juga dapat memanfaatkan alat Network Intelligence Service - Path Analysis untuk membantu mendiagnosis masalah ini.

1. Periksa rute:

   • Pastikan bahwa koneksi peering VPC berada dalam status Aktif.

   • Periksa tabel rute dari vSwitch di kedua VPC. Pastikan bahwa rute menunjuk ke blok CIDR dari VPC peer dan hop berikutnya dari rute adalah koneksi peering VPC.

2. Periksa grup keamanan dan ACL jaringan:

   • Periksa aturan grup keamanan dan aturan ACL jaringan untuk instance ECS sumber dan tujuan, serta layanan seperti RDS.

   • Pastikan bahwa aturan masuk dari grup keamanan dan ACL jaringan untuk instance tujuan mengizinkan lalu lintas dari blok CIDR atau alamat IP spesifik dari VPC sumber untuk mengakses port layanan yang diperlukan.

   • Pastikan bahwa aturan keluar dari grup keamanan dan ACL jaringan untuk instance sumber tidak memblokir lalu lintas keluar.

3. Periksa konflik blok CIDR:

   • Periksa apakah blok CIDR dari dua VPC tumpang tindih. Saat menggunakan koneksi peering VPC, pastikan bahwa blok CIDR dari dua VPC tidak tumpang tindih.

   • Periksa apakah blok CIDR dari kontainer Docker atau Kubernetes (K8s) pada instance ECS bertentangan dengan blok CIDR dari VPC peer. Ini adalah penyebab umum tetapi sering diabaikan dari kegagalan koneksi. Jika ada konflik, koneksi jaringan gagal meskipun rute, grup keamanan, dan ACL jaringan dikonfigurasi dengan benar.

Bagaimana cara saya menyelesaikan konflik blok CIDR saat mengonfigurasi koneksi peering VPC?

Jika blok CIDR dari dua VPC yang perlu berkomunikasi satu sama lain tumpang tindih, pilih salah satu solusi berikut:

1. Rencanakan ulang jaringan (direkomendasikan): Migrasikan sumber daya di salah satu VPC ke VPC baru yang blok CIDR-nya tidak tumpang tindih dengan VPC lainnya. Ini adalah solusi yang paling komprehensif.

2. Gunakan Cloud Enterprise Network (CEN) dan gateway NAT VPC: Untuk skenario yang lebih kompleks yang melibatkan blok CIDR yang tumpang tindih, Anda dapat menggunakan CEN bersamaan dengan fitur NAT privat dari gateway NAT VPC untuk memetakan alamat IP dari satu VPC ke rentang alamat yang berbeda untuk mengaktifkan komunikasi. Solusi ini memiliki arsitektur yang lebih kompleks dan lebih mahal. Untuk informasi lebih lanjut, lihat Aktifkan akses jaringan privat untuk VPC dengan blok CIDR yang tumpang tindih menggunakan gateway NAT VPC.

Setelah saya membuat koneksi peering VPC, beberapa alamat IP tidak dapat diakses. Bagaimana cara saya mendiagnosis masalah ini?

Masalah ini biasanya disebabkan oleh rute yang lebih spesifik atau aturan grup keamanan.

• Masalah rute: Periksa tabel rute dari kedua VPC. Periksa apakah rute yang lebih spesifik dengan prioritas lebih tinggi (berdasarkan aturan pencocokan awalan terpanjang) mengarahkan lalu lintas ke tujuan lain, seperti Gateway NAT yang ditentukan dalam rute default.

• Masalah grup keamanan: Periksa aturan masuk dari grup keamanan untuk instance tujuan untuk menentukan apakah akses hanya diizinkan dari beberapa alamat IP sumber.

• Masalah ACL jaringan: Periksa apakah ACL jaringan mengizinkan lalu lintas hanya dari beberapa subnet.

Mengapa VPC peminta bisa melakukan ping ke VPC penerima, tetapi tidak sebaliknya?

Konektivitas satu arah umumnya disebabkan oleh konfigurasi asimetris. Periksa aturan grup keamanan dan ACL jaringan untuk instance ECS di kedua VPC guna memastikan bahwa lalu lintas keluar dan masuk diizinkan.

Saya membuat koneksi peering VPC antara VPC A dan VPC B, dan antara VPC B dan VPC C. Mengapa VPC A dan VPC C tidak bisa berkomunikasi?

Koneksi peering VPC bersifat tidak transitif.

Artinya, jika koneksi peering dibuat antara VPC A dan VPC B, serta koneksi peering lain dibuat antara VPC B dan VPC C, VPC A dan VPC C tidak dapat berkomunikasi satu sama lain melalui VPC B.

Untuk mencapai konektivitas penuh antara beberapa VPC, seperti membangun topologi jaringan bintang atau mesh, gunakan produk Cloud Enterprise Network (CEN).

Koneksi peering VPC telah dibuat. Mengapa saya tidak bisa mengakses layanan cloud seperti RDS dan Redis di VPC peer?

Masalah ini serupa dengan kegagalan koneksi instance ECS. Namun, saat mendiagnosis masalah ini, Anda juga perlu memeriksa pengaturan kontrol akses dari layanan cloud tersebut.

1. Lakukan pemeriksaan konektivitas dasar: Ikuti daftar periksa dalam Bagaimana cara mendiagnosis kegagalan koneksi peering VPC? untuk memeriksa konfigurasi rute, segmen jaringan, grup keamanan, dan ACL jaringan, serta memastikan bahwa tautan jaringan telah terbentuk.

2. Periksa daftar putih alamat IP dari layanan cloud: Sebagian besar layanan basis data dan cache, seperti RDS, Redis, dan MongoDB, menyediakan fitur daftar putih alamat IP. Tambahkan alamat IP privat atau blok CIDR dari instance ECS sumber ke daftar putih alamat IP dari layanan cloud tujuan.

Apakah koneksi peering VPC mendukung skenario lintas akun dan lintas wilayah?

Ya, mendukung. Perhatikan bahwa saat menggunakan koneksi lintas wilayah, Cloud Data Transfer (CDT) menagih biaya transfer data untuk lalu lintas keluar.

Catatan: Koneksi lintas situs tidak didukung. Misalnya, VPC di situs China (aliyun.com) dan situs internasional (alibabacloud.com) tidak dapat berkomunikasi satu sama lain.

Mengapa saya tidak bisa mengakses Internet setelah saya menghapus gateway IPv4?

Penyebab paling umum adalah Anda memilih Mode Privat alih-alih Mode Publik saat menghapus gateway IPv4. Jika Anda menghapus gateway IPv4 dalam mode privat, semua sumber daya di VPC tidak dapat berkomunikasi dengan Internet.

Untuk mengembalikan VPC agar dapat mengakses internet tanpa gateway IPv4, buat ulang gateway IPv4, lalu hapus dan pilih mode publik. Untuk informasi lebih lanjut, lihat Gateway IPv4.

Dapatkah instance ECS dalam blok CIDR utama dari VPC berkomunikasi dengan instance ECS dalam blok CIDR sekunder dari VPC yang sama?

Ya, mereka dapat. Instance ECS dalam blok CIDR utama dan sekunder semuanya merupakan bagian dari VPC yang sama. Mereka dapat berkomunikasi satu sama lain jika aturan grup keamanan dan ACL jaringan mengizinkan lalu lintas.

Setelah saya mengaktifkan ClassicLink untuk VPC, dapatkah instance ECS jaringan klasik berkomunikasi dengan sumber daya cloud dalam blok CIDR sekunder VPC?

Tidak, mereka tidak dapat. Blok CIDR sekunder tidak kompatibel dengan fitur ClassicLink.

Mengapa VIP gagal failover setelah dikaitkan dengan HaVip?

Masalah paling umum dengan konfigurasi alamat IP virtual dengan ketersediaan tinggi (HaVip) adalah bahwa alamat IP virtual (VIP) gagal secara otomatis failover ke node sekunder setelah node utama gagal. Penyebab yang mungkin adalah sebagai berikut:

• Layanan Keepalived tidak dimulai: Misalnya, pada CentOS 7.9, jalankan perintah systemctl status keepalived untuk memeriksa status layanan. Jika layanan tidak dimulai, jalankan perintah systemctl start keepalived untuk memulai Keepalived.

• Konfigurasi Keepalived tidak valid: Periksa apakah file keepalived.conf dikonfigurasi dengan benar. Contohnya:

  • virtual_router_id pada node utama berbeda dengan node sekunder.

  • Pengaturan otentikasi untuk node utama dan sekunder berbeda.

  • Alamat IP peer yang ditentukan dalam unicast_peer tidak valid.

  • Alamat IP virtual yang ditentukan dalam virtual_ipaddress bukan HaVip.

• Diblokir oleh grup keamanan atau ACL jaringan: Periksa apakah aturan grup keamanan atau ACL jaringan memblokir lalu lintas dari alamat IP sumber.

• Firewall tingkat instance: Periksa apakah firewall pada instance ECS, seperti firewalld atau iptables, memblokir lalu lintas dari alamat IP sumber.

Mengapa koneksi jaringan masih mati setelah saya menambahkan rute?

Mengonfigurasi rute yang benar hanya salah satu prasyarat untuk konektivitas jaringan. Jika koneksi gagal, lakukan langkah-langkah berikut untuk mendiagnosis masalah tersebut:

1. Pemeriksaan rute dua arah: Pastikan bahwa rute dikonfigurasi dengan benar untuk lalu lintas permintaan dan respons. Misalnya, untuk koneksi peering VPC, Anda harus mengonfigurasi rute untuk kedua VPC.

2. Aturan grup keamanan: Periksa grup keamanan dari instance ECS sumber dan tujuan untuk memastikan bahwa lalu lintas protokol dan port yang diperlukan diizinkan. Sebagai contoh, perintah ping memerlukan protokol ICMP untuk diizinkan.

3. Aturan ACL jaringan: Jika Anda mengonfigurasi ACL jaringan, periksa aturan keluar dan masuknya untuk memastikan bahwa lalu lintas yang relevan diizinkan.

4. Firewall tingkat instance ECS: Periksa apakah firewall pada sistem operasi instance ECS, seperti iptables atau firewalld di Linux atau Windows Firewall, memblokir lalu lintas.

5. Konflik blok CIDR: Periksa konflik alamat jaringan. Misalnya, periksa apakah blok CIDR Docker pada instance ECS bertentangan dengan blok CIDR dari VPC peer.

6. Anda dapat menggunakan alat Network Intelligence Service - Path Analysis di konsol untuk mendiagnosis secara visual konektivitas jaringan antara dua titik.

Apa yang harus saya lakukan jika instance ECS tidak dapat mengakses Internet setelah EIP terpasang?

Lakukan langkah-langkah berikut untuk memeriksa:

1. Gateway IPv4 dan Tabel Rute VPC: Jika Gateway IPv4 diaktifkan untuk VPC, periksa tabel rute vSwitch tempat instance ECS berada. Pastikan bahwa rute default (0.0.0.0/0) menunjuk ke Gateway IPv4.

2. Aturan Grup Keamanan: Periksa aturan keluar dari grup keamanan tempat instance ECS berada. Secara default, semua lalu lintas keluar diizinkan (0.0.0.0/0). Pastikan akses keluar tidak dibatasi secara tidak sengaja.

3. Aturan ACL jaringan: Jika Anda mengonfigurasi ACL jaringan untuk vSwitch, periksa aturan keluarannya untuk memastikan bahwa lalu lintas keluar diizinkan.

4. Pembayaran tertunda: Periksa apakah Akun Alibaba Cloud Anda memiliki pembayaran tertunda. Pembayaran tertunda dapat menyebabkan EIP menjadi tidak tersedia.

5. Konfigurasi jaringan tingkat instance ECS: Pastikan bahwa pengaturan jaringan pada sistem operasi instance ECS, seperti gateway dan DNS, benar. Pengaturan ini biasanya diperoleh secara otomatis melalui DHCP.

Mengapa instance ECS dalam VPC tidak memiliki alamat IP publik?

VPC dirancang untuk isolasi jaringan dan keamanan. Secara default, instance ECS yang dibuat dalam VPC hanya diberi alamat IP privat untuk komunikasi internal. Instance tersebut tidak dapat mengakses Internet. Ini adalah fitur keamanan inti dari VPC.

Jika Anda memerlukan instance untuk mengakses Internet, Anda harus secara eksplisit mengonfigurasi kemampuan ini dengan melampirkan EIP atau mengonfigurasi Gateway NAT. Untuk informasi lebih lanjut, lihat Akses Internet.

Apakah VPC mendukung multicast?

VPC tidak mendukung secara asli kemampuan multicast. Namun, Anda dapat menggunakan VPC bersamaan dengan produk Cloud Enterprise Network (CEN) untuk mengimplementasikan manajemen multicast.

Bagaimana cara saya menggunakan blok CIDR publik untuk komunikasi privat dalam VPC?

Beberapa perusahaan menggunakan blok CIDR publik, seperti 30.0.0.0/16, untuk komunikasi privat di pusat data lokal mereka atau VPC. Blok CIDR ini tidak didefinisikan sebagai privat dalam RFC 1918. Saat Anda menghubungkan VPC ke VPC lain atau pusat data lokal, VPC menganggap alamat IP di luar blok CIDR yang didefinisikan dalam RFC 1918 sebagai alamat IP publik. Setelah Anda mengaktifkan akses Internet untuk sumber daya cloud di VPC, lalu lintas yang ditujukan untuk 30.0.0.0/16 pertama kali dirutekan ke Internet, meskipun Anda mengonfigurasi rute yang mengarahkan lalu lintas ke pusat data lokal atau VPC peer. Akibatnya, Anda tidak dapat mengakses VPC tujuan atau pusat data lokal.

Anda dapat menggunakan salah satu metode berikut untuk menggunakan blok CIDR publik untuk komunikasi privat:

• Metode 1: Gunakan gateway IPv4.

  Anda dapat menggunakan gateway IPv4 untuk mengontrol secara terpusat perilaku akses Internet dari VPC. Saat Anda mengakses 30.0.0.0/16, lalu lintas diprioritaskan dirutekan ke VPC lain atau pusat data lokal. Untuk informasi lebih lanjut, lihat Gunakan gateway IPv4 untuk mengaktifkan penggunaan privat alamat IP publik.

• Metode 2: Gunakan blok CIDR pengguna.

  Jika Anda ingin permintaan ke 30.0.0.0/16 diteruskan berdasarkan tabel rute alih-alih langsung diteruskan ke Internet, Anda dapat memanggil operasi CreateVpc dan tentukan parameter UserCidr untuk menentukan blok CIDR pengguna untukVPC saat pembuatan. Setelah menentukan blok CIDR pengguna, permintaan dari VPC ke alamat dalam blok CIDR pengguna akan diteruskan berdasarkan tabel rute.

  1. Anda hanya dapat menentukan blok CIDR pengguna melalui API. Anda tidak dapat menentukannya di konsol. Setelah blok CIDR pengguna dibuat, itu tidak dapat dimodifikasi.

  2. Saat hanya menentukan blok CIDR IPv4 untuk VPC, jika Anda memilih blok CIDR kustom yang bukan blok CIDR privat standar yang didefinisikan dalam RFC 1918 (192.168.0.0/16, 172.16.0.0/12, atau 10.0.0.0/8) atau subnet dari blok CIDR ini, sistem secara default menetapkan blok CIDR utama sebagai blok CIDR pengguna.

Apa perbedaan antara VPC dan jaringan klasik?

Jaringan klasik adalah jenis jaringan sebelumnya yang disediakan oleh Alibaba Cloud. Secara default, jaringan klasik tidak dapat berkomunikasi dengan VPC. Jenis jaringan ini sedang dihentikan dan tidak lagi direkomendasikan. Semua sumber daya baru harus ditempatkan di VPC.

Bagaimana cara saya menghubungkan VPC ke jaringan klasik?

Untuk informasi lebih lanjut, lihat Gunakan ClassicLink untuk menghubungkan jaringan klasik dan VPC.

Bagaimana cara saya menghubungkan VPC Alibaba Cloud ke pusat data lokal? Bagaimana cara saya menghubungkan VPC Alibaba Cloud ke VPC AWS atau Tencent Cloud?

Untuk informasi lebih lanjut, lihat Menghubungkan VPC ke pusat data lokal atau cloud lain.

Dapatkah VPC berkomunikasi dengan VPC lain atau jaringan lokal jika blok CIDR mereka tumpang tindih?

Untuk informasi lebih lanjut, lihat:

• Gunakan gateway NAT VPC untuk mengimplementasikan akses jaringan privat saat terjadi konflik alamat VPC.

• Gunakan gateway NAT VPC dan sirkuit Express Connect untuk mengaktifkan komunikasi antara IDC lokal dan cloud.

• Gunakan gateway NAT VPC dengan Gateway VPN untuk mengaktifkan komunikasi privat antara lingkungan cloud dan lokal.

Bagaimana cara saya mengaktifkan instance ECS untuk mengakses Internet? Bagaimana cara saya mengaktifkan instance ECS untuk mengakses Internet menggunakan alamat IPv6?

Untuk informasi lebih lanjut, lihat Pilih tipe alamat IP publik.

Bagaimana cara saya menggunakan alamat IP publik yang sama untuk beberapa instance ECS untuk mengakses Internet?

Untuk informasi lebih lanjut, lihat:

• Gunakan Gateway NAT untuk menyatukan egress lalu lintas Internet.

• Gunakan koneksi peering VPC untuk mengaktifkan beberapa VPC berbagi Gateway NAT Internet.

• Gunakan TransitRouter untuk mengaktifkan beberapa VPC berbagi Gateway NAT.

Apa perbedaan antara gateway IPv4 dan Gateway NAT Internet?

Gateway IPv4 dan Gateway NAT Internet menyediakan fitur yang berbeda dan dapat digunakan bersamaan. Untuk informasi lebih lanjut tentang hubungan antara komponen jaringan ini, lihat Akses Internet.

Bagaimana cara saya beralih antara alamat IP publik dan alamat IP privat?

Instance ECS yang dilampirkan dengan EIP memiliki alamat IP publik dan alamat IP privat. Anda tidak perlu secara manual beralih di antara keduanya.

• Komunikasi internal dalam VPC: Saat instance ECS lain dalam VPC mengakses instance ECS ini, mereka harus selalu menggunakan alamat IP privatnya. Lalu lintas ditransmisikan sepenuhnya dalam VPC, yang cepat dan bebas biaya.

• Akses Internet: Saat pengguna atau perangkat lain di Internet mengakses instance ECS ini, atau saat instance ECS ini secara aktif mengakses Internet, alamat IP publiknya (EIP) harus digunakan.

Bagaimana cara saya mengaktifkan instance ECS untuk mengakses OSS melalui jaringan internal menggunakan VPC?

Untuk informasi lebih lanjut, lihat Akses privat ke layanan Alibaba Cloud dari VPC.

Bagaimana cara saya mengizinkan hanya alamat IP tertentu untuk mengakses instance ECS? Apa perbedaan antara ACL jaringan dan grup keamanan?

Untuk informasi lebih lanjut, lihat Manajemen Akses Sumber Daya.

Bagaimana cara saya mengaktifkan komunikasi antara grup keamanan yang berbeda?

Anda dapat menggunakan grup keamanan dasar sebagai objek otorisasi. Namun, fitur ini tidak didukung oleh grup keamanan perusahaan. Untuk informasi lebih lanjut, lihat Gunakan grup keamanan sebagai objek otorisasi.

Saat mengonfigurasi aturan masuk atau keluar untuk grup keamanan dasar, Anda dapat langsung menetapkan sumber atau tujuan ke grup keamanan dasar lainnya. Metode ini lebih fleksibel daripada mengotorisasi blok CIDR. Jika Anda menambahkan instance ECS baru ke grup keamanan atau alamat IP dari instance tersebut berubah di masa mendatang, Anda tidak perlu memodifikasi aturan grup keamanan. Instance baru secara otomatis memiliki hak akses yang diperlukan.

Bagaimana cara saya mendiagnosis aturan grup keamanan yang tidak berlaku?

1. Prioritas aturan: Periksa apakah aturan tersebut bertentangan dengan aturan lain yang memiliki prioritas lebih tinggi.

2. Arah yang salah: Periksa apakah aturan dikonfigurasi untuk lalu lintas masuk atau keluar. Mengakses instance ECS adalah lalu lintas masuk. Instance ECS yang mengakses sumber daya eksternal adalah lalu lintas keluar.

3. Objek salah: Pastikan bahwa grup keamanan diterapkan dengan benar pada ENI dari instance ECS tujuan.

4. Diblokir oleh ACL jaringan: Periksa apakah ACL jaringan terkait dengan vSwitch tempat instance ECS milik dan apakah aturan ACL jaringan tersebut menolak lalu lintas.

5. Firewall tingkat instance: Periksa pengaturan firewall pada sistem operasi.

6. Masalah rute: Pastikan bahwa lalu lintas dapat dirutekan dengan benar ke instance ECS.

Bagaimana cara saya memigrasikan instance ECS ke VPC lain?

Untuk informasi lebih lanjut, lihat Ubah VPC untuk instance ECS.

Dapatkah saya menentukan server DNS kustom dalam VPC?

Ya, Anda dapat. Anda dapat menggunakan fitur set opsi DHCP untuk mengubah konfigurasi server DNS default untuk VPC Anda ke server DNS yang dikelola sendiri pada instance ECS, server DNS di pusat data Anda, atau layanan DNS publik pihak ketiga. Pastikan bahwa server yang ditentukan dapat dijangkau dari VPC. Untuk informasi lebih lanjut, lihat Gunakan layanan DNS yang dikelola sendiri.

Dapatkah koneksi peering VPC menghubungkan VPC yang termasuk dalam akun di situs China dan situs internasional?

Tidak, tidak dapat.

Karena persyaratan kepatuhan, koneksi peering VPC tidak dapat dibuat antara VPC yang termasuk dalam akun di situs China (aliyun.com) dan situs internasional (alibabacloud.com).

Apakah koneksi peering VPC mendukung komunikasi jaringan privat lintas batas?

Didukung.

Untuk koneksi peering lintas batas, Cloud Data Transfer (CDT) menagih biaya transfer data berdasarkan lalu lintas keluar. Untuk menggunakan fitur lintas batas CDT, Anda harus mengajukan kualifikasi perusahaan melalui halaman Leased Line Cloud Lintas Batas. Leased line lintas batas disediakan oleh China Unicom.

Berapa latensi jaringan dari koneksi peering VPC?

• Koneksi peering intra-wilayah: Latensi jaringan rendah, biasanya dalam rentang milidetik.

• Koneksi peering lintas wilayah: Latensi jaringan relatif tinggi karena jenis koneksi ini melibatkan transmisi data antar wilayah. Latensi spesifik tergantung pada jarak fisik dan kondisi jaringan antara dua wilayah. Anda dapat menggunakan Alat Pemantauan Kinerja Inter-Akses Jaringan Cloud untuk melihat latensi jaringan rata-rata antar wilayah dan memilih tipe tautan yang lebih sesuai untuk bisnis Anda.

Apa itu CIDR?

Classless Inter-Domain Routing (CIDR) adalah metode untuk mengalokasikan alamat IP dan menggabungkan rute. Ini meningkatkan efisiensi manajemen jaringan dan menyederhanakan tabel rute.

CIDR menggunakan notasi garis miring, seperti 192.168.1.0/24:

• Bagian sebelum garis miring adalah alamat jaringan, yaitu alamat IP pertama dalam rentang.

• Angka setelah garis miring adalah panjang awalan. Ini menunjukkan jumlah 1 berturut-turut di subnet mask. Bit yang tersisa digunakan untuk alamat host.

Blok CIDR adalah kumpulan alamat IP yang berbagi awalan jaringan yang sama dan jumlah bit yang sama. Blok CIDR besar dapat dibagi menjadi blok CIDR yang lebih kecil dengan awalan jaringan dan jumlah bit yang berbeda. Proses ini disebut subnetting. Blok CIDR adalah dasar dari perencanaan jaringan modern. Subnetting VPC dan vSwitch didasarkan pada prinsip ini.

Contoh:

• 192.168.0.0/16: 16 bit pertama untuk jaringan, dan 16 bit terakhir untuk host, yang mencakup 2¹⁶ alamat IP. Blok CIDR ini mencakup 192.168.1.0/24 dan 192.168.2.0/26.

• 10.0.0.0/8: 8 bit pertama untuk jaringan, dan 24 bit terakhir untuk host, yang mencakup 2²⁴ alamat IP. Blok CIDR ini mencakup 10.1.0.0/16 dan 10.2.0.0/24.

• 172.16.0.0/12: 12 bit pertama untuk jaringan, dan 20 bit terakhir untuk host, yang mencakup 2²⁰ alamat IP. Blok CIDR ini mencakup 172.17.0.0/16 dan 172.18.0.0/24.

Saat membuat VPC dan vSwitch, Anda perlu menentukan segmen jaringan mereka dalam bentuk blok CIDR. Perhatikan bahwa jumlah alamat IP yang tersedia sebenarnya lebih sedikit daripada nilai teoritis karena beberapa alamat IP dalam vSwitch direservasi oleh sistem.

Bagaimana cara saya memodifikasi blok CIDR dari VPC?

• Atur ulang blok CIDR utama:

  Blok CIDR IPv4 yang Anda tentukan saat membuat VPC adalah blok CIDR utamanya. Anda tidak dapat memodifikasi blok CIDR utama VPC di konsol. Namun, Anda dapat memanggil operasi ModifyVpcAttribute dan memodifikasi parameter CidrBlock untuk memperluas atau mempersempit blok CIDR utama. Jika Anda mempersempit blok CIDR, pastikan bahwa blok baru mencakup semua alamat IP yang sedang digunakan.

  Blok CIDR IPv6 yang ditetapkan setelah Anda mengaktifkan IPv6 untuk VPC tidak dapat dimodifikasi.

• Gunakan blok CIDR sekunder: Anda dapat menggunakan blok CIDR sekunder untuk memperluas rentang alamat untuk menambahkan blok CIDR sekunder ke VPC selain blok CIDR utamanya. Blok CIDR sekunder dan blok CIDR utama aktif pada saat yang sama dan dapat digunakan untuk membuat sumber daya seperti vSwitch dan menerapkan instance ECS.

Bagaimana cara saya memodifikasi blok CIDR dari vSwitch?

Anda tidak dapat memodifikasi blok CIDR IPv4 atau IPv6 dari vSwitch setelah vSwitch tersebut dibuat.

Untuk mengubah blok CIDR dari vSwitch, Anda perlu menghapus vSwitch tersebut dan membuat yang baru dengan blok CIDR yang diinginkan. Sebelum menghapus vSwitch, lepaskan atau migrasikan semua sumber daya cloud yang terkait, seperti instance ECS, instance SLB, dan instance RDS. Operasi ini memiliki risiko tinggi. Pastikan untuk mencadangkan data Anda dan menyiapkan rencana migrasi.

Blok CIDR mana yang harus saya pilih saat membuat VPC?

Memilih blok CIDR untuk VPC merupakan langkah penting dalam perencanaan jaringan. Ikuti prinsip-prinsip berikut:

• Gunakan blok CIDR privat standar: Disarankan untuk menggunakan blok CIDR privat standar yang didefinisikan dalam RFC 1918, seperti 10.0.0.0/16, 172.16.0.0/16, dan 192.168.0.0/16. Anda tidak dapat menggunakan 100.64.0.0/10, 224.0.0.0/4, 127.0.0.0/8, atau 169.254.0.0/16 sebagai blok CIDR untuk VPC.

• Hindari konflik dengan pusat data lokal atau lingkungan jaringan lain: Jika Anda berencana menghubungkan VPC ke jaringan lokal, VPC lain, atau cloud lainnya, pastikan blok CIDR dari VPC tidak bertentangan dengan blok CIDR dari jaringan-jaringan tersebut.

• Cadangkan ruang alamat yang memadai: Estimasi jumlah alamat IP yang dibutuhkan berdasarkan skala bisnis di masa depan dan pilih blok CIDR yang cukup besar. Hal ini mencegah rekonstruksi jaringan yang kompleks akibat kekurangan alamat di kemudian hari.

• Hindari konflik dengan blok CIDR jaringan kontainer yang umum digunakan: Jika Anda berencana menggunakan Docker atau Kubernetes (K8s) dalam VPC, hindari penggunaan blok CIDR kontainer default seperti 172.17.0.0/16 untuk mencegah kegagalan komunikasi.

Bagaimana cara saya menetapkan blok CIDR IPv6 ke VPC? Bagaimana cara saya mengakses Internet menggunakan alamat IPv6?

Saat mengaktifkan IPv6 untuk virtual private cloud (VPC) dan vSwitch, sistem secara otomatis membuat gateway IPv6 dan menetapkan blok CIDR IPv6. Secara default, konfigurasi ini hanya mendukung komunikasi jaringan privat. Jika Anda memerlukan komunikasi Internet, Anda dapat mengaktifkan bandwidth Internet IPv6. Untuk informasi lebih lanjut, lihat Aktifkan/Nonaktifkan IPv6.

Dapatkah saya menetapkan hanya blok CIDR IPv6 ke VPC (IPv6 saja)?

Tidak, tidak dapat. VPC saat ini mendukung IPv4 saja dan dual-stack (IPv4 dan IPv6), tetapi tidak mendukung IPv6 saja.

Bagaimana cara saya menetapkan alamat IP privat tertentu ke instance ECS yang ada?

Untuk informasi lebih lanjut, lihat Modifikasi alamat IPv4 privat utama untuk instance ECS yang ada.

Mengapa jaringan Docker dan VPC tidak dapat berkomunikasi jika blok CIDR mereka tumpang tindih?

Ini adalah masalah tipikal dalam perencanaan jaringan cloud. Saat jaringan Docker atau pod K8s yang diterapkan pada instance ECS tumpang tindih dengan blok CIDR dari vSwitch lain dalam VPC Anda atau blok CIDR dari VPC peer dari koneksi peering, terjadi konflik rute, dan komunikasi gagal.

• Penyebab: Misalkan blok CIDR Docker default adalah 172.17.0.0/16, dan blok CIDR dari vSwitch B dalam VPC adalah 172.17.0.0/24. Saat aplikasi dalam kontainer Docker mencoba mengakses alamat IP di vSwitch B, sistem operasi instance ECS salah merutekan lalu lintas ke bridge lokal docker0 berdasarkan tabel rute lokalnya, bukan berdasarkan tabel rute VPC. Hal ini mengakibatkan kegagalan komunikasi.

• Solusi:

  1. Modifikasi konfigurasi jaringan Docker/K8s: Ubah file konfigurasi proses daemon Docker, seperti /etc/docker/daemon.json, untuk menentukan blok CIDR privat yang tidak bertentangan dengan lingkungan jaringan cloud keseluruhan, termasuk semua VPC terhubung dan pusat data lokal. Ini merupakan solusi paling mendasar.

  2. Hindari jebakan saat merencanakan blok CIDR VPC: Saat merencanakan blok CIDR untuk VPC dan vSwitch, hindari penggunaan blok CIDR yang umum digunakan oleh K8s, seperti 172.17.0.0/16 dan beberapa subnet dari 10.0.0.0/8.

Bagaimana cara saya mengonfigurasi blok CIDR dari kolam IPAM untuk mencegah konflik blok CIDR antara VPC baru dan pusat data lokal atau VPC di platform cloud lain?

1. Sebelum mengaktifkan Pengelola Alamat IP (IPAM), tinjau semua lingkungan jaringan yang perlu dihubungkan, termasuk pusat data lokal, jaringan kantor, dan cloud lainnya. Catat semua blok CIDR yang digunakan.

2. Saat menyediakan blok CIDR untuk kolam IPAM, sertakan segmen jaringan yang digunakan.

3. Cadangkan segmen alamat ini dengan membuat alokasi kustom dalam kolam IPAM.

4. Semua blok CIDR VPC baru dialokasikan oleh IPAM. Karena IPAM telah mencatat semua blok CIDR yang digunakan, blok CIDR baru yang dialokasikan tidak akan bertentangan dengan yang sudah ada.

Apakah HaVip mendukung IPv6?

Tidak, HaVip saat ini hanya mendukung IPv4.

Apa yang harus saya lakukan jika pesan menunjukkan bahwa VPC atau vSwitch tidak dapat dihapus karena sumber daya dependen?

Ikuti petunjuk di konsol untuk menghapus sumber daya dependen, kemudian hapus VPC atau vSwitch.

Anda dapat melihat sumber daya terkait pada halaman detail instance VPC di bawah Manajemen Sumber Daya atau pada halaman detail instance vSwitch di bawah Manajemen Sumber Daya Cloud.

Apa yang harus saya lakukan jika ENI tidak dapat dihapus saat saya menghapus VPC?

Elastic Network Interface (ENI) adalah jenis sumber daya umum yang dapat mencegah penghapusan VPC atau vSwitch.

• ENI utama: ENI utama dibuat bersamaan dengan instance ECS. Siklus hidupnya terikat pada instance ECS tersebut. ENI utama tidak dapat dilepas atau dihapus secara terpisah. Anda harus melepaskan instance ECS untuk menghapus ENI utamanya.

• ENI sekunder: Jika ini adalah ENI sekunder, lepaskan terlebih dahulu dari instance ECS sebelum menghapusnya.

• Dikelola oleh layanan cloud lain: Beberapa layanan cloud, seperti Application Load Balancer (ALB), Network Load Balancer (NLB), Container Service for Kubernetes (ACK), dan Function Compute (FC), secara otomatis membuat dan mengelola ENI. Untuk menghapus ENI ini, akses konsol layanan cloud terkait dan hapus instance layanan, seperti kluster ACK. Layanan tersebut akan secara otomatis menghapus ENI yang dibuatnya.

Apakah CEN dan TR secara otomatis menambahkan rute untuk blok CIDR sekunder?

Jika fitur pembelajaran rute diaktifkan untuk koneksi VPC pada Transit Router (TR), dan vSwitch dibuat dalam VPC menggunakan Blok CIDR sekunder, TR secara otomatis mempelajari rute sistem dari vSwitch tersebut.

TR hanya mendukung pembelajaran otomatis untuk rute sistem VPC. Untuk rute kustom, Anda harus secara manual mempublikasikan rute dari tabel rute VPC ke CEN atau menambahkan rute di CEN.

Apakah VPC memiliki vRouter?

Ya, setiap VPC memiliki satu dan hanya satu vRouter. Setiap vRouter dapat mempertahankan beberapa tabel rute.

Anda dapat menanyakan ID vRouter tempat tabel rute berada di halaman Konsol VPC - Tabel Rute atau menggunakan API DescribeRouteTables.

Bagaimana cara saya mengonfigurasi rute untuk koneksi peering VPC?

Setelah koneksi peering VPC dibuat dan diaktifkan, kedua VPC tidak dapat berkomunikasi satu sama lain secara default karena mereka tidak memiliki rute yang mengarahkan lalu lintas ke VPC peer melalui koneksi peering. Oleh karena itu, Anda harus menambahkan rute yang menunjuk ke koneksi peering dalam tabel rute kedua VPC.

Untuk informasi lebih lanjut, lihat Konfigurasikan rute.

Apa yang saya masukkan untuk blok CIDR tujuan dari rute?

Blok CIDR tujuan mendefinisikan alamat IP tujuan ke mana rute ini berlaku.

• Pencocokan tepat: Masukkan rentang jaringan spesifik ke mana Anda ingin mengirim paket data. Misalnya, untuk mengakses VPC peer (192.168.0.0/16), masukkan 192.168.0.0/16.

• Rute default: 0.0.0.0/0 mewakili semua alamat IPv4. Dengan mengarahkan lalu lintas yang ditujukan untuk 0.0.0.0/0 ke Gateway NAT, Anda dapat mengaktifkan instance ECS tanpa alamat IP publik dalam VPC untuk mengakses Internet melalui Gateway NAT.

Mengapa saya harus mengonfigurasi rute untuk kedua VPC peminta dan penerima dari koneksi peering?

Komunikasi jaringan bersifat dua arah. Saat mengonfigurasi rute, Anda harus mempertimbangkan tidak hanya lalu lintas permintaan tetapi juga lalu lintas respons. Jika Anda mengonfigurasi rute hanya untuk satu VPC, koneksi jaringan mungkin gagal.

Dapatkah saya menetapkan blok CIDR tujuan dari rute ke blok CIDR dari vSwitch?

Ya, tetapi ini tidak direkomendasikan.

Praktik terbaik: Saat mengonfigurasi rute untuk koneksi peering VPC atau Gateway VPN, tetapkan Blok CIDR tujuan ke seluruh Blok CIDR dari VPC peer, bukan Blok CIDR vSwitch tertentu. Ini menyederhanakan manajemen. Gunakan Blok CIDR vSwitch tertentu hanya jika Anda memiliki persyaratan kontrol akses yang sangat rinci.

Bagaimana cara saya memantau lalu lintas Internet dari VPC?

Anda dapat menggunakan fitur Log Aliran atau fitur Network Intelligence Service - Analisis Lalu Lintas pada VPC Anda untuk mengumpulkan informasi lalu lintas dari komponen Internet, seperti Gateway NAT Internet dan Gateway IPv4, guna memantau lalu lintas Internet. Untuk detail lebih lanjut, lihat Log Aliran dan Analisis Lalu Lintas.

Bagaimana cara saya melihat topologi jaringan dari VPC?

Gunakan fitur Network Intelligence Service - Topologi VPC untuk menghasilkan grafik topologi jaringan VPC.

Bagaimana VPC ditagih?

Fitur VPC berikut dikenakan biaya:

• Koneksi peering

• Log aliran

• Pemantulan Lalu Lintas

Fitur VPC berikut dalam pratinjau publik dan saat ini gratis:

• Pengelola Alamat IP (IPAM)

• Alamat IP virtual dengan ketersediaan tinggi (HaVip)

Fitur gratis:

• VPC dan vSwitch, blok CIDR sekunder, blok CIDR yang dicadangkan

• Nama host DNS, set opsi DHCP

• Tabel rute, daftar awalan

• VPC bersama

• ClassicLink, titik akhir gateway

• Gateway IPv4, ACL jaringan

Jika Anda membuat sumber daya cloud dalam VPC, Anda akan dikenakan biaya untuk sumber daya tersebut. Untuk informasi lebih lanjut, lihat dokumentasi penagihan untuk sumber daya yang sesuai.

Apakah koneksi peering VPC merupakan layanan berbayar?

• Intra-wilayah: Membuat dan menggunakan koneksi peering VPC dalam wilayah yang sama gratis. Ini berlaku baik untuk koneksi dalam akun yang sama maupun lintas akun.

• Lintas wilayah: Untuk koneksi peering VPC lintas wilayah, Cloud Data Transfer menagih biaya transfer data berdasarkan lalu lintas keluar.

Bagaimana cara saya menghentikan penagihan koneksi peering VPC untuk mengurangi biaya?

• Koneksi peering intra-wilayah gratis. Menghapusnya tidak memengaruhi biaya Anda.

• Untuk koneksi peering lintas wilayah, Anda harus menghapus instance koneksi peering untuk menghentikan pengenaan biaya transfer data.