Gateway IPv4 - Virtual Private Cloud

Secara default, sumber daya dalam virtual private cloud (VPC) yang memiliki alamat IP publik dapat mengakses Internet. Untuk mengurangi risiko keamanan dari akses Internet yang tidak dikelola, gunakan Gateway IPv4 dan konfigurasikan tabel rute untuk memusatkan semua lalu lintas terarah ke Internet. Ini mengurangi risiko keamanan yang terkait dengan akses terdesentralisasi.

Mengapa menggunakan gateway IPv4

Komponen	Akses Internet langsung (Default)	Kontrol terpusat oleh Gateway IPv4
Contoh	Sebuah Instance ECS dapat mengakses Internet menggunakan alamat IP publik statis, Elastic IP Address (EIP), atau NAT Gateway.	Lalu lintas akses Internet dikelola secara terpusat.
Skenario	Sejumlah kecil instance ECS memerlukan akses Internet yang independen dan langsung. Dirancang untuk lingkungan dengan permintaan akses Internet yang berubah-ubah.	Arsitektur jaringan besar dengan beberapa tingkat. Dirancang untuk lingkungan perusahaan dengan persyaratan keamanan jaringan dan kepatuhan yang ketat.
Kompleksitas	Sederhana dan cepat, tanpa memerlukan konfigurasi rute.	Memerlukan perencanaan jaringan dan konfigurasi rute.
Fleksibilitas	Setiap instance dikelola secara independen tanpa memengaruhi instance lainnya.	Perubahan pada tabel rute berdampak pada semua sumber daya di vSwitches terkait.
Keamanan	Keamanan sangat bergantung pada aturan grup keamanan yang dikonfigurasi untuk setiap instance individu.	Memastikan konsistensi kebijakan jaringan dan keamanan.

Bandingkan gateway IPv4 dan gateway NAT

Gateway IPv4 dan Internet NAT Gateway dapat digunakan bersama-sama. Untuk informasi lebih lanjut tentang komponen jaringan ini, lihat Akses Internet.

Komponen	Gateway IPv4	Internet NAT Gateway
Fungsi	Komponen pada batas VPC yang mengontrol lalu lintas IPv4 publik.	Perangkat terjemahan alamat jaringan di dalam VPC.
Skenario	Kontrol terpusat lalu lintas akses Internet	Menyediakan egress terpadu untuk lalu lintas terarah ke Internet.
Memberikan akses Internet	Tidak. Hanya mengontrol lalu lintas Internet.	Ya, dengan mengasosiasikan EIP (Akses Internet disediakan oleh EIP, bukan oleh Internet NAT Gateway itu sendiri.)

Setelah Anda membuat Gateway IPv4, vSwitches diklasifikasikan menjadi dua jenis:

vSwitch Publik: Sebuah vSwitch dianggap sebagai vSwitch publik jika memiliki entri rute dengan Destination CIDR Block sebesar 0.0.0.0/0 dan Next Hop yang menunjuk ke Gateway IPv4. Sumber daya dalam vSwitch ini dapat mengakses Internet jika mereka memiliki alamat IP publik.
vSwitch Pribadi: Sebuah vSwitch dianggap sebagai vSwitch pribadi jika tidak memiliki entri rute ke Gateway IPv4. Sumber daya dalam vSwitch ini tidak dapat langsung mengakses internet, meskipun diberi alamat IP publik.

Saat menggunakan Gateway IPv4 dengan Internet NAT Gateway, tempatkan Internet NAT Gateway di vSwitch publik. Instance ECS di vSwitch pribadi yang memerlukan akses Internet harus memiliki rute yang dikonfigurasi untuk menunjuk ke Internet NAT Gateway. Ini mengarahkan lalu lintas terarah ke Internet mereka ke Internet NAT Gateway, yang kemudian menggunakan IP publiknya untuk mengakses internet. Perhatikan hal berikut:

Pastikan bahwa EipBindMode dari Internet NAT gateway diatur ke NAT untuk kompatibilitas dengan Gateway IPv4.
- Internet NAT gateway yang dibuat di Konsol berada dalam mode NAT secara default. Untuk memanggil operasi CreateNatGateway, Anda harus mengatur EipBindMode ke NAT. Setelah pembuatan, panggil ModifyNatGatewayAttribute untuk mengubah EipBindMode.
- Gateway IPv4 tidak dapat dibuat jika Internet NAT Gateway yang ada memiliki EipBindMode diatur ke MULTI_BINDED.
- Jika Gateway IPv4 sudah ada, Anda tidak dapat mengaitkan EIP dengan memanggil operasi CreateNatGateway untuk membuat Internet NAT gateway dengan EipBindMode diatur ke MULTI_BINDED.
Untuk mencegah sumber daya di vSwitch pribadi kehilangan akses Internet setelah mengaktifkan Gateway IPv4, pastikan Anda mengonfigurasi rute sebelum aktivasi.

Cara kerjanya

Kontrol akses Internet menggunakan gateway IPv4

Setelah Gateway IPv4 dibuat dan diaktifkan untuk VPC, ia mengelola semua lalu lintas Internet secara terpusat. Konfigurasikan rute untuk vSwitch, menunjuk ke Gateway IPv4. Ini memungkinkan sumber daya dalam vSwitch untuk mengakses Internet. Buka halaman detail VPC untuk memastikan IPv4 Internet Access Mode diaktifkan.

Sebelum Gateway IPv4 diaktifkan, lalu lintas Internet di VPC tidak terpengaruh. Gangguan jaringan singkat mungkin terjadi selama aktivasi karena jalur lalu lintas beralih.

Hapus gateway IPv4

Untuk menghapus Gateway IPv4, Anda harus melepaskan tabel rute gateway. Di kolom Actions dari Gateway IPv4 target, klik Delete atau panggil operasi DeleteIpv4Gateway. Mode penghapusan memengaruhi bagaimana sumber daya mengakses Internet.

Mode publik: Secara otomatis menghapus semua rute yang menunjuk ke Gateway IPv4. VPC kembali ke keadaan awalnya, di mana instance dengan IP publik mendapatkan kembali akses internet.
Mode pribadi: Secara manual hapus semua rute yang menunjuk ke Gateway IPv4 terlebih dahulu sebelum menghapus Gateway IPv4. Setelah penghapusan, semua sumber daya dalam VPC kehilangan akses internet. Untuk memulihkannya, buat Gateway IPv4 baru dan hapus dalam mode publik.
Penting
Setelah Anda menghapus Gateway IPv4 dalam mode pribadi, semua sumber daya dalam VPC kehilangan akses Internet, terlepas dari apakah mereka memiliki alamat IP publik. Lanjutkan dengan hati-hati.

Kontrol terpusat akses Internet

Dalam beberapa kasus, tim bisnis mungkin memberikan IP publik ke instance ECS, melewati pengawasan pusat. Hal ini menghambat manajemen terpusat akses Internet yang efektif oleh tim operasi. Menggunakan Gateway IPv4 untuk mengontrol terpusat lalu lintas Internet membantu mengurangi risiko keamanan yang ditimbulkan oleh akses terdesentralisasi.

Konsol

Di halaman Konsol VPC - Gateway IPv4, pilih wilayah tempat VPC diterapkan, lalu klik Create IPv4 Gateway.
Buat Gateway IPv4: Pilih VPC yang memerlukan akses terpusat.
Aktifkan Gateway IPv4: Pilih tabel rute yang terkait dengan vSwitch publik. Sistem secara otomatis menambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4. Ini memungkinkan sumber daya dengan IP publik di vSwitch publik untuk mengakses Internet. Jika rute dengan blok CIDR tujuan 0.0.0.0/0 sudah ada dalam tabel rute, klik Activate Later. Secara manual ubah hop berikutnya dari rute ke Gateway IPv4 sebelum Anda mengaktifkannya. Setelah aktivasi, Gateway IPv4 mengontrol akses internet untuk VPC.
- Saat instance ECS menggunakan IP publik yang terkait dengan Internet NAT gateway untuk mengakses Internet, Anda harus menempatkan instance ECS dan Internet NAT gateway di vSwitch yang berbeda. Dalam tabel rute untuk vSwitch NAT Gateway, konfigurasikan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4. Dalam tabel rute untuk vSwitch instance ECS, konfigurasikan rute yang menunjuk ke NAT Gateway.
- Jika instance ECS menggunakan IP publik statis atau EIP terkait untuk mengakses Internet, tambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4.

API

Panggil CreateIpv4Gateway untuk membuat Gateway IPv4.
Panggil EnableVpcIpv4Gateway untuk mengaktifkan Gateway IPv4. Atur RouteTableList ke tabel rute yang terkait dengan vSwitch publik. Jika parameter ini tidak ditentukan, Anda harus memanggil CreateRouteEntry untuk menambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4.

Terraform

Jika Anda mengaktifkan Gateway IPv4 menggunakan Terraform, sistem tidak secara otomatis menambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4. Anda harus mengonfigurasi rute secara manual.

Resource: alicloud_vpc, alicloud_vswitch, alicloud_vpc_ipv4_gateway, alicloud_route_table, alicloud_route_table_attachment, alicloud_vpc_route_entry, alicloud_instance, alicloud_security_group, alicloud_security_group_rule, alicloud_eip_address, alicloud_eip_association, alicloud_nat_gateway, alicloud_snat_entry

Sumber Data: alicloud_zones

# Tentukan wilayah tempat Anda ingin membuat Gateway IPv4.
provider "alicloud" {
  region = "cn-hangzhou"
}

# Secara otomatis mendapatkan daftar zona tempat vSwitch dapat dibuat berdasarkan sumber data.
data "alicloud_zones" "available_zones" {
  available_resource_creation = "VSwitch" # Kueri zona tempat sumber daya dapat dibuat di VPC.
}

# Buat VPC. 
resource "alicloud_vpc" "example_vpc" {
  vpc_name   = "example_vpc_name"
  cidr_block = "10.0.0.0/16" # Tentukan blok CIDR. 
}

# Tentukan konfigurasi vSwitch.
locals {
  vswitches = {
    vsw1 = {
      name       = "example_vsw1_name"
      cidr_block = "10.0.0.0/24"
      zone_index = 0
    }
    vsw2 = {
      name       = "example_vsw2_name"
      cidr_block = "10.0.1.0/24"
      zone_index = 1
    }
    vsw3 = {
      name       = "example_vsw3_name"
      cidr_block = "10.0.2.0/24"
      zone_index = 0
    }
    vsw4 = {
      name       = "example_vsw4_name"
      cidr_block = "10.0.3.0/24"
      zone_index = 0
    }
  }

  # Tentukan konfigurasi tabel rute.
  route_tables = {
    rt1 = {
      name        = "example_rt1_name"
      vswitch_key = "vsw1"
    }
    rt2 = {
      name        = "example_rt2_name"
      vswitch_key = "vsw2"
    }
    rt3 = {
      name        = "example_rt3_name"
      vswitch_key = "vsw3"
    }
    rt4 = {
      name        = "example_rt4_name"
      vswitch_key = "vsw4"
    }
  }

  # Tentukan konfigurasi instans.
  instances = {
    instance1 = {
      name        = "example_instance1_name"
      vswitch_key = "vsw1"
    }
    instance2 = {
      name        = "example_instance2_name"
      vswitch_key = "vsw3"
    }
    instance3 = {
      name        = "example_instance3_name"
      vswitch_key = "vsw4"
    }
  }

  # Tentukan konfigurasi EIP.
  eips = {
    eip1 = {
      name = "example_eip1_name"
    }
    eip2 = {
      name = "example_eip2_name"
    }
  }

  # Tentukan konfigurasi entri SNAT.
  snat_entries = {
    snat1 = {
      instance_key = "instance2"
    }
    snat2 = {
      instance_key = "instance3"
    }
  }
}

# Buat beberapa vSwitch.
resource "alicloud_vswitch" "example_vsw" {
  for_each = local.vswitches

  vswitch_name = each.value.name
  cidr_block   = each.value.cidr_block
  vpc_id       = alicloud_vpc.example_vpc.id
  zone_id      = data.alicloud_zones.available_zones.zones[each.value.zone_index].id
}

# Buat beberapa tabel rute kustom.
resource "alicloud_route_table" "example_route_table" {
  for_each = local.route_tables

  route_table_name = each.value.name
  vpc_id           = alicloud_vpc.example_vpc.id
}

# Kaitkan tabel rute dengan vSwitch.
resource "alicloud_route_table_attachment" "example_route_table_attachment" {
  for_each = local.route_tables

  vswitch_id     = alicloud_vswitch.example_vsw[each.value.vswitch_key].id
  route_table_id = alicloud_route_table.example_route_table[each.key].id
}

# Tentukan tipe instans.
variable "instance_type" {
  default = "ecs.e-c1m1.large"
}

# Tentukan ID citra.
variable "image_id" {
  default = "aliyun_3_x64_20G_alibase_20221102.vhd"
}

# Buat grup keamanan.
resource "alicloud_security_group" "example_security_group" {
  security_group_name = "example_security_group_name"
  vpc_id              = alicloud_vpc.example_vpc.id
}

# Buat aturan grup keamanan. Ubah protokol dan nomor port sesuai kebutuhan.
resource "alicloud_security_group_rule" "allow_internet" {
  type              = "ingress"
  ip_protocol       = "icmp"
  nic_type          = "intranet"
  policy            = "accept"
  port_range        = "-1/-1"
  priority          = 1
  security_group_id = alicloud_security_group.example_security_group.id
  cidr_ip           = "0.0.0.0/0"
}

# Buat beberapa server.
resource "alicloud_instance" "example_instance" {
  for_each = local.instances

  instance_name        = each.value.name
  vswitch_id           = alicloud_vswitch.example_vsw[each.value.vswitch_key].id
  instance_type        = var.instance_type
  image_id             = var.image_id
  system_disk_category = "cloud_essd"
  security_groups      = [alicloud_security_group.example_security_group.id]
  instance_charge_type = "PostPaid"           # Tentukan metode penagihan sebagai bayar sesuai penggunaan.
  spot_strategy        = "SpotWithPriceLimit" # Atur instans sebagai instans spot yang harga maksimumnya dapat Anda tentukan.
}

# Buat beberapa EIP.
resource "alicloud_eip_address" "example_eip" {
  for_each = local.eips

  address_name = each.value.name
  isp          = "BGP"
  netmode      = "public"
  bandwidth    = "1"
  payment_type = "PayAsYouGo"
}

# Kaitkan instance ECS dengan EIP.
resource "alicloud_eip_association" "example_eip_ecs_association" {
  allocation_id = alicloud_eip_address.example_eip["eip1"].id
  instance_type = "EcsInstance"
  instance_id   = alicloud_instance.example_instance["instance1"].id
}

# Buat gateway NAT Internet.
resource "alicloud_nat_gateway" "example_natgw" {
  nat_gateway_name = "example_natgw_name"
  vpc_id           = alicloud_vpc.example_vpc.id
  vswitch_id       = alicloud_vswitch.example_vsw["vsw2"].id
  nat_type         = "Enhanced"
  eip_bind_mode    = "NAT" # Tentukan mode asosiasi EIP. Nilainya harus NAT.
  payment_type     = "PayAsYouGo"
}

# Kaitkan EIP dengan gateway NAT Internet.
resource "alicloud_eip_association" "example_eip_natgw_association" {
  allocation_id = alicloud_eip_address.example_eip["eip2"].id
  instance_type = "NAT"
  instance_id   = alicloud_nat_gateway.example_natgw.id
}

# Tambahkan entri rute yang mengarah ke gateway NAT.
resource "alicloud_route_entry" "example_rt3_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt3"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "NatGateway"
  nexthop_id            = alicloud_nat_gateway.example_natgw.id
}

# Tambahkan entri rute yang mengarah ke gateway NAT.
resource "alicloud_route_entry" "example_rt4_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt4"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "NatGateway"
  nexthop_id            = alicloud_nat_gateway.example_natgw.id
}

# Buat entri SNAT.
resource "alicloud_snat_entry" "example_snat_entry" {
  for_each = local.snat_entries

  snat_table_id = alicloud_nat_gateway.example_natgw.snat_table_ids
  source_cidr   = alicloud_instance.example_instance[each.value.instance_key].primary_ip_address
  snat_ip       = alicloud_eip_address.example_eip["eip2"].ip_address
}

# Buat gateway IPv4.
resource "alicloud_vpc_ipv4_gateway" "example_ipv4gw" {
  ipv4_gateway_name = "example_ipv4gw_name"
  vpc_id            = alicloud_vpc.example_vpc.id
  enabled           = true
}

# Tambahkan entri rute yang mengarah ke Gateway IPv4.
resource "alicloud_route_entry" "example_rt1_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt1"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "Ipv4Gateway"
  nexthop_id            = alicloud_vpc_ipv4_gateway.example_ipv4gw.id
}

# Tambahkan entri rute yang mengarah ke Gateway IPv4.
resource "alicloud_route_entry" "example_rt2_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt2"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "Ipv4Gateway"
  nexthop_id            = alicloud_vpc_ipv4_gateway.example_ipv4gw.id
}

Gunakan blok CIDR publik untuk komunikasi pribadi

Secara default, VPC menggunakan blok CIDR pribadi yang didefinisikan dalam RFC 1918, seperti 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16. Saat VPC terhubung ke pusat data lokal atau VPC lain yang menggunakan blok CIDR pribadi non-standar, misalnya 30.0.0.0/16, lalu lintas dari sumber daya dengan akses Internet yang menargetkan jaringan non-standar ini akan dirutekan melalui Internet, bukan mengikuti rute pribadi.

Setelah Anda membuat dan mengaktifkan Gateway IPv4, ia mengontrol akses Internet secara terpusat dan meneruskan semua lalu lintas sesuai tabel rute. Anda harus mengonfigurasi rute 0.0.0.0/0 yang menunjuk ke gateway di vSwitch untuk memungkinkan sumber daya mengakses Internet. Berdasarkan aturan awalan terpanjang, lalu lintas yang ditujukan ke ECS02 cocok dengan rute 30.0.0.0/16 yang lebih spesifik dan diarahkan ke VPC peer.

Konsol

Buka halaman Konsol VPC - Gateway IPv4, pilih wilayah tempat VPC diterapkan, lalu klik Create IPv4 Gateway.
Buat Gateway IPv4: Pilih VPC yang memerlukan akses ke blok CIDR pribadi non-standar.
Aktifkan Gateway IPv4: Pilih tabel rute yang terkait dengan vSwitch yang perlu mengakses blok CIDR pribadi non-standar. Sistem secara otomatis menambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4. Ini memungkinkan sumber daya dalam vSwitch mengakses blok CIDR pribadi non-standar.
- Pastikan bahwa tabel rute terkait tidak memiliki rute yang tujuan CIDR-nya adalah 0.0.0.0/0. Jika rute seperti itu ada, klik Activate Later, hapus rute tersebut, dan aktifkan Gateway IPv4.
- Setelah aktivasi, Gateway IPv4 mengontrol lalu lintas terarah ke Internet secara terpusat, dan semua lalu lintas diteruskan sesuai tabel rute.

API

Panggil CreateIpv4Gateway untuk membuat Gateway IPv4.
Panggil EnableVpcIpv4Gateway untuk mengaktifkan Gateway IPv4. Atur RouteTableList ke tabel rute yang terkait dengan vSwitch publik. Jika parameter ini tidak ditentukan, panggil CreateRouteEntry untuk menambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4.

Terraform

Jika Anda mengaktifkan Gateway IPv4 menggunakan Terraform, sistem tidak secara otomatis menambahkan rute 0.0.0.0/0 yang menunjuk ke Gateway IPv4. Anda harus mengonfigurasi rute secara manual.

Resource: alicloud_vpc, alicloud_vswitch, alicloud_vpc_ipv4_gateway, alicloud_route_table, alicloud_route_table_attachment, alicloud_vpc_route_entry, alicloud_instance, alicloud_security_group, alicloud_security_group_rule, alicloud_eip_address, alicloud_eip_association, alicloud_vpc_peer_connection

Sumber Data: alicloud_zones

Dalam contoh ini, VPC dalam koneksi peering milik akun yang sama. Saat membuat koneksi peering lintas akun, Anda juga harus membuat alicloud_vpc_peer_connection_accepter untuk memastikan bahwa akun peer menerima permintaan.

# Tentukan wilayah tempat Anda ingin membuat gateway IPv4.
provider "alicloud" {
  region = "cn-hangzhou"
}

# Dapatkan daftar zona tempat vSwitches dapat dibuat berdasarkan sumber data.
data "alicloud_zones" "available_zones" {
  available_resource_creation = "VSwitch" # Query the zones where resources can be created in the VPC.
}

# Tentukan tipe instance.
variable "instance_type" {
  default = "ecs.e-c1m1.large"
}

# Tentukan ID image.
variable "image_id" {
  default = "aliyun_3_x64_20G_alibase_20221102.vhd"
}

# Buat VPC.
resource "alicloud_vpc" "example_vpc1" {
  vpc_name   = "example_vpc1_name"
  cidr_block = "10.0.0.0/16" # Tentukan blok CIDR. 
}

# Buat VPC.
resource "alicloud_vpc" "example_vpc2" {
  vpc_name   = "example_vpc2_name"
  cidr_block = "30.0.0.0/16" # Tentukan blok CIDR. 
}

# Buat vSwitch.
resource "alicloud_vswitch" "example_vsw1" {
  vswitch_name = "example_vsw1_name"
  cidr_block   = "10.0.1.0/24"
  vpc_id       = alicloud_vpc.example_vpc1.id
  zone_id      = data.alicloud_zones.available_zones.zones.0.id
}

# Buat vSwitch.
resource "alicloud_vswitch" "example_vsw2" {
  vswitch_name = "example_vsw2_name"
  cidr_block   = "30.0.1.0/24"
  vpc_id       = alicloud_vpc.example_vpc2.id
  zone_id      = data.alicloud_zones.available_zones.zones.1.id
}

# Buat grup keamanan.
resource "alicloud_security_group" "example_security_group1" {
  security_group_name = "example_security_group1_name"
  vpc_id              = alicloud_vpc.example_vpc1.id
}

# Buat aturan grup keamanan. Ubah protokol dan nomor port sesuai kebutuhan.
resource "alicloud_security_group_rule" "allow_internet1" {
  type              = "ingress"
  ip_protocol       = "icmp"
  nic_type          = "intranet"
  policy            = "accept"
  port_range        = "-1/-1"
  priority          = 1
  security_group_id = alicloud_security_group.example_security_group1.id
  cidr_ip           = "0.0.0.0/0"
}

# Buat grup keamanan.
resource "alicloud_security_group" "example_security_group2" {
  security_group_name = "example_security_group2_name"
  vpc_id              = alicloud_vpc.example_vpc2.id
}

# Buat aturan grup keamanan. Ubah protokol dan nomor port sesuai kebutuhan.
resource "alicloud_security_group_rule" "allow_internet2" {
  type              = "ingress"
  ip_protocol       = "icmp"
  nic_type          = "intranet"
  policy            = "accept"
  port_range        = "-1/-1"
  priority          = 1
  security_group_id = alicloud_security_group.example_security_group2.id
  cidr_ip           = "0.0.0.0/0"
}

# Buat instance ECS.
resource "alicloud_instance" "example_instance1" {
  instance_name        = "example_instance1_name"
  vswitch_id           = alicloud_vswitch.example_vsw1.id
  instance_type        = var.instance_type
  image_id             = var.image_id
  system_disk_category = "cloud_essd"
  security_groups      = [alicloud_security_group.example_security_group1.id]
  instance_charge_type = "PostPaid"
  spot_strategy        = "SpotWithPriceLimit"
}

# Buat EIP.
resource "alicloud_eip_address" "example_eip" {
  address_name = "example_eip_name"
  isp          = "BGP"
  netmode      = "public"
  bandwidth    = "1"
  payment_type = "PayAsYouGo"
}

# Asosiasikan instance ECS dengan EIP.
resource "alicloud_eip_association" "example_eip_ecs_association" {
  allocation_id = alicloud_eip_address.example_eip.id
  instance_type = "EcsInstance"
  instance_id   = alicloud_instance.example_instance1.id
}

# Buat instance ECS.
resource "alicloud_instance" "example_instance2" {
  instance_name        = "example_instance2_name"
  vswitch_id           = alicloud_vswitch.example_vsw2.id
  instance_type        = var.instance_type
  image_id             = var.image_id
  system_disk_category = "cloud_essd"
  security_groups      = [alicloud_security_group.example_security_group2.id]
  instance_charge_type = "PostPaid"
  spot_strategy        = "SpotWithPriceLimit"
}

# Buat tabel rute kustom.
resource "alicloud_route_table" "example_route_table1" {
  route_table_name = "example_route_table1_name"
  vpc_id           = alicloud_vpc.example_vpc1.id
}

# Asosiasikan tabel rute dengan vSwitch.
resource "alicloud_route_table_attachment" "example_route_table_attachment1" {
  vswitch_id     = alicloud_vswitch.example_vsw1.id
  route_table_id = alicloud_route_table.example_route_table1.id
}

# Buat tabel rute kustom.
resource "alicloud_route_table" "example_route_table2" {
  route_table_name = "example_route_table2_name"
  vpc_id           = alicloud_vpc.example_vpc2.id
}

# Asosiasikan tabel rute dengan vSwitch.
resource "alicloud_route_table_attachment" "example_route_table_attachment2" {
  vswitch_id     = alicloud_vswitch.example_vsw2.id
  route_table_id = alicloud_route_table.example_route_table2.id
}

# Buat koneksi peering VPC.
resource "alicloud_vpc_peer_connection" "example_vpc_peer" {
  peer_connection_name = "example_vpc_peer_name"
  vpc_id               = alicloud_vpc.example_vpc1.id
  accepting_ali_uid    = "1234****" # ID akun tempat VPC peer berada. Dalam contoh ini, koneksi peering VPC satu akun dibuat. Jika Anda membuat koneksi peering lintas akun, Anda harus membuat alicloud_vpc_peer_connection_accepter untuk memastikan bahwa akun peer menerima permintaan koneksi peering VPC.
  accepting_region_id  = "cn-hangzhou"
  accepting_vpc_id     = alicloud_vpc.example_vpc2.id
}

# Konfigurasikan rute untuk koneksi peering.
resource "alicloud_route_entry" "example_peer_route1" {
  route_table_id        = alicloud_route_table.example_route_table1.id
  destination_cidrblock = "30.0.0.0/16"
  nexthop_type          = "VpcPeer"
  nexthop_id            = alicloud_vpc_peer_connection.example_vpc_peer.id
}

# Konfigurasikan rute untuk koneksi peering.
resource "alicloud_route_entry" "example_peer_route2" {
  route_table_id        = alicloud_route_table.example_route_table2.id
  destination_cidrblock = "10.0.0.0/16"
  nexthop_type          = "VpcPeer"
  nexthop_id            = alicloud_vpc_peer_connection.example_vpc_peer.id
}

# Buat gateway IPv4.
resource "alicloud_vpc_ipv4_gateway" "example_ipv4gw" {
  ipv4_gateway_name = "example_ipv4gw_name"
  vpc_id            = alicloud_vpc.example_vpc1.id
  enabled           = true
}

# Tambahkan rute yang menunjuk ke gateway IPv4.
resource "alicloud_route_entry" "example_igw_route" {
  route_table_id        = alicloud_route_table.example_route_table1.id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "Ipv4Gateway"
  nexthop_id            = alicloud_vpc_ipv4_gateway.example_ipv4gw.id
}

Mengalihkan lalu lintas ke perangkat keamanan pihak ketiga

Sebuah Gateway IPv4 mengontrol secara terpusat lalu lintas Internet arah keluar. Untuk lalu lintas internet masuk, Anda dapat menggunakan tabel rute gateway yang disambungkan ke Gateway IPv4 untuk mengarahkan ulang lalu lintas ke perangkat keamanan untuk inspeksi dan penyaringan. Ini membantu mencegah serangan jahat dan akses tidak sah. Anda juga dapat menggunakan tabel rute kustom untuk mengarahkan ulang lalu lintas keluar ke perangkat keamanan yang sama untuk perlindungan keamanan menyeluruh.

Gateway IPv4 hanya mengontrol secara terpusat lalu lintas internet arah keluar. Untuk memantau lalu lintas Internet masuk, gunakan tabel rute gateway yang disambungkan ke Gateway IPv4. Ini mengarahkan ulang lalu lintas Internet masuk ke perangkat keamanan untuk inspeksi, mencegah serangan jahat dan akses tidak sah. Dengan menggabungkan ini dengan tabel rute kustom, lalu lintas keluar juga dapat dialihkan ke perangkat keamanan untuk perlindungan keamanan menyeluruh.

Gateway IPv4 hanya dapat dikaitkan dengan tabel rute gateway, yaitu jenis tabel rute untuk gerbang batas. Setiap VPC hanya mendukung satu Gateway IPv4 dan satu tabel rute gateway. Keduanya terikat dalam hubungan satu-satu.

Arsitektur titik tunggal

Arsitektur ketersediaan tinggi GWLB

Dalam arsitektur titik tunggal, kegagalan perangkat keamanan mengganggu ketersediaan sistem bisnis Anda. Gunakan Gateway Load Balancer (GWLB) untuk menerapkan perangkat keamanan dengan cara yang sangat tersedia dan menghilangkan titik kegagalan tunggal.

Lalu lintas Internet IPv4 masuk

Lalu lintas Internet IPv4 keluar

1. Lalu lintas IPv4 masuk ke VPC bisnis melalui Gateway IPv4.

2. Lalu lintas dikirim ke titik akhir GWLB (GWLBe), diarahkan oleh tabel putaran gateway.

3. GWLBe meneruskan lalu lintas ke GWLB, yang meneruskan lalu lintas ke perangkat keamanan.

4. Setelah perangkat keamanan menyelesaikan pemeriksaan, lalu lintas dikembalikan ke GWLB dan kemudian ke GWLBe melalui PrivateLink.

5. Lalu lintas dikirim ke server bisnis berdasarkan tabel rute yang dikonfigurasi.

1. Lalu lintas dikirim ke GWLBe berdasarkan tabel rute yang dikonfigurasi.

2. GWLBe meneruskan lalu lintas ke GWLB, yang meneruskan lalu lintas ke perangkat keamanan.

3. Setelah perangkat keamanan menyelesaikan pemeriksaan, lalu lintas dikembalikan ke GWLB dan kemudian ke GWLBe melalui PrivateLink.

4. Lalu lintas dikirim ke Gateway IPv4 berdasarkan tabel rute yang dikonfigurasi.

5. Gateway IPv4 merutekan lalu lintas ke Internet.

Konsol

Menyambungkan tabel rute gateway

Pada halaman detail Gateway IPv4, klik Bind. Atau, pada tab Associated Border Gateway di halaman detail tabel rute gateway target, klik Associate Border Gateway dan pilih Gateway IPv4 target.

Melepaskan tabel rute gateway

Pada halaman detail Gateway IPv4 target, atau pada tab Associated Border Gateway dari tabel rute gateway, klik Disassociate.

API

Panggil AssociateRouteTableWithGateway untuk menyambungkan tabel rute gateway.
Panggil DissociateRouteTableFromGateway untuk melepaskan tabel rute gateway.

Terraform

Sumber daya: alicloud_vpc_gateway_route_table_attachment

# Tentukan wilayah tempat Gateway IPv4 diterapkan.
provider "alicloud" {
  region = "cn-hangzhou"
}

# Tentukan ID Gateway IPv4.
variable "ipv4_gateway_id" {
  default = "ipv4gw-hp3v******" # Ganti nilai dengan ID sebenarnya dari Gateway IPv4.
}

# Tentukan ID tabel rute gateway.
variable "route_table_id" {
  default = "vtb-hp3w******" # Ganti nilai dengan ID sebenarnya dari tabel rute gateway.
}

# Sambungkan tabel rute gateway.
resource "alicloud_vpc_gateway_route_table_attachment" "example_attachment" {
  ipv4_gateway_id = var.ipv4_gateway_id
  route_table_id  = var.route_table_id
}

Informasi lebih lanjut

Batasan

VPC hanya dapat membuat satu Gateway IPv4, dan Gateway IPv4 hanya dapat diasosiasikan dengan satu VPC.
Anda tidak dapat membuat Gateway IPv4 jika ada sumber daya dalam mode mode transparan EIP di VPC.
Sebagai contoh, jika mode asosiasi EIP dari Internet NAT gateway diatur ke mode multi-EIP-ke-ENI, Internet NAT gateway tidak kompatibel dengan Gateway IPv4. Anda harus memanggil operasi ModifyNatGatewayAttribute untuk mengubah EipBindMode menjadi mode NAT untuk memastikan kompatibilitas.
Dalam skenario VPC bersama, pemilik sumber daya dapat membuat, memodifikasi, atau menghapus Gateway IPv4, tetapi pengguna sumber daya tidak memiliki izin untuk melakukan operasi ini.
Saat Anda mengaitkan EIP atau Anycast EIP ke instance Classic Load Balancer (CLB) yang menghadap ke pribadi, lalu lintas balik dari Internet tidak dikelola oleh Gateway IPv4.

Penagihan

Tidak ada biaya tambahan untuk gateway IPv4.

Biaya transfer data dikenakan untuk IP publik, seperti EIP atau IP publik statis dari instance ECS atau CLB. Untuk informasi lebih lanjut, lihat dokumentasi penagihan untuk produk terkait.

Wilayah yang didukung

Area	Wilayah
Asia Pasifik - China	China (Hangzhou), China (Shanghai), China (Nanjing - Local Region), China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Ulanqab), China (Shenzhen), China (Heyuan), China (Guangzhou), China (Chengdu), China (Hong Kong), China (Wuhan - Local Region), dan China (Fuzhou - Local Region)
Asia Pasifik - Lainnya	Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), dan Thailand (Bangkok)
Eropa & Amerika	Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), AS (Virginia), dan Meksiko
Timur Tengah	UEA (Dubai) dan SAU (Riyadh - Wilayah Mitra) Penting Wilayah SAU (Riyadh - Wilayah Mitra) dioperasikan oleh mitra.

Kuota

Nama Kuota	Deskripsi	Batas Default	Tingkatkan Kuota
Tidak ada	Jumlah gateway IPv4 yang didukung oleh VPC.	1	Tidak dapat ditingkatkan.
Tidak ada	Jumlah tabel rute gateway yang didukung oleh gateway IPv4.	1	Tidak dapat ditingkatkan.