Virtual Private Cloud (VPC) adalah lingkungan jaringan private yang terisolasi secara logis di cloud. Dengan memanfaatkan teknologi Software Defined Network (SDN) dan tunnel VXLAN, VPC memisahkan bidang data dari lapisan kontrol. Setiap VPC memiliki VXLAN Network Identifier (VNI) yang unik untuk mengisolasi jaringan virtualnya.
Arsitektur layanan
Bidang data: Jalur penerusan paket
Bidang data memproses dan meneruskan lalu lintas jaringan. Komponen utamanya meliputi vSwitch terdistribusi dan kluster gateway.
Isolasi jaringan: Isolasi VPC dicapai menggunakan teknologi tunnel VXLAN. VLAN tradisional hanya mendukung hingga 4.096 jaringan virtual, sehingga tidak dapat memenuhi kebutuhan skala besar cloud. VXLAN mengatasi keterbatasan ini dengan mengenkapsulasi pesan Ethernet Lapisan-2 dalam paket UDP Lapisan-3, sehingga mendukung hingga jutaan jaringan virtual.
Alur Komunikasi:
Komunikasi Intra-VPC: Saat instans Elastic Compute Service (ECS) dalam VPC yang sama berkomunikasi, paket keluar dienkapsulasi dan ditandai dengan VNI unik VPC tersebut. Paket kemudian ditransmisikan melalui jaringan fisik, tetapi hanya instans dalam VPC yang sama yang dapat mendekapsulasi dan menerimanya.
Isolasi antar-VPC: Instans di VPC yang berbeda memiliki VNI yang berbeda dan berada dalam bidang routing logis yang berbeda. Paket tidak diteruskan di antara mereka, sehingga menjamin isolasi jaringan.
Lapisan kontrol: Manajemen jaringan terpusat
Lapisan kontrol, sebagai komponen inti VPC, terdiri dari kluster pengontrol SDN yang menangani manajemen jaringan terpusat dan distribusi kebijakan.
Decoupling: Teknologi SDN memisahkan lapisan kontrol dari bidang data. Konfigurasi jaringan yang dibuat melalui konsol atau API, seperti definisi rute dan aturan keamanan, ditangani oleh pengontrol SDN. Administrator dapat menyesuaikan perilaku jaringan secara dinamis melalui pengontrol tanpa perlu mengelola detail perangkat keras.
Pengiriman konfigurasi: Pengontrol menghitung konfigurasi, seperti tabel pengalihan, dan mengirimkannya ke vSwitch dan gateway di bidang data menggunakan protokol khusus untuk memandu penerusan lalu lintas. Pemisahan ini memungkinkan perubahan konfigurasi jaringan tanpa mengoperasikan perangkat keras fisik, sehingga meningkatkan fleksibilitas dan otomatisasi.
Ketersediaan tinggi
Arsitektur VPC mengintegrasikan mekanisme ketersediaan tinggi dan redundansi untuk menjamin stabilitas layanan.
Node terdistribusi: Menggunakan vSwitch terdistribusi untuk menghindari Single Point of Failure (SPOF).
Deployment kluster: Gateway dan pengontrol dideploy dalam kluster dan mendukung failover di beberapa pusat data (zona).
Redundansi link: Semua link fisik dikonfigurasi dengan redundansi dan pemulihan bencana.
Arsitektur
VPC menyediakan rangkaian fitur lengkap untuk membangun arsitektur jaringan sesuai kebutuhan bisnis Anda, dengan kontrol akses terperinci, pemantauan, serta kemampuan operasi dan pemeliharaan.
vSwitch: Membagi jaringan VPC menjadi subnet untuk penempatan sumber daya. Ini merupakan sumber daya tingkat zona.
Route table: Mengarahkan lalu lintas VPC. Setiap vSwitch terikat ke route table, dan entri di dalamnya menentukan lompatan berikut untuk paket yang melewatinya.
IP Address Manager (IPAM): Alat manajemen alamat IP yang mengotomatiskan alokasi dan manajemen IP, menyederhanakan manajemen jaringan, dan mencegah konflik alamat.
Gateway IPv4/Gateway IPv6: Digunakan bersama route table untuk mengendalikan lalu lintas internet secara terpusat. Ini mengurangi risiko keamanan yang terkait dengan akses terdesentralisasi.
Koneksi peering VPC: Menghubungkan VPC yang berada di akun yang sama atau berbeda dan di wilayah yang sama atau berbeda.
Jaringan ACL: Diterapkan pada vSwitch. Konfigurasikan aturan ACL untuk mengelola lalu lintas masuk dan keluar ke/dari vSwitch.
Log aliran: Mengumpulkan dan mencatat lalu lintas masuk dan keluar pada Elastic Network Interfaces (ENI). Informasi ini dapat digunakan untuk pemantauan kinerja jaringan, pemecahan masalah, atau optimalisasi biaya lalu lintas.
Pemantulan lalu lintas: Solusi pemantauan bypass. Lalu lintas yang sesuai dengan filter dicerminkan dan diteruskan ke perangkat analisis keamanan untuk deteksi real-time, tanpa memengaruhi lalu lintas produksi.