IPv4 gateway - Virtual Private Cloud - Alibaba Cloud Documentation Center

Secara default, resource di dalam virtual private cloud (VPC) dapat mengakses Internet melalui IPv4 jika diberi Alamat IP publik. Namun, akses Internet yang tidak terkelola—misalnya departemen bisnis memberikan Alamat IP publik ke Instance Elastic Compute Service (ECS) tanpa persetujuan—dapat menimbulkan risiko keamanan. IPv4 gateway dan tabel rute terkait memungkinkan Anda mengarahkan seluruh lalu lintas menuju Internet melalui satu titik pusat, sehingga mengurangi risiko keamanan akibat akses yang terdesentralisasi.

Mengapa menggunakan IPv4 gateway

Dimensi	Akses Internet (Default)	Kontrol terpusat dengan IPv4 gateway
Contoh	Instance ECS mengakses Internet secara langsung menggunakan Alamat IP publik statis, Elastic IP Address (EIP), atau Gateway NAT Internet.	Menyediakan manajemen terpusat atas lalu lintas akses Internet.
Kasus penggunaan	Jumlah kecil instance ECS memerlukan akses Internet independen dan langsung. Ideal ketika kebutuhan akses Internet sering berubah.	Cocok untuk arsitektur jaringan berskala besar dan bertingkat. Lingkungan enterprise dengan persyaratan ketat terhadap keamanan dan kepatuhan jaringan.
Kompleksitas	Sederhana dan cepat. Tidak perlu konfigurasi rute.	Memerlukan perencanaan jaringan dan konfigurasi aturan routing.
Fleksibilitas	Setiap instans dikelola secara independen dan tidak saling memengaruhi.	Perubahan pada kebijakan jaringan berdampak pada semua instans di dalam VPC.
Keamanan	Perlindungan keamanan terutama mengandalkan aturan grup keamanan yang dikonfigurasi untuk setiap instans.	Mode kontrol terpusat dari IPv4 gateway memastikan penerapan kebijakan jaringan yang konsisten dan komprehensif.

Bandingkan IPv4 gateway dengan Gateway NAT

IPv4 gateway dan Gateway NAT Internet dapat digunakan bersamaan. Untuk informasi lebih lanjut, lihat Akses Internet.

Dimensi	IPv4 gateway	Gateway NAT Internet
Tujuan	Komponen di batas VPC yang mengontrol traffic IPv4 publik.	Perangkat Translasi Alamat Jaringan (NAT) di dalam VPC.
Skenario	Mengontrol terpusat lalu lintas akses Internet.	Menyediakan egress terpadu untuk lalu lintas menuju Internet.
Akses Internet yang didukung	Tidak. Hanya mengontrol lalu lintas Internet.	Menyediakan akses Internet dengan menyambungkan EIP. (Kemampuan akses Internet disediakan oleh EIP, bukan oleh Gateway NAT itu sendiri.)

Setelah Anda membuat IPv4 gateway, vSwitch diklasifikasikan menjadi dua jenis:

Public vSwitch: Tabel rute terkait berisi rute yang memiliki Destination CIDR Block 0.0.0.0/0 dan Next Hop adalah IPv4 gateway. Resource di vSwitch ini dapat mengakses Internet jika diberi Alamat IP publik.
Private vSwitch: Tabel rute terkait tidak berisi rute yang mengarah ke IPv4 gateway. Resource di vSwitch ini tidak dapat mengakses Internet secara langsung, bahkan jika diberi Alamat IP publik.

Saat menggunakan IPv4 gateway bersama Gateway NAT Internet, deploy Gateway NAT Internet di public vSwitch. Untuk mengaktifkan akses Internet bagi instance ECS di private vSwitch, konfigurasikan rute yang mengarah ke Gateway NAT Internet. Rute ini mengarahkan lalu lintas menuju Internet ke Gateway NAT Internet, yang kemudian menggunakan Alamat IP publik yang terhubung untuk mengakses Internet. Perhatikan hal berikut:

Pastikan EipBindMode Gateway NAT Internet diatur ke mode NAT agar kompatibel dengan IPv4 gateway.
- Gateway NAT Internet yang dibuat melalui konsol secara default berada dalam mode NAT. Saat memanggil operasi CreateNatGateway, atur EipBindMode ke NAT. Setelah gateway dibuat, Anda dapat memanggil operasi ModifyNatGatewayAttribute untuk mengubah EipBindMode.
- Jika Anda memiliki Gateway NAT Internet dengan EipBindMode diatur ke mode MULTI_BINDED, Anda tidak dapat membuat IPv4 gateway karena keduanya tidak kompatibel.
- Jika IPv4 gateway sudah ada, dan Anda memanggil operasi CreateNatGateway untuk membuat Gateway NAT Internet dengan EipBindMode diatur ke mode MULTI_BINDED, Anda tidak dapat menyambungkan EIP ke gateway NAT tersebut.
Untuk memastikan resource di private vSwitch tetap memiliki akses Internet setelah mengaktifkan IPv4 gateway, konfigurasikan rute sebelum aktivasi.

Cara kerja

Kontrol akses Internet menggunakan IPv4 gateway

Setelah membuat dan mengaktifkan IPv4 gateway untuk VPC, gateway tersebut akan mengelola seluruh lalu lintas Internet secara terpusat. Konfigurasikan rute untuk vSwitch yang mengarah ke IPv4 gateway. Hal ini memungkinkan resource di vSwitch tersebut mengakses Internet. Di halaman detail VPC, periksa IPv4 Internet Access Mode untuk memastikan apakah IPv4 gateway mengontrol lalu lintas Internet secara terpusat.

Sebelum IPv4 gateway diaktifkan, lalu lintas Internet di VPC tetap tidak terpengaruh. Namun, gangguan jaringan singkat mungkin terjadi selama aktivasi karena jalur lalu lintas dialihkan.

Hapus IPv4 gateway

Sebelum menghapus IPv4 gateway, pertama-tama lepaskan asosiasi tabel rute gateway. Di kolom Actions IPv4 gateway yang dituju, klik Delete, atau panggil operasi DeleteIpv4Gateway untuk menghapus IPv4 gateway. Saat menghapus gateway, mode yang dipilih menentukan cara resource di VPC mengakses Internet.

Mode publik: Sistem secara otomatis menghapus semua rute yang mengarah ke IPv4 gateway. VPC kembali ke kondisi awal, di mana instans yang memiliki Alamat IP publik dapat mengakses Internet.
Mode privat: Pertama, hapus semua rute yang mengarah ke IPv4 gateway dari tabel rute. Setelah gateway dihapus, semua resource di VPC kehilangan akses Internet. Untuk memulihkan akses Internet langsung, buat IPv4 gateway baru lalu hapus dalam mode publik.
Penting
Setelah menghapus IPv4 gateway dalam mode privat, semua resource di VPC kehilangan akses Internet, terlepas dari apakah mereka memiliki Alamat IP publik atau tidak. Lakukan dengan hati-hati.

Kontrol terpusat akses Internet

Akses Internet yang tidak terkelola—seperti departemen bisnis memberikan Alamat IP publik ke instance ECS tanpa persetujuan—menyulitkan tim operasi dan maintenance (O&M) untuk mengelola akses Internet secara terpusat. Gunakan IPv4 gateway untuk memusatkan kontrol lalu lintas menuju Internet. Hal ini mengurangi risiko keamanan akibat akses yang terdesentralisasi dan membantu menyelesaikan masalah manajemen tersebut.

Konsol

Buka halaman IPv4 Gateway di konsol VPC. Pilih wilayah tempat VPC dideploy, lalu klik Create IPv4 Gateway.
Create IPv4 Gateway: Pilih VPC yang ingin Anda pusatkan akses Internet-nya.
Activate IPv4 Gateway: Pilih tabel rute yang terkait dengan public vSwitch. Sistem secara otomatis menambahkan rute 0.0.0.0/0 yang mengarah ke IPv4 gateway. Hal ini memastikan resource dengan Alamat IP publik di public vSwitch dapat mengakses Internet. Jika rute dengan destination CIDR block 0.0.0.0/0 sudah ada di tabel rute, klik Activate Later. Kemudian, ubah next hop rute tersebut ke IPv4 gateway dan aktifkan gateway. Setelah aktivasi, IPv4 gateway mengontrol akses Internet untuk VPC secara terpusat.
- Jika instance ECS menggunakan Alamat IP publik yang terhubung ke Gateway NAT Internet untuk mengakses Internet, instance ECS dan Gateway NAT Internet harus dideploy di vSwitch yang berbeda. Tabel rute untuk vSwitch gateway NAT harus berisi rute 0.0.0.0/0 yang mengarah ke IPv4 gateway. Tabel rute untuk vSwitch instance ECS harus berisi rute yang mengarah ke gateway NAT di public vSwitch.
- Jika instance ECS menggunakan Alamat IP publik statis atau EIP yang terhubung untuk mengakses Internet, tambahkan rute 0.0.0.0/0 yang mengarah ke IPv4 gateway.

API

Panggil CreateIpv4Gateway untuk membuat IPv4 gateway.
Panggil EnableVpcIpv4Gateway untuk mengaktifkan IPv4 gateway. Atur RouteTableList ke tabel rute yang terkait dengan public vSwitch. Jika parameter ini tidak ditentukan, panggil CreateRouteEntry untuk menambahkan rute 0.0.0.0/0 yang mengarah ke IPv4 gateway.

Terraform

Berbeda dengan konsol, sistem tidak secara otomatis menambahkan rute 0.0.0.0/0 yang mengarah ke IPv4 gateway saat diaktifkan. Anda harus mengonfigurasi rute tersebut secara manual.

Resource: alicloud_vpc, alicloud_vswitch, alicloud_vpc_ipv4_gateway, alicloud_route_table, alicloud_route_table_attachment, alicloud_vpc_route_entry, alicloud_instance, alicloud_security_group, alicloud_security_group_rule, alicloud_eip_address, alicloud_eip_association, alicloud_nat_gateway, alicloud_snat_entry

Data Sources: alicloud_zones

# Tentukan wilayah tempat Anda ingin membuat IPv4 gateway.
provider "alicloud" {
  region = "cn-hangzhou"
}

# Secara otomatis mendapatkan daftar zona tempat vSwitch dapat dibuat berdasarkan sumber data.
data "alicloud_zones" "available_zones" {
  available_resource_creation = "VSwitch" # Kueri zona tempat resource dapat dibuat di VPC.
}

# Buat VPC. 
resource "alicloud_vpc" "example_vpc" {
  vpc_name   = "example_vpc_name"
  cidr_block = "10.0.0.0/16" # Tentukan Blok CIDR. 
}

# Definisikan konfigurasi vSwitch.
locals {
  vswitches = {
    vsw1 = {
      name       = "example_vsw1_name"
      cidr_block = "10.0.0.0/24"
      zone_index = 0
    }
    vsw2 = {
      name       = "example_vsw2_name"
      cidr_block = "10.0.1.0/24"
      zone_index = 1
    }
    vsw3 = {
      name       = "example_vsw3_name"
      cidr_block = "10.0.2.0/24"
      zone_index = 0
    }
    vsw4 = {
      name       = "example_vsw4_name"
      cidr_block = "10.0.3.0/24"
      zone_index = 0
    }
  }

  # Definisikan konfigurasi tabel rute.
  route_tables = {
    rt1 = {
      name        = "example_rt1_name"
      vswitch_key = "vsw1"
    }
    rt2 = {
      name        = "example_rt2_name"
      vswitch_key = "vsw2"
    }
    rt3 = {
      name        = "example_rt3_name"
      vswitch_key = "vsw3"
    }
    rt4 = {
      name        = "example_rt4_name"
      vswitch_key = "vsw4"
    }
  }

  # Definisikan konfigurasi instans.
  instances = {
    instance1 = {
      name        = "example_instance1_name"
      vswitch_key = "vsw1"
    }
    instance2 = {
      name        = "example_instance2_name"
      vswitch_key = "vsw3"
    }
    instance3 = {
      name        = "example_instance3_name"
      vswitch_key = "vsw4"
    }
  }

  # Definisikan konfigurasi EIP.
  eips = {
    eip1 = {
      name = "example_eip1_name"
    }
    eip2 = {
      name = "example_eip2_name"
    }
  }

  # Definisikan konfigurasi entri SNAT.
  snat_entries = {
    snat1 = {
      instance_key = "instance2"
    }
    snat2 = {
      instance_key = "instance3"
    }
  }
}

# Buat beberapa vSwitch.
resource "alicloud_vswitch" "example_vsw" {
  for_each = local.vswitches

  vswitch_name = each.value.name
  cidr_block   = each.value.cidr_block
  vpc_id       = alicloud_vpc.example_vpc.id
  zone_id      = data.alicloud_zones.available_zones.zones[each.value.zone_index].id
}

# Buat beberapa tabel rute kustom.
resource "alicloud_route_table" "example_route_table" {
  for_each = local.route_tables

  route_table_name = each.value.name
  vpc_id           = alicloud_vpc.example_vpc.id
}

# Asosiasikan tabel rute dengan vSwitch.
resource "alicloud_route_table_attachment" "example_route_table_attachment" {
  for_each = local.route_tables

  vswitch_id     = alicloud_vswitch.example_vsw[each.value.vswitch_key].id
  route_table_id = alicloud_route_table.example_route_table[each.key].id
}

# Tentukan tipe instans.
variable "instance_type" {
  default = "ecs.e-c1m1.large"
}

# Tentukan ID gambar.
variable "image_id" {
  default = "aliyun_3_x64_20G_alibase_20221102.vhd"
}

# Buat grup keamanan.
resource "alicloud_security_group" "example_security_group" {
  security_group_name = "example_security_group_name"
  vpc_id              = alicloud_vpc.example_vpc.id
}

# Buat aturan grup keamanan. Sesuaikan protokol dan nomor port sesuai kebutuhan.
resource "alicloud_security_group_rule" "allow_Internet" {
  type              = "ingress"
  ip_protocol       = "icmp"
  nic_type          = "intranet"
  policy            = "accept"
  port_range        = "-1/-1"
  priority          = 1
  security_group_id = alicloud_security_group.example_security_group.id
  cidr_ip           = "0.0.0.0/0"
}

# Buat beberapa server.
resource "alicloud_instance" "example_instance" {
  for_each = local.instances

  instance_name        = each.value.name
  vswitch_id           = alicloud_vswitch.example_vsw[each.value.vswitch_key].id
  instance_type        = var.instance_type
  image_id             = var.image_id
  system_disk_category = "cloud_essd"
  security_groups      = [alicloud_security_group.example_security_group.id]
  instance_charge_type = "PostPaid"           # Atur metode penagihan ke bayar sesuai penggunaan.
  spot_strategy        = "SpotWithPriceLimit" # Atur instans sebagai spot instans yang memungkinkan Anda menentukan harga maksimum.
}

# Buat beberapa EIP.
resource "alicloud_eip_address" "example_eip" {
  for_each = local.eips

  address_name = each.value.name
  isp          = "BGP"
  netmode      = "public"
  bandwidth    = "1"
  payment_type = "PayAsYouGo"
}

# Asosiasikan instans ECS dengan EIP.
resource "alicloud_eip_association" "example_eip_ecs_association" {
  allocation_id = alicloud_eip_address.example_eip["eip1"].id
  instance_type = "EcsInstance"
  instance_id   = alicloud_instance.example_instance["instance1"].id
}

# Buat Gateway NAT Internet.
resource "alicloud_nat_gateway" "example_natgw" {
  nat_gateway_name = "example_natgw_name"
  vpc_id           = alicloud_vpc.example_vpc.id
  vswitch_id       = alicloud_vswitch.example_vsw["vsw2"].id
  nat_type         = "Enhanced"
  eip_bind_mode    = "NAT" # Tentukan mode asosiasi EIP. Nilainya harus NAT.
  payment_type     = "PayAsYouGo"
}

# Asosiasikan EIP dengan Gateway NAT Internet.
resource "alicloud_eip_association" "example_eip_natgw_association" {
  allocation_id = alicloud_eip_address.example_eip["eip2"].id
  instance_type = "NAT"
  instance_id   = alicloud_nat_gateway.example_natgw.id
}

# Tambahkan rute yang mengarah ke gateway NAT.
resource "alicloud_route_entry" "example_rt3_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt3"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "NatGateway"
  nexthop_id            = alicloud_nat_gateway.example_natgw.id
}

# Tambahkan rute yang mengarah ke gateway NAT.
resource "alicloud_route_entry" "example_rt4_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt4"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "NatGateway"
  nexthop_id            = alicloud_nat_gateway.example_natgw.id
}

# Buat entri SNAT.
resource "alicloud_snat_entry" "example_snat_entry" {
  for_each = local.snat_entries

  snat_table_id = alicloud_nat_gateway.example_natgw.snat_table_ids
  source_cidr   = alicloud_instance.example_instance[each.value.instance_key].primary_ip_address
  snat_ip       = alicloud_eip_address.example_eip["eip2"].ip_address
}

# Buat IPv4 gateway.
resource "alicloud_vpc_ipv4_gateway" "example_ipv4gw" {
  ipv4_gateway_name = "example_ipv4gw_name"
  vpc_id            = alicloud_vpc.example_vpc.id
  enabled           = true
}

# Tambahkan rute yang mengarah ke IPv4 gateway.
resource "alicloud_route_entry" "example_rt1_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt1"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "Ipv4Gateway"
  nexthop_id            = alicloud_vpc_ipv4_gateway.example_ipv4gw.id
}

# Tambahkan rute yang mengarah ke IPv4 gateway.
resource "alicloud_route_entry" "example_rt2_route" {
  route_table_id        = alicloud_route_table.example_route_table["rt2"].id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "Ipv4Gateway"
  nexthop_id            = alicloud_vpc_ipv4_gateway.example_ipv4gw.id
}

Blok CIDR publik yang digunakan secara privat

Secara default, VPC menggunakan blok CIDR privat yang didefinisikan dalam RFC 1918, seperti 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16. Ketika VPC terhubung ke pusat data lokal atau VPC lain yang menggunakan blok CIDR privat non-standar (misalnya, 30.0.0.0/16), permintaan dari resource cloud yang memiliki akses Internet ke blok CIDR privat non-standar tersebut akan diarahkan melalui Internet, bukan diteruskan berdasarkan rute privat yang dikonfigurasi.

Setelah membuat dan mengaktifkan IPv4 gateway untuk VPC, IPv4 gateway mengontrol akses Internet secara terpusat, dan seluruh lalu lintas diteruskan berdasarkan tabel rute. Anda harus mengonfigurasi rute 0.0.0.0/0 yang mengarah ke IPv4 gateway untuk vSwitch agar resource di vSwitch tersebut dapat mengakses Internet secara langsung. Berdasarkan aturan Pencocokan awalan terpanjang, lalu lintas yang ditujukan ke ECS02 akan cocok dengan rute 30.0.0.0/16 dan diarahkan ke VPC peer.

Konsol

Buka halaman IPv4 Gateway di konsol VPC. Pilih wilayah tempat VPC dideploy, lalu klik Create IPv4 Gateway.
Create IPv4 Gateway: Pilih VPC yang perlu mengakses blok CIDR privat non-standar.
Activate IPv4 Gateway: Pilih tabel rute yang terkait dengan vSwitch yang perlu mengakses blok CIDR privat non-standar. Sistem secara otomatis menambahkan rute 0.0.0.0/0 yang mengarah ke IPv4 gateway. Hal ini memastikan resource di vSwitch dapat mengakses blok CIDR privat non-standar berdasarkan rute yang lebih spesifik.
- Pastikan tabel rute yang terhubung tidak berisi rute dengan destination CIDR block 0.0.0.0/0. Jika ada, klik Activate Later, hapus rute tersebut, lalu aktifkan kembali tabel rute.
- Setelah aktivasi, IPv4 gateway mengontrol terpusat lalu lintas menuju Internet, dan seluruh lalu lintas diteruskan berdasarkan tabel rute.

API

Panggil CreateIpv4Gateway untuk membuat IPv4 gateway.
Panggil EnableVpcIpv4Gateway untuk mengaktifkan IPv4 gateway. Atur RouteTableList ke tabel rute yang terkait dengan public vSwitch. Jika parameter ini tidak ditentukan, panggil CreateRouteEntry untuk menambahkan rute 0.0.0.0/0 yang mengarah ke IPv4 gateway.

Terraform

Berbeda dengan konsol, saat Anda mengaktifkan IPv4 gateway, sistem tidak secara otomatis menambahkan rute 0.0.0.0/0 yang mengarah ke IPv4 gateway. Anda harus mengonfigurasi rute tersebut secara manual.

Resource: alicloud_vpc, alicloud_vswitch, alicloud_vpc_ipv4_gateway, alicloud_route_table, alicloud_route_table_attachment, alicloud_vpc_route_entry, alicloud_instance, alicloud_security_group, alicloud_security_group_rule, alicloud_eip_address, alicloud_eip_association, alicloud_vpc_peer_connection

Data Sources: alicloud_zones

Dalam contoh ini, VPC dalam koneksi peering termasuk dalam akun yang sama. Saat membuat koneksi peering lintas akun, Anda juga harus membuat alicloud_vpc_peer_connection_accepter untuk memastikan akun peer menerima permintaan koneksi peering VPC.

# Tentukan wilayah tempat Anda ingin membuat IPv4 gateway.
provider "alicloud" {
  region = "cn-hangzhou"
}

# Secara otomatis mendapatkan daftar zona tempat vSwitch dapat dibuat berdasarkan sumber data.
data "alicloud_zones" "available_zones" {
  available_resource_creation = "VSwitch" # Kueri zona tempat resource dapat dibuat di VPC.
}

# Tentukan tipe instans.
variable "instance_type" {
  default = "ecs.e-c1m1.large"
}

# Tentukan ID gambar.
variable "image_id" {
  default = "aliyun_3_x64_20G_alibase_20221102.vhd"
}

# Buat VPC.
resource "alicloud_vpc" "example_vpc1" {
  vpc_name   = "example_vpc1_name"
  cidr_block = "10.0.0.0/16" # Tentukan Blok CIDR. 
}

# Buat VPC.
resource "alicloud_vpc" "example_vpc2" {
  vpc_name   = "example_vpc2_name"
  cidr_block = "30.0.0.0/16" # Tentukan Blok CIDR. 
}

# Buat vSwitch.
resource "alicloud_vswitch" "example_vsw1" {
  vswitch_name = "example_vsw1_name"
  cidr_block   = "10.0.1.0/24"
  vpc_id       = alicloud_vpc.example_vpc1.id
  zone_id      = data.alicloud_zones.available_zones.zones.0.id
}

# Buat vSwitch.
resource "alicloud_vswitch" "example_vsw2" {
  vswitch_name = "example_vsw2_name"
  cidr_block   = "30.0.1.0/24"
  vpc_id       = alicloud_vpc.example_vpc2.id
  zone_id      = data.alicloud_zones.available_zones.zones.1.id
}

# Buat grup keamanan.
resource "alicloud_security_group" "example_security_group1" {
  security_group_name = "example_security_group1_name"
  vpc_id              = alicloud_vpc.example_vpc1.id
}

# Buat aturan grup keamanan. Sesuaikan protokol dan nomor port sesuai kebutuhan.
resource "alicloud_security_group_rule" "allow_Internet1" {
  type              = "ingress"
  ip_protocol       = "icmp"
  nic_type          = "intranet"
  policy            = "accept"
  port_range        = "-1/-1"
  priority          = 1
  security_group_id = alicloud_security_group.example_security_group1.id
  cidr_ip           = "0.0.0.0/0"
}

# Buat grup keamanan.
resource "alicloud_security_group" "example_security_group2" {
  security_group_name = "example_security_group2_name"
  vpc_id              = alicloud_vpc.example_vpc2.id
}

# Buat aturan grup keamanan. Sesuaikan protokol dan nomor port sesuai kebutuhan.
resource "alicloud_security_group_rule" "allow_Internet2" {
  type              = "ingress"
  ip_protocol       = "icmp"
  nic_type          = "intranet"
  policy            = "accept"
  port_range        = "-1/-1"
  priority          = 1
  security_group_id = alicloud_security_group.example_security_group2.id
  cidr_ip           = "0.0.0.0/0"
}

# Buat instans ECS.
resource "alicloud_instance" "example_instance1" {
  instance_name        = "example_instance1_name"
  vswitch_id           = alicloud_vswitch.example_vsw1.id
  instance_type        = var.instance_type
  image_id             = var.image_id
  system_disk_category = "cloud_essd"
  security_groups      = [alicloud_security_group.example_security_group1.id]
  instance_charge_type = "PostPaid"
  spot_strategy        = "SpotWithPriceLimit"
}

# Buat EIP.
resource "alicloud_eip_address" "example_eip" {
  address_name = "example_eip_name"
  isp          = "BGP"
  netmode      = "public"
  bandwidth    = "1"
  payment_type = "PayAsYouGo"
}

# Asosiasikan instans ECS dengan EIP.
resource "alicloud_eip_association" "example_eip_ecs_association" {
  allocation_id = alicloud_eip_address.example_eip.id
  instance_type = "EcsInstance"
  instance_id   = alicloud_instance.example_instance1.id
}

# Buat instans ECS.
resource "alicloud_instance" "example_instance2" {
  instance_name        = "example_instance2_name"
  vswitch_id           = alicloud_vswitch.example_vsw2.id
  instance_type        = var.instance_type
  image_id             = var.image_id
  system_disk_category = "cloud_essd"
  security_groups      = [alicloud_security_group.example_security_group2.id]
  instance_charge_type = "PostPaid"
  spot_strategy        = "SpotWithPriceLimit"
}

# Buat tabel rute kustom.
resource "alicloud_route_table" "example_route_table1" {
  route_table_name = "example_route_table1_name"
  vpc_id           = alicloud_vpc.example_vpc1.id
}

# Asosiasikan tabel rute dengan vSwitch.
resource "alicloud_route_table_attachment" "example_route_table_attachment1" {
  vswitch_id     = alicloud_vswitch.example_vsw1.id
  route_table_id = alicloud_route_table.example_route_table1.id
}

# Buat tabel rute kustom.
resource "alicloud_route_table" "example_route_table2" {
  route_table_name = "example_route_table2_name"
  vpc_id           = alicloud_vpc.example_vpc2.id
}

# Asosiasikan tabel rute dengan vSwitch.
resource "alicloud_route_table_attachment" "example_route_table_attachment2" {
  vswitch_id     = alicloud_vswitch.example_vsw2.id
  route_table_id = alicloud_route_table.example_route_table2.id
}

# Buat koneksi peering VPC.
resource "alicloud_vpc_peer_connection" "example_vpc_peer" {
  peer_connection_name = "example_vpc_peer_name"
  vpc_id               = alicloud_vpc.example_vpc1.id
  accepting_ali_uid    = "1234****" # ID akun tempat VPC peer berada. Dalam contoh ini, koneksi peering VPC dalam satu akun dibuat. Jika Anda membuat koneksi peering lintas akun, Anda harus membuat alicloud_vpc_peer_connection_accepter untuk memastikan akun peer menerima permintaan koneksi peering VPC.
  accepting_region_id  = "cn-hangzhou"
  accepting_vpc_id     = alicloud_vpc.example_vpc2.id
}

# Konfigurasikan rute untuk koneksi peering.
resource "alicloud_route_entry" "example_peer_route1" {
  route_table_id        = alicloud_route_table.example_route_table1.id
  destination_cidrblock = "30.0.0.0/16"
  nexthop_type          = "VpcPeer"
  nexthop_id            = alicloud_vpc_peer_connection.example_vpc_peer.id
}

# Konfigurasikan rute untuk koneksi peering.
resource "alicloud_route_entry" "example_peer_route2" {
  route_table_id        = alicloud_route_table.example_route_table2.id
  destination_cidrblock = "10.0.0.0/16"
  nexthop_type          = "VpcPeer"
  nexthop_id            = alicloud_vpc_peer_connection.example_vpc_peer.id
}

# Buat IPv4 gateway.
resource "alicloud_vpc_ipv4_gateway" "example_ipv4gw" {
  ipv4_gateway_name = "example_ipv4gw_name"
  vpc_id            = alicloud_vpc.example_vpc1.id
  enabled           = true
}

# Tambahkan rute yang mengarah ke IPv4 gateway.
resource "alicloud_route_entry" "example_igw_route" {
  route_table_id        = alicloud_route_table.example_route_table1.id
  destination_cidrblock = "0.0.0.0/0"
  nexthop_type          = "Ipv4Gateway"
  nexthop_id            = alicloud_vpc_ipv4_gateway.example_ipv4gw.id
}

Arahkan ulang lalu lintas Internet masuk ke perangkat keamanan pihak ketiga

IPv4 gateway hanya dapat mengontrol terpusat lalu lintas Internet keluar. Untuk lalu lintas Internet masuk ke VPC, gunakan tabel rute gateway yang terhubung ke IPv4 gateway untuk mengarahkan ulang lalu lintas tersebut ke perangkat keamanan guna inspeksi dan penyaringan mendalam. Hal ini membantu mencegah serangan berbahaya dan akses tidak sah, serta memberikan perlindungan keamanan. Anda juga dapat menggunakan tabel rute kustom untuk mengarahkan ulang lalu lintas keluar ke perangkat keamanan guna perlindungan keamanan masuk dan keluar yang komprehensif.

IPv4 gateway hanya dapat dihubungkan ke satu tabel rute gateway, yaitu jenis tabel rute untuk gerbang perbatasan. Setiap VPC hanya mendukung satu IPv4 gateway dan satu tabel rute gateway. Keduanya dihubungkan secara satu-ke-satu.

Untuk mengarahkan ulang lalu lintas masuk, modifikasi entri rute sistem di tabel rute gateway dan atur lompatan berikutnya untuk blok CIDR vSwitch ke perangkat keamanan. Anda tidak dapat membuat rute kustom di tabel rute gateway dengan mengklik Add Route Entry.

Arsitektur titik tunggal

Arsitektur ketersediaan tinggi GWLB

Dalam arsitektur titik tunggal, kegagalan perangkat keamanan memengaruhi ketersediaan sistem bisnis Anda. Gateway Load Balancer (GWLB) memungkinkan Anda menerapkan perangkat keamanan secara highly available dan menghilangkan titik kegagalan tunggal.

Jalur lalu lintas Internet IPv4 masuk

Jalur lalu lintas Internet IPv4 keluar

1. Lalu lintas IPv4 memasuki VPC bisnis melalui IPv4 gateway.

2. Berdasarkan tabel rute gateway, lalu lintas dikirim ke endpoint Gateway Load Balancer (GWLBe).

3. GWLBe meneruskan lalu lintas ke GWLB. GWLB kemudian meneruskan lalu lintas ke perangkat keamanan.

4. Setelah perangkat keamanan menyelesaikan pemeriksaan keamanan, lalu lintas dikembalikan ke GWLB lalu ke GWLBe melalui PrivateLink.

5. Berdasarkan tabel rute yang dikonfigurasi untuk subnet GWLBe, lalu lintas dikirim ke server bisnis.

1. Berdasarkan tabel rute yang dikonfigurasi untuk subnet server bisnis, lalu lintas dikirim ke GWLBe.

2. GWLBe meneruskan lalu lintas ke GWLB. GWLB kemudian meneruskan lalu lintas ke perangkat keamanan.

3. Setelah perangkat keamanan menyelesaikan pemeriksaan keamanan, lalu lintas dikembalikan ke GWLB lalu ke GWLBe melalui PrivateLink.

4. Berdasarkan tabel rute yang dikonfigurasi untuk subnet GWLBe, lalu lintas dikirim ke IPv4 gateway.

5. IPv4 gateway mengarahkan lalu lintas ke Internet.

Untuk mengonfigurasi tabel rute gateway, temukan rute sistem untuk blok CIDR vSwitch target. Di kolom Actions, klik Edit. Atur endpoint Gateway Load Balancer sebagai lompatan berikutnya. Setelah menyimpan perubahan, entri rute tersebut akan muncul di tab Custom Route.

Konsol

Hubungkan tabel rute gateway

Di halaman detail IPv4 gateway target, klik Bind. Atau, di tab Associated Border Gateway halaman detail tabel rute gateway target, klik Associate Border Gateway dan pilih IPv4 gateway target.

Lepaskan tabel rute gateway

Di halaman detail IPv4 gateway target, atau di tab Associated Border Gateway halaman detail tabel rute gateway target, klik Unbind.

API

Panggil AssociateRouteTableWithGateway untuk menghubungkan tabel rute gateway.
Panggil DissociateRouteTableFromGateway untuk melepaskan tabel rute gateway.

Terraform

Resource: alicloud_vpc_gateway_route_table_attachment

# Tentukan wilayah tempat IPv4 gateway dideploy.
provider "alicloud" {
  region = "cn-hangzhou"
}

# Tentukan ID IPv4 gateway.
variable "ipv4_gateway_id" {
  default = "ipv4gw-hp3v******" # Ganti nilai dengan ID aktual IPv4 gateway.
}

# Tentukan ID tabel rute gateway.
variable "route_table_id" {
  default = "vtb-hp3w******" # Ganti nilai dengan ID aktual tabel rute gateway.
}

# Hubungkan tabel rute gateway.
resource "alicloud_vpc_gateway_route_table_attachment" "example_attachment" {
  ipv4_gateway_id = var.ipv4_gateway_id
  route_table_id  = var.route_table_id
}

Informasi lebih lanjut

Batasan

VPC hanya mendukung satu IPv4 gateway, dan satu IPv4 gateway hanya dapat diasosiasikan dengan satu VPC.
Anda tidak dapat membuat IPv4 gateway jika terdapat resource yang beroperasi dalam mode transparan EIP di dalam VPC.
Contohnya, jika mode asosiasi EIP Gateway NAT Internet di VPC diatur ke mode multi-EIP-ke-ENI, maka Gateway NAT Internet tersebut tidak kompatibel dengan IPv4 gateway. Panggil operasi ModifyNatGatewayAttribute untuk mengubah EipBindMode ke mode NAT guna memastikan kompatibilitas.
Dalam skenario VPC bersama, pemilik resource dapat membuat, mengubah, atau menghapus IPv4 gateway, tetapi pihak yang berwenang tidak memiliki izin untuk melakukan operasi tersebut.
Saat Anda menyambungkan EIP atau Anycast EIP ke instans Classic Load Balancer (CLB) yang menghadap privat:
- Di UK (London), Jepang (Tokyo), SAU (Riyadh - Partner Region), Malaysia (Kuala Lumpur), Tiongkok (Hohhot), dan AS (Virginia), lalu lintas akses Internet juga dibatasi oleh IPv4 gateway.
  Wilayah yang didukung dapat berubah sewaktu-waktu.
  - Instans CLB yang menghadap privat dan dideploy di public vSwitch dapat mengakses Internet setelah Alamat IP publik disambungkan.
  - Instans CLB yang menghadap privat dan dideploy di private vSwitch tidak dapat mengakses Internet meskipun Alamat IP publik disambungkan. Anda dapat mengonfigurasi rute yang mengarah ke Gateway NAT Internet untuk mengarahkan lalu lintas menuju Internet ke Gateway NAT Internet. Dengan demikian, instans CLB dapat menggunakan Alamat IP publik Gateway NAT Internet untuk mengakses Internet.
- Di wilayah lain, lalu lintas akses Internet tidak dibatasi oleh IPv4 gateway.

Penagihan

IPv4 gateway tidak dikenai biaya.

Biaya transfer data dibebankan pada Alamat IP publik, seperti EIP atau Alamat IP publik statis dari instans ECS atau CLB. Untuk informasi lebih lanjut, lihat dokumentasi penagihan produk terkait.

Wilayah yang didukung

Area	Wilayah yang mendukung IPv4 gateway
Asia-Pasifik - Tiongkok	Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Nanjing - Local Region - Decommissioning), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), Tiongkok (Hong Kong), Tiongkok (Wuhan - Local Region), Tiongkok (Fuzhou - Local Region - Decommissioning)
Asia-Pasifik - Lainnya	Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), Thailand (Bangkok)
Eropa dan Amerika	Jerman (Frankfurt), UK (London), AS (Silicon Valley), AS (Virginia), Meksiko
Timur Tengah	UEA (Dubai), SAU (Riyadh - Partner Region)

Kuota

Nama kuota	Deskripsi	Batas default	Dapat disesuaikan
Tidak ada	IPv4 gateway per VPC.	1	Tidak.
Tidak ada	Tabel rute gateway per IPv4 gateway.	1	Tidak.