Gunakan Gateway IPv4 atau IPv6 dengan tabel rute gateway untuk mengarahkan lalu lintas masuk dari Internet ke perangkat keamanan guna inspeksi dan penyaringan. Ini membantu mencegah serangan jahat dan akses tidak sah, memastikan perlindungan keamanan. Topik ini menjelaskan cara menggunakan Gateway IPv4 dan tabel rute gateway untuk mengelola lalu lintas yang masuk ke virtual private clouds (VPC).
Skenario
Beberapa bisnis menggunakan perangkat keamanan pihak ketiga di VPC untuk membersihkan lalu lintas. Perangkat ini mencakup perangkat keras atau perangkat lunak keamanan siber dari vendor independen, seperti firewall dan sistem deteksi intrusi. Dengan memodifikasi entri rute sistem dalam tabel rute gateway dan mengaitkannya dengan Gateway IPv4, lalu lintas internet masuk dialihkan ke perangkat keamanan ini untuk pemeriksaan, memungkinkan Anda mengelola akses ke VPC.
Prasyarat
VPC telah dibuat di wilayah China (Shanghai), dengan dua instance Elastic Compute Service (ECS) bernama ECS-A dan ECS-B di dalamnya.
Dua tabel rute kustom telah dibuat dan masing-masing terpasang pada vSwitch 1 dan vSwitch 2.
Prosedur
Langkah 1: Buat Gateway IPv4 dan ikat tabel rute gateway
Buat dan aktifkan Gateway IPv4.
Masuk ke Konsol Gateway IPv4. Pilih wilayah tempat VPC berada dari bilah menu atas. Contoh ini memilih China (Shanghai).
Klik Create IPv4 Gateway, pilih VPC, dan klik Create.
Pilih tabel rute yang terhubung ke vSwitch yang terkait dengan ECS-A dan klik Activate.
CatatanSaat diaktifkan, sistem akan menambahkan rute default dengan blok CIDR tujuan
0.0.0.0/0yang mengarah ke Gateway IPv4 ke tabel rute vSwitch. Ini memungkinkan vSwitch yang terhubung ke tabel rute mengakses Internet. Jika sudah ada rute default yang mengarah ke0.0.0.0/0, Anda tidak dapat menambahkan yang lain untuk Gateway IPv4.Sebelum Gateway IPv4 diaktifkan, lalu lintas VPC tetap tidak terpengaruh. Namun, aktivasi dapat menyebabkan gangguan jaringan singkat karena jalur lalu lintas berubah.
Aktifkan gateway dan konfigurasikan tabel rute vSwitch.
Buat tabel rute gateway.
Masuk ke Konsol Tabel Rute. Pilih wilayah China (Shanghai) dari bilah menu atas.
Klik Create Route Table, pilih VPC, pilih Associated Resource Type sebagai Border Gateway, masukkan nama untuk tabel rute, dan klik OK.
Kaitkan tabel rute gateway.
Di halaman detail tabel rute gateway, kaitkan gateway perbatasan.
Pastikan status gateway perbatasan adalah Active.
Langkah 2: Konfigurasikan perangkat keamanan
Instance ECS-A diperlakukan sebagai perangkat keamanan dalam contoh ini dan memerlukan konfigurasi pengalihan lalu lintas IP. Jika Anda menggunakan perangkat keamanan pihak ketiga, hubungi penyedia perangkat untuk membantu penyebaran.
Dalam contoh ini, sistem operasi adalah Alibaba Cloud Linux 3.2104 64-bit.
Masuk ke ECS-A dan jalankan perintah berikut untuk mengaktifkan pengalihan lalu lintas IP:
Diaktifkan secara permanen
# Secara permanen mengaktifkan pengalihan IP (dengan menulis ke file konfigurasi)
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
# Berlaku segera
sysctl -pTidak valid setelah instance di-restart
# Sementara mengaktifkan pengalihan IP (tidak valid setelah restart)
sysctl -w net.ipv4.ip_forward=1Langkah 3: Konfigurasikan routing
Konfigurasikan tabel rute kustom untuk lalu lintas keluar.
Di halaman Route Tables, temukan tabel rute kustom yang terkait dengan vSwitch tempat ECS-B berada dan klik ID-nya.
Navigasikan ke tab dan buat entri rute dengan blok CIDR tujuan
0.0.0.0/0yang menentukan ECS-A (perangkat keamanan) sebagai hop berikutnya.
Konfigurasikan tabel rute gateway untuk lalu lintas masuk.
Di halaman Route Tables, temukan tabel rute gateway yang Anda buat dan klik ID-nya.
Navigasikan ke tab untuk melihat entri rute sistem. Rute sistem dengan blok CIDR vSwitch sebagai tujuan ditambahkan secara otomatis.
Edit Destination CIDR Block untuk mengarah ke vSwitch 2 dan atur hop berikutnya sebagai ECS-A (perangkat keamanan).
Setelah dikonfigurasi, entri rute sistem akan menjadi entri kustom. Pastikan status entri rute adalah Active.
Verifikasi hasil
Pastikan bahwa konfigurasi ACL jaringan dan kelompok keamanan tidak mengganggu uji konektivitas ECS.
Verifikasi akses lalu lintas masuk
Akses alamat IP publik ECS-B di browser dengan menavigasi ke http://<Alamat IP Elastis ECS-B>.
Verifikasi lalu lintas masuk melewati ECS-A
Masuk ke ECS-A dan jalankan tcpdump dst host <IP privat ECS-B> untuk menangkap lalu lintas ke ECS-B.
Akses alamat IP publik ECS-B di browser dan periksa hasil penangkapan paket di ECS-A.
Operasi tambahan
Kelola lalu lintas IPv6
Gateway IPv4 mengelola lalu lintas IPv4 publik di perbatasan VPC. Untuk mengelola lalu lintas IPv6 yang masuk ke VPC, Anda harus membuat Gateway IPv6 dan mengaitkannya dengan tabel rute gateway.
Sistem secara otomatis membuat Gateway IPv6 untuk VPC yang memiliki IPv6 diaktifkan. Pastikan bandwidth Internet IPv6 diaktifkan untuk alamat IPv6 instance ECS untuk menghubungkan ECS dan Internet IPv6.
Buat tabel rute gateway dan kaitkan dengan Gateway IPv6.
Masuk ke Konsol Tabel Rute. Di bilah menu atas, pilih wilayah tempat Gateway IPv6 berada.
Klik Create Route Table, pilih VPC, pilih Associated Resource Type sebagai Border Gateway, masukkan nama, dan klik OK.
Di halaman produk tabel rute gateway, klik , pilih Gateway IPv6, dan kaitkan.
Konfigurasikan tabel rute gateway untuk lalu lintas masuk IPv6.
Navigasikan ke tab untuk melihat entri rute sistem. Rute sistem dibuat secara otomatis dengan blok CIDR vSwitch yang ditentukan sebagai tujuan.
Modifikasi entri rute IPv6 yang Destination CIDR Block-nya adalah vSwitch 2, dan atur hop berikutnya sebagai ECS-A (perangkat keamanan).
Modifikasi routing masuk melalui Internet
Modifikasi entri rute sistem tabel rute gateway untuk menyesuaikan routing masuk publik.
Hop berikutnya untuk rute IPv4 atau IPv6 dapat dimodifikasi menjadi ECS Instance, ENI, dan GWLB Endpoint.
Anda hanya dapat memodifikasi entri rute sistem tabel rute gateway. Anda tidak dapat membuat yang kustom.
Setelah Anda mengedit dan menyimpan entri rute sistem, itu menjadi entri kustom. Menghapusnya akan menyebabkannya kembali menjadi entri rute sistem.
Perhatikan hal berikut saat Anda mengedit entri rute sistem dalam tabel rute gateway:
Instance ECS/Antarmuka Jaringan Elastis (ENI): Akses instance ECS atau ENI tertentu di vSwitch. Ini biasanya digunakan untuk mengarahkan ulang lalu lintas Internet secara aman ke instance tertentu. Untuk memodifikasi instance, Anda harus menghapus entri rute yang ada dan memasukkan kembali informasi rute sistem, karena penggantian langsung tidak didukung.
Titik Akhir Gateway Load Balancer (GWLB): Akses titik akhir tertentu dalam vSwitch. Ini biasanya digunakan untuk mengarahkan ulang lalu lintas Internet ke perangkat keamanan pihak ketiga di GWLB.
Bergantung pada wilayah, hop berikutnya dapat dimodifikasi menjadi GWLB Endpoint. Untuk informasi lebih lanjut tentang wilayah yang didukung, lihat wilayah yang mendukung Titik Akhir GWLB.
Lepaskan tabel rute gateway
Lepaskan tabel rute gateway dari Gateway IPv4 atau IPv6 untuk menghapus kemampuan routing gateway.
Di halaman Route Tables, temukan tabel rute gateway dan klik ID-nya.
Klik tab Associated Border Gateway, temukan gateway, dan klik Unbind di kolom Actions.
Di kotak dialog pop-up, klik OK.
Hapus tabel rute gateway
Lepaskan gateway perbatasan sebelum menghapus tabel rute gateway jika saat ini terkait.
Di halaman Route Tables, temukan tabel rute gateway, lalu klik Delete di kolom Actions.
Di kotak dialog Delete Route Table, klik OK.
Referensi
Untuk informasi lebih lanjut tentang Gateway IPv4, panduan penggunaannya, dan batasan, lihat Gateway IPv4.
Anda juga dapat mengelola tabel rute gateway dengan memanggil API berikut:
AssociateRouteTableWithGateway: Kaitkan tabel rute dengan gateway.
DissociateRouteTableFromGateway: Lepaskan dari gateway.
UpdateGatewayRouteTableEntryAttribute: Modifikasi hop berikutnya dari tabel rute gateway.
ListGatewayRouteTableEntries: Kueri daftar tabel rute gateway.