All Products
Search
Document Center

Virtual Private Cloud:Kontrol lalu lintas inbound ke VPC dengan tabel rute gateway

Last Updated:Jun 21, 2026

Anda dapat menggunakan IPv4 gateway atau IPv6 gateway bersama tabel rute gateway untuk meneruskan lalu lintas internet inbound ke perangkat keamanan guna pemeriksaan dan penyaringan mendalam. Hal ini meningkatkan keamanan dengan mencegah serangan berbahaya dan akses tidak sah. Topik ini menjelaskan cara menggunakan IPv4 gateway dan tabel rute gateway untuk mengontrol traffic yang masuk ke VPC.

Scenario

Beberapa organisasi men-deploy perangkat keamanan pihak ketiga di dalam VPC untuk membersihkan lalu lintas internet inbound. Perangkat tersebut dapat berupa perangkat keras atau solusi perangkat lunak keamanan jaringan dari vendor independen, seperti firewall atau sistem pendeteksian intrusi. Dengan memodifikasi entri rute sistem dalam tabel rute gateway dan mengaitkannya dengan IPv4 gateway, Anda dapat mengalihkan lalu lintas internet inbound ke perangkat keamanan untuk memeriksa dan mengontrol traffic yang masuk ke VPC Anda.

Prerequisites

  • Anda telah membuat VPC di wilayah China (Shanghai) dan dua Instance ECS, bernama ECS-A dan ECS-B, di dalam VPC tersebut.

  • Anda telah membuat dua tabel rute kustom dan mengaitkannya masing-masing dengan vSwitch 1 dan vSwitch 2.

Procedure

Step 1: Create IPv4 gateway and associate route table

  1. Buat dan aktifkan IPv4 gateway.

    1. Masuk ke Konsol IPv4 gateway. Di bilah navigasi atas, pilih wilayah tempat VPC berada. Contoh ini menggunakan wilayah China (Shanghai).

    2. Klik Create IPv4 Gateway. Pada halaman Create IPv4 Gateway, pilih Resource Group dan konfigurasikan tag sesuai kebutuhan. Lalu, pilih VPC target dari daftar drop-down VPC dan klik Create.

    3. Pilih tabel rute untuk vSwitch yang berisi ECS-A dan klik Activate.

      • Saat Anda mengaktifkan gateway, sistem akan menambahkan entri rute default dengan blok CIDR tujuan 0.0.0.0/0 yang mengarah ke IPv4 gateway. Entri rute ini memungkinkan akses internet untuk vSwitch tersebut. Jika entri rute default dengan blok CIDR tujuan 0.0.0.0/0 sudah ada, sistem tidak dapat menambahkan entri rute default lain untuk IPv4 gateway.

      • Lalu lintas jaringan di dalam VPC tidak terpengaruh sebelum Anda mengaktifkan IPv4 gateway. Namun, pergantian jalur traffic selama aktivasi dapat menyebabkan gangguan jaringan singkat.

      Di bagian Select Route Table, pilih tabel rute kustom yang ingin Anda kaitkan. Kami menyarankan memilih tabel rute kustom alih-alih tabel rute utama. Lalu, klik Activate.

    4. IPv4 gateway telah diaktifkan dan tabel rute vSwitch telah dikonfigurasi.

      Setelah membuat IPv4 gateway, pastikan Status-nya adalah Available. Status ini menunjukkan bahwa gateway aktif dan tabel rutanya telah dikonfigurasi.

  2. Buat tabel rute gateway.

    1. Masuk ke Konsol tabel rute. Di bilah navigasi atas, pilih wilayah tempat IPv4 gateway berada. Contoh ini menggunakan wilayah China (Shanghai).

    2. Klik Create Route Table, pilih VPC, atur Associated Resource Type menjadi Border Gateway, tentukan nama untuk tabel rute tersebut, lalu klik OK.

  3. Kaitkan tabel rute gateway dengan border gateway.

    1. Di halaman detail tabel rute gateway, kaitkan border gateway.

      Pada kotak dialog yang muncul, pilih IPv4 gateway target yang statusnya Bindable, lalu klik OK.

    2. Setelah pengikatan selesai, pastikan status border gateway adalah Available. Di tab Bound Border Gateways, status Available menunjukkan bahwa pengikatan berhasil.

Step 2: Configure the security appliance

Penting

Dalam skenario ini, instans ECS-A bertindak sebagai perangkat keamanan dan Anda harus mengaktifkan IP forwarding pada instans tersebut. Jika Anda menggunakan perangkat keamanan pihak ketiga, hubungi penyedia perangkat tersebut untuk bantuan penerapan sesuai kebutuhan bisnis Anda.

Contoh ini menggunakan instans ECS yang menjalankan Alibaba Cloud Linux 3.2104 64-bit.

Masuk ke instans ECS-A dan jalankan perintah berikut untuk mengonfigurasi IP forwarding.

Permanent

# Aktifkan IP forwarding secara permanen dengan menulis pengaturan ke file konfigurasi.
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
# Terapkan perubahan segera.
sysctl -p

Temporary

# Aktifkan IP forwarding sementara. Pengaturan ini tidak bertahan setelah restart.
sysctl -w net.ipv4.ip_forward=1

Step 3: Configure routes

  1. Konfigurasikan tabel rute kustom untuk lalu lintas outbound.

    1. Di halaman Route Tables, temukan tabel rute kustom untuk vSwitch yang berisi instans ECS-B, lalu klik ID tabel rute tersebut.

    2. Buka tab Route Entry List > Custom Route dan klik Add Route Entry. Atur Destination CIDR Block menjadi 0.0.0.0/0, atur Next Hop Type menjadi ECS Instance, lalu pilih ECS-A dari daftar drop-down ECS Instance.

  2. Konfigurasikan tabel rute gateway untuk lalu lintas inbound.

    1. Di halaman Route Tables, temukan tabel rute gateway yang telah Anda buat dan klik ID-nya.

    2. Buka tab Route Entry List > System Route untuk melihat entri rute sistem. Secara default, sistem menambahkan entri rute sistem dengan blok CIDR tujuan masing-masing vSwitch.

    3. Edit entri rute yang Destination CIDR Block-nya sesuai dengan vSwitch 2, lalu atur lompatan berikutnya ke instans ECS-A yang bertindak sebagai perangkat keamanan. Untuk entri rute sistem, klik Edit. Di kotak dialog Edit Route Entry, atur Next Hop Type menjadi ECS Instance dan pilih ECS-A dari daftar drop-down ECS Instance.

    4. Setelah konfigurasi selesai, sistem akan mengubah entri rute sistem menjadi entri rute kustom. Pastikan status entri rute tersebut adalah Available.

      Di halaman daftar entri rute, klik tab Custom Route Entries untuk melihat detail entri rute, seperti blok CIDR tujuannya (misalnya, 10.0.1.0/24) dan lompatan berikutnya (instans ECS).

Verify the results

Pastikan konfigurasi ACL jaringan dan grup keamanan mengizinkan konektivitas untuk menguji instans ECS di dalam VPC.

Verify inbound internet traffic

Buka browser dan masukkan http://<EIP of ECS-B>.

Halaman menampilkan This is ECS-B!. Ini menunjukkan bahwa permintaan telah mencapai instans ECS-B.

Verify traffic flow through ECS-A

Masuk ke instans ECS-A dan jalankan perintah tcpdump dst host <Private IP address of ECS-B> untuk mengambil traffic yang ditujukan ke instans ECS-B.

Buka browser dan masukkan EIP instans ECS-B. Lalu, periksa hasil pengambilan paket di instans ECS-A.

[root@ECS-A ~]# tcpdump dst host 10.0.1.221
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:33:36.662426  IP 140.2xxx.xxx.19404 > 10.0.1.221.http: Flags [S], seq 884222365, w
17:33:36.662445  IP 140.2xxx.xxx.19404 > 10.0.1.221.http: Flags [S], seq 884222365, w
17:33:36.662818  IP 140.2xxx.xxx.37526 > 10.0.1.221.http: Flags [S], seq 3020843667,
17:33:36.662823  IP 140.2xxx.xxx.37526 > 10.0.1.221.http: Flags [S], seq 3020843667,
17:33:36.676731  IP 140.2xxx.xxx.19404 > 10.0.1.221.http: Flags [.], ack 1519927262,
17:33:36.676737  IP 140.2xxx.xxx.19404 > 10.0.1.221.http: Flags [.], ack 1, win 2058

More operations

Manage IPv6 traffic

IPv4 gateway mengontrol traffic IPv4 publik di batas VPC. Untuk mengontrol traffic IPv6 yang masuk ke VPC, Anda harus menggunakan IPv6 gateway dan mengaitkannya dengan tabel rute gateway.

Sistem secara otomatis membuat IPv6 gateway untuk VPC yang memiliki blok CIDR IPv6. Pastikan Anda telah mengaktifkan bandwidth publik IPv6 untuk alamat IPv6 instans ECS agar memungkinkan komunikasi antara instans ECS di dalam VPC dan internet IPv6.
  1. Buat tabel rute gateway dan kaitkan dengan IPv6 gateway.

    1. Masuk ke Konsol tabel rute. Di bilah navigasi atas, pilih wilayah tempat IPv6 gateway berada.

    2. Klik Create Route Table, pilih VPC, atur Associated Resource Type menjadi Border Gateway, tentukan nama untuk tabel rute tersebut, lalu klik OK.

    3. Di halaman detail tabel rute gateway, klik Associated Border Gateway > Associate Border Gateway, lalu pilih IPv6 gateway yang akan dikaitkan.

  2. Konfigurasikan tabel rute gateway untuk meneruskan lalu lintas inbound.

    1. Buka tab Route Entry List > System Route untuk melihat entri rute sistem. Secara default, sistem menambahkan entri rute sistem dengan blok CIDR tujuan masing-masing vSwitch.

    2. Edit entri rute IPv6 yang Destination CIDR Block-nya sesuai dengan vSwitch 2, lalu atur lompatan berikutnya ke instans ECS-A yang bertindak sebagai perangkat keamanan.

Adjust inbound internet routes

Anda dapat menyesuaikan rute internet inbound dengan memodifikasi entri rute sistem dalam tabel rute gateway.

Lompatan berikutnya dari rute IPv4 atau IPv6 dapat berupa ECS Instances, ENI, GWLB Endpoint, atau Route Target Group.

  • Anda hanya dapat memodifikasi entri rute sistem dalam tabel rute gateway. Anda tidak dapat membuat entri rute kustom.

  • Setelah Anda mengedit dan menyimpan entri rute sistem, sistem akan mengubahnya menjadi entri rute kustom. Jika Anda menghapus entri rute kustom tersebut, entri tersebut akan kembali menjadi entri rute sistem.

  • Saat mengedit entri rute sistem dalam tabel rute gateway, perhatikan hal berikut mengenai jenis lompatan berikutnya:

    • Instans ECS/antarmuka jaringan elastis (ENI): Mengizinkan akses ke instans atau ENI tertentu di dalam vSwitch. Ini sering digunakan untuk mengalihkan traffic publik secara aman ke instans ECS atau ENI tertentu. Jika Anda perlu mengganti instans ECS atau ENI, Anda harus menghapus entri rute tersebut lalu mengedit informasi rute sistem lagi. Anda tidak dapat langsung mengganti instans atau ENI tersebut.

    • GWLB endpoint: Mengizinkan akses ke endpoint tertentu di dalam vSwitch. Ini digunakan untuk mengalihkan traffic publik ke perangkat keamanan pihak ketiga dalam skenario Gateway Load Balancer (GWLB).

      Untuk informasi tentang wilayah yang mendukung modifikasi lompatan berikutnya menjadi GWLB Endpoint, lihat Regions that support GWLB.

    • Route Target Group: Anda dapat mengonfigurasi dua instans lompatan berikutnya dalam mode aktif/standby. Sistem secara otomatis melakukan pemeriksaan kesehatan pada instans tersebut. Jika suatu instans menjadi tidak sehat, sistem secara otomatis mengalihkan traffic untuk mencapai pemulihan bencana tingkat zona dan mempersingkat Objektif Waktu Pemulihan (RTO).

Unbind a gateway route table

Anda dapat memutus kait tabel rute gateway dari IPv4 gateway atau IPv6 gateway. Setelah diputus, border gateway tidak lagi menyediakan kemampuan routing gateway.

  1. Di halaman Route Tables, temukan tabel rute gateway target dan klik ID-nya.

  2. Klik tab Associated Border Gateway, temukan border gateway target, lalu klik Unbind di kolom Actions.

  3. Pada kotak dialog yang muncul, klik OK.

Delete a gateway route table

Anda harus memutus kait tabel rute gateway dari border gateway sebelum dapat menghapus tabel rute tersebut.

  1. Di halaman Route Tables, temukan tabel rute gateway target, lalu klik Delete di kolom Actions.

  2. Di kotak dialog Delete Route Table, klik OK.

Related documents