全部产品
Search

搜索本产品

    Virtual Private Cloud:Rencanakan jaringan

    文档中心

    Virtual Private Cloud:Rencanakan jaringan

    更新时间:Aug 16, 2025

    Saat menggunakan virtual private cloud (VPC) untuk menerapkan layanan Anda, Anda harus merencanakan jaringan untuk VPC Anda berdasarkan kebutuhan saat ini dan potensi ekspansi. Ini memastikan bahwa layanan Anda berjalan sesuai harapan dan memungkinkan pertumbuhan bisnis.

    Pertimbangkan isolasi yang aman, pemulihan bencana, dan biaya operasional serta pemeliharaan (O&M) untuk memastikan stabilitas dan skalabilitas. Jaringan yang dirancang secara tidak tepat dapat membawa risiko tak terduga bagi bisnis Anda. Saat arsitektur jaringan tidak mengikuti kebutuhan ekspansi dan penskalaan bisnis, pembangunan ulangnya akan mahal dan mengganggu. Oleh karena itu, penting untuk merancang jaringan dari berbagai tingkat dan dimensi. Ikuti langkah-langkah berikut untuk merencanakan VPC Anda.

    Perencanaan wilayah dan zona

    Instans di zona berbeda dalam satu wilayah dapat berkomunikasi satu sama lain. Bahkan jika satu zona mati, zona lain tetap bekerja seperti yang diharapkan. Instans dalam zona yang sama memiliki latensi lebih rendah, menghasilkan akses lebih cepat. Rencanakan wilayah dan zona berdasarkan informasi berikut.

    Item

    Deskripsi

    Latensi

    Jarak yang lebih pendek antara pengguna dan lokasi sumber daya berarti latensi lebih rendah dan kinerja lebih baik.

    Wilayah dan zona yang didukung

    Layanan Alibaba Cloud yang berbeda tersedia di wilayah dan zona yang berbeda dan inventaris mereka bervariasi. Pilih zona dan wilayah berdasarkan layanan Anda.

    Biaya

    Harga layanan cloud dapat bervariasi menurut wilayah. Kami merekomendasikan memilih wilayah berdasarkan anggaran Anda.

    Ketersediaan tinggi dan pemulihan bencana

    Untuk layanan yang memerlukan kemampuan pemulihan bencana tinggi, terapkan layanan Anda di beberapa zona dalam wilayah yang sama. Anda juga dapat menerapkan layanan Anda di beberapa wilayah untuk mencapai pemulihan bencana lintas wilayah.

    Kepatuhan

    Pilih wilayah yang memenuhi persyaratan kepatuhan data dan kebijakan pendaftaran bisnis negara atau wilayah Anda.

    VPC tidak dapat diterapkan di beberapa wilayah. Untuk menerapkan layanan Anda di beberapa wilayah, Anda harus membuat VPC di setiap wilayah dan menggunakan Koneksi peering VPC atau Cloud Enterprise Network (CEN) untuk mengaktifkan komunikasi antar-VPC. vSwitch adalah sumber daya tingkat zona. Perhatikan hal-hal berikut:

    • Jika Anda memilih beberapa zona karena batasan inventaris Elastic Compute Service (ECS), cadangkan blok CIDR yang cukup dan perhatikan bahwa latensi meningkat ketika lalu lintas berbelok antar-zona.

    • Beberapa wilayah hanya memiliki satu zona, seperti China (Nanjing - Local Region) Closing Down. Jika Anda memiliki kebutuhan pemulihan bencana intra-wilayah, kami sarankan pertimbangan hati-hati sebelum memilih wilayah tersebut.

    Perencanaan akun dan VPC

    Setelah merencanakan wilayah dan zona, Anda bisa mulai membuat VPC. Pertimbangkan skala bisnis dan isolasi keamanan saat merencanakan akun, VPC, dan vSwitch untuk meningkatkan penggunaan sumber daya dan mengurangi biaya.

    Perencanaan akun

    Untuk bisnis yang lebih kecil, gunakan satu akun Alibaba Cloud atau akun RAM untuk mengelola sumber daya. Dalam hal ini, Anda dapat melewati bagian ini. Saat skala Anda bertambah, Anda harus merencanakan akun berdasarkan izin dan persyaratan isolasi keamanan.

    Item

    Deskripsi

    Isolasi izin

    Buat akun individu untuk setiap departemen untuk mengisolasi sumber daya, biaya, dan izin. Untuk proyek besar atau aplikasi dengan persyaratan khusus, gunakan akun terpisah untuk kontrol yang lebih baik.

    Isolasi sistem

    Untuk sistem yang memerlukan isolasi ketat, seperti lingkungan produksi dan pengujian, gunakan akun khusus untuk mengurangi risiko lintas lingkungan.

    Kepatuhan keamanan

    Untuk peningkatan kepatuhan keamanan, pertahankan data sensitif dan beban kerja di akun terpisah yang terisolasi.

    Manajemen tagihan

    Gunakan beberapa akun untuk mengisolasi sumber daya. Ini memudahkan pelacakan biaya dan manajemen tagihan.

    Log dan O&M

    Gunakan akun independen untuk menyimpan data log semua akun untuk memudahkan audit keamanan.

    Kompleksitas jaringan meningkat dengan jumlah VPC dan akun. Gunakan fitur Berbagi VPC untuk mengurangi kompleksitas sambil menjaga keamanan dan stabilitas jaringan.

    Perencanaan VPC

    VPC menyediakan lingkungan jaringan yang aman dan fleksibel di cloud, di mana VPC terisolasi satu sama lain dan instance dalam VPC dapat berkomunikasi satu sama lain. Rencanakan jumlah VPC Anda sesuai kebutuhan.

    Skenario

    Satu VPC

    • Layanan Anda kecil dan diterapkan di satu wilayah tanpa kebutuhan isolasi jaringan.

    • Anda menggunakan VPC untuk pertama kali.

    • Anda khawatir tentang biaya terkait koneksi lintas-VPC.

    Beberapa VPC

    • Layanan Anda besar dan diterapkan di wilayah berbeda.

    • Layanan Anda berada di satu wilayah, tetapi harus diisolasi.

    • Arkektur bisnis Anda kompleks, dan setiap departemen memerlukan manajemen independen.

    Skenario untuk membuat beberapa VPC

    Kami merekomendasikan menggunakan beberapa VPC dalam skenario berikut:

    • Penerapan lintas wilayah

      VPC tidak dapat diterapkan di beberapa wilayah. Jika Anda ingin menerapkan aplikasi Anda di wilayah berbeda, buat beberapa VPC dan gunakan Koneksi peering VPC, CEN, dan gateway VPN untuk menghubungkan VPC.

    • Isolasi layanan

      Jika layanan Anda memerlukan isolasi, seperti isolasi antara lingkungan produksi dan pengujian, terapkan layanan Anda di VPC berbeda dan gunakan Koneksi peering VPC, CEN, dan gateway VPN untuk menghubungkan VPC. Ini memberikan isolasi logis dan keamanan.

    • Sistem bisnis kompleks

      Jika arsitektur bisnis Anda kompleks dan setiap departemen memerlukan VPC independen untuk mengelola sumber daya.

    Catatan

    Secara default, Anda dapat membuat maksimal 10 VPC di setiap wilayah. Untuk meminta peningkatan kuota, kunjungi halaman Manajemen Kuota atau halaman Pusat Kuota.

    Perencanaan vSwitch

    vSwitch adalah sumber daya tingkat zona yang menampung semua layanan cloud dalam VPC. Membuat vSwitch membantu Anda merencanakan alamat IP dengan benar. Semua vSwitch dalam VPC dapat berkomunikasi satu sama lain secara default.

    Item

    Deskripsi

    Latensi

    Latensi antar zona dalam wilayah yang sama rendah. Namun, panggilan sistem yang kompleks dan panggilan lintas zona dapat meningkatkan latensi.

    Ketersediaan tinggi dan pemulihan bencana

    Kami merekomendasikan membuat setidaknya dua vSwitch dalam VPC dan menerapkan vSwitch di zona berbeda untuk pemulihan bencana lintas zona. Anda dapat menerapkan layanan di beberapa zona dan mengonfigurasi aturan keamanan secara terpusat. Ini meningkatkan ketersediaan sistem dan pemulihan bencana.

    Skala bisnis dan divisi

    Buat vSwitch berdasarkan modul bisnis. Misalnya, Anda dapat menerapkan lapisan web, lapisan logika, dan lapisan data di vSwitch berbeda untuk membuat arsitektur web standar.

    Rencanakan vSwitch Anda berdasarkan informasi berikut:

    • Buat setidaknya dua vSwitch dan terapkan mereka di zona berbeda untuk kemampuan failover. Saat satu vSwitch down, yang lain mengambil alih dan mencapai pemulihan bencana lintas zona.

      Latensi antar zona dalam wilayah yang sama secara teori rendah. Namun, latensi aktual perlu diverifikasi. Latensi jaringan dapat meningkat karena topologi jaringan yang kompleks dan panggilan lintas zona. Kami merekomendasikan memperkuat dan memvalidasi arsitektur Anda untuk menyeimbangkan ketersediaan tinggi dan latensi rendah.

    • Jumlah vSwitch yang diperlukan tergantung pada skala sistem dan desain arsitektur Anda. Secara umum, buat vSwitch berdasarkan modul bisnis. Misalnya, terapkan layanan yang menghadap publik di vSwitch publik. Menerapkan layanan di beberapa zona memfasilitasi konfigurasi kebijakan keamanan terpusat dan tata kelola.

    Catatan

    Secara default, Anda dapat membuat maksimal 150 vSwitch di setiap VPC. Untuk meminta peningkatan kuota, kunjungi halaman Manajemen Kuota atau halaman Pusat Kuota.

    Perencanaan blok CIDR

    Saat Anda membuat VPC dan vSwitch, Anda harus menentukan blok CIDR VPC dan vSwitch. Ukuran blok CIDR menentukan jumlah sumber daya yang dapat diterapkan. Perencanaan blok CIDR yang tepat menghindari konflik alamat dan memastikan skalabilitas, sedangkan perencanaan yang tidak tepat dapat menyebabkan biaya tinggi untuk rekonstruksi jaringan.

    Catatan

    • Setelah Anda menentukan blok CIDR vSwitch, Anda tidak dapat mengubahnya.

    • Jika ruang alamat tidak mencukupi karena perencanaan yang tidak tepat, tambahkan blok CIDR sekunder untuk memperluas ruang alamat. Anda tidak dapat mengubah blok CIDR sekunder.

    Perhatikan hal berikut saat merencanakan blok CIDR:

    • Gunakan blok CIDR IPv4 pribadi yang ditentukan oleh RFC 1918 dengan panjang masker 16. Untuk memperluas ruang alamat untuk VPC, tambahkan blok CIDR sekunder.

    • Jika Anda menerapkan layanan Anda di satu VPC, gunakan masker jaringan besar untuk mencadangkan alamat yang cukup.

    • Hindari tumpang tindih blok CIDR saat Anda membuat beberapa VPC untuk bisnis Anda.

    • Hindari tumpang tindih blok CIDR saat Anda membuat beberapa zona untuk pemulihan bencana.

    Seiring meningkatnya skala jaringan, perencanaan blok CIDR menjadi lebih kompleks dan sulit. Anda dapat menggunakan Pengelola Alamat IP (IPAM) untuk secara otomatis menetapkan alamat IP dan mendeteksi potensi konflik alamat IP, sehingga meningkatkan efisiensi perencanaan blok CIDR. Untuk informasi lebih lanjut, lihat Pengelola Alamat IP (IPAM).

    Perhatikan hal berikut saat menggunakan IPAM:

    • Rancang kolam IPAM yang berbeda untuk lingkungan yang berbeda, seperti lingkungan pengembangan dan lingkungan produksi.

    • Saat Anda menggunakan kolam IPAM untuk menetapkan blok CIDR pribadi ke VPC, pastikan blok CIDR VPC tidak tumpang tindih satu sama lain.

    • Lihat informasi tentang blok CIDR VPC dan penggunaan alamat di konsol IPAM.

    Perencanaan blok CIDR VPC

    Kami merekomendasikan menggunakan alamat IPv4 pribadi yang ditentukan dalam standar RFC 1918 untuk blok CIDR IPv4 sekunder, dengan subnet mask 16 hingga 28 bit, seperti 10.0.0.0/16, 172.16.0.0/16, 192.168.0.0/16. Anda juga dapat menentukan blok CIDR VPC kustom.

    Blok CIDR VPC

    Rentang alamat IP

    10.0.0.0/16

    10.0.0.0 hingga 10.0.255.255

    172.16.0.0/16

    172.16.0.0 hingga 172.16.255.255

    192.168.0.0/24

    192.168.0.0 hingga 192.168.0.255

    Saat Anda menentukan blok CIDR untuk VPC, perhatikan aturan berikut:

    • Jika Anda hanya memiliki satu VPC dan VPC tidak perlu berkomunikasi dengan pusat data, Anda dapat menentukan salah satu blok CIDR RFC atau subsetnya sebagai blok CIDR VPC.

    • Jika Anda memiliki beberapa VPC atau ingin menyiapkan lingkungan cloud hibrid antara VPC dan pusat data Anda, kami merekomendasikan merencanakan jaringan dengan benar sebelum pembuatan. Pastikan blok CIDR VPC yang berbeda atau blok CIDR VPC dan pusat data Anda tidak tumpang tindih.

    • Anda tidak dapat menentukan 100.64.0.0/10, 224.0.0.0/4, 127.0.0.0/8, 169.254.0.0/16, atau salah satu subsetnya sebagai blok CIDR kustom.

    • Anda harus memeriksa apakah jaringan klasik digunakan sebelum menentukan blok CIDR untuk VPC Anda. Jika jaringan klasik digunakan dan Anda ingin menghubungkan instance ECS di jaringan klasik ke VPC Anda, jangan tentukan 10.0.0.0/8 sebagai blok CIDR VPC karena blok CIDR jaringan klasik adalah 10.0.0.0/8.

    • Anda dapat menggunakan IPAM untuk merencanakan kolam dan menentukan masker jaringan default untuk alokasi. Anda juga dapat melihat penggunaan alamat VPC dengan menggunakan IPAM.

    Perencanaan blok CIDR vSwitch

    Blok CIDR vSwitch harus merupakan subset dari blok CIDR VPC tempat vSwitch tersebut berada. Misalnya, jika blok CIDR VPC adalah 192.168.0.0/24, masker jaringan vSwitch dalam VPC harus /25 hingga /29.

    Saat Anda menentukan blok CIDR untuk vSwitch, perhatikan batasan berikut:

    • Masker jaringan blok CIDR IPv4 untuk vSwitch harus /16 hingga /29, yang dapat menyediakan 8 hingga 65.536 alamat IP.

    • Pastikan blok CIDR vSwitch berbeda dari blok CIDR VPC.

    • Saat Anda merencanakan blok CIDR vSwitch, Anda perlu mempertimbangkan jumlah instance ECS dan sumber daya cloud lain yang dapat dialokasikan ke vSwitch. Kami merekomendasikan menentukan blok CIDR besar untuk mencadangkan alamat IP yang cukup untuk penggunaan nanti. Namun, jika blok CIDR terlalu besar, Anda tidak dapat memperluasnya. Jika blok CIDR VPC adalah 10.0.0.0/16, VPC mendukung 65.536 alamat IP. Karena instance ECS dan instance ApsaraDB RDS perlu diterapkan di vSwitch, kami merekomendasikan menentukan /24 sebagai masker jaringan vSwitch, yang mendukung 256 alamat IP. VPC dengan blok CIDR 10.0.0.0/16 dapat dibagi menjadi maksimal 256 vSwitch dengan masker /24. Anda dapat melakukan penyesuaian yang sesuai berdasarkan saran sebelumnya.

    • Jika vSwitch dialokasikan blok CIDR IPv4, alamat IPv4 pertama dan tiga alamat IPv4 terakhir dicadangkan oleh sistem. Jika vSwitch dialokasikan blok CIDR IPv6, alamat IPv6 pertama dan tiga alamat IPv6 terakhir dicadangkan oleh sistem. Tabel berikut memberikan contoh.

      Blok CIDR vSwitch

      Alamat IP yang dicadangkan

      Blok CIDR IPv4

      192.168.1.0/24

      192.168.1.0

      192.168.1.253

      192.168.1.254

      192.168.1.255

      Blok CIDR IPv6

      2001:XXXX:XXXX:1a00/64

      2001:XXXX:XXXX:1a00::

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff7

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff8

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff9

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffa

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffb

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffc

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffd

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffe

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff

    • Jika beberapa VPC diterapkan dan vSwitch perlu berkomunikasi dengan vSwitch lain di VPC yang berbeda atau pusat data, pastikan blok CIDR vSwitch tidak tumpang tindih dengan blok CIDR peer. Jika tidak, komunikasi gagal.

    • Fitur ClassicLink memungkinkan instance ECS di jaringan klasik berkomunikasi dengan instance ECS di VPC yang blok CIDR-nya adalah 10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16. Jika blok CIDR VPC untuk berkomunikasi dengan jaringan klasik adalah 10.0.0.0/8, blok CIDR vSwitch yang termasuk dalam VPC harus 10.111.0.0/16. Untuk informasi lebih lanjut, lihat Ikhtisar ClassicLink.

    Perencanaan tabel rute

    Tabel rute terdiri dari rute. Rute terdiri dari blok CIDR tujuan, jenis hop berikutnya, dan hop berikutnya. Rute digunakan untuk meneruskan lalu lintas ke tujuan tertentu. Setiap VPC dapat berisi maksimal 10 tabel rute, termasuk tabel rute sistem. Anda dapat merujuk pada saran berikut untuk merencanakan jumlah tabel rute.

    Gunakan satu tabel rute

    Jika jalur lalu lintas vSwitch tidak berbeda secara signifikan, Anda dapat menggunakan satu tabel rute. Setelah membuat VPC, sistem secara otomatis membuat tabel rute sistem dan menambahkan rute sistem ke dalamnya. Tabel rute sistem tidak dapat dibuat atau dihapus, tetapi Anda dapat menambahkan rute kustom ke tabel tersebut untuk meneruskan lalu lintas ke tujuan tertentu.

    Gunakan beberapa tabel rute

    Jika jalur lalu lintas vSwitch berbeda secara signifikan, misalnya, Anda perlu mengontrol akses Internet untuk beberapa instans, Anda dapat menggunakan beberapa tabel rute. Anda dapat menerapkan vSwitch publik dan pribadi. Instans dalam vSwitch pribadi dapat menggunakan gateway NAT Internet untuk mengakses Internet. Ini memastikan kontrol terpadu untuk akses Internet dan memenuhi persyaratan isolasi.

    Catatan

    Setiap VPC mendukung maksimal sembilan tabel rute kustom. Untuk meningkatkan kuota, kunjungi halaman Manajemen Kuota atau halaman Pusat Kuota.

    Perencanaan koneksi jaringan

    Alibaba Cloud menyediakan jaringan cloud yang terisolasi dengan aman dan skalabilitas elastis serta mendukung koneksi cepat antara cloud dan pusat data. Anda dapat menggunakan VPC untuk mengakses Internet, VPC lain, dan pusat data. Gabungkan VPC dengan layanan lain untuk konektivitas jaringan yang disesuaikan dengan bisnis Anda.

    Akses Internet

    Perhatikan saran berikut tentang komunikasi dengan Internet:

    • Jika layanan Anda yang diterapkan di instance ECS perlu mengakses Internet, konfigurasikan alamat IP publik untuk instance ECS tersebut. Alamat IP publik bisa berupa alamat IP publik statis atau alamat IP elastis (EIP). Kami merekomendasikan Anda mengaitkan EIP dengan instance ECS.

    • Jika hanya satu instance ECS yang digunakan untuk menyediakan layanan melalui Internet, single point of failure (SPOF) dapat terjadi, yang akan memengaruhi ketersediaan sistem. Gunakan instance Server Load Balancer (SLB) sebagai titik masuk lalu lintas Internet terpadu dan kaitkan beberapa instance ECS dengan instance SLB. Ini mencegah SPOF dan meningkatkan ketersediaan layanan.

    • Jika beberapa instance ECS perlu mengakses Internet, gunakan fitur SNAT dari gateway NAT Internet untuk memungkinkan instance ECS berbagi EIP dan mengakses Internet. Ini menghemat alamat IP publik.

    • Jika instance ECS Anda menyediakan layanan melalui Internet, gunakan gateway IPv4 atau gateway IPv6 untuk mengelola akses Internet untuk instance ECS secara terpadu.

    Koneksi lintas-VPC

    Anda dapat menggunakan layanan berikut untuk mengaktifkan konektivitas antar-VPC.

    • Jika Anda menggunakan sejumlah kecil VPC (umumnya tidak lebih dari lima), gunakan koneksi peering VPC untuk mengaktifkan konektivitas antar-VPC.

    • Jika arsitektur jaringan Anda kompleks dengan banyak VPC, gunakan CEN untuk mengelola VPC secara efisien, memfasilitasi O&M, dan memastikan transfer data yang aman.

    • Saat Anda mengakses layanan Alibaba Cloud seperti Object Storage Service (OSS) melalui Internet, data sensitif mungkin bocor. Gunakan PrivateLink untuk menghubungkan VPC tempat endpoint berada dan VPC tempat layanan endpoint berada, mengurangi risiko keamanan.

    • Gunakan gateway VPN untuk membangun koneksi aman antara dua VPC, tetapi latensi jaringan tinggi.

    Cloud hibrid

    Anda dapat menggunakan layanan berikut untuk menghubungkan pusat data ke VPC, membangun cloud hibrid.

    • Jika Anda memerlukan keamanan tinggi dan latensi rendah, gunakan sirkuit Express Connect untuk menghubungkan pusat data Anda ke VPC.

    • Jika Anda ingin mengurangi biaya, gunakan gateway VPN untuk menghubungkan pusat data Anda ke VPC melalui terowongan terenkripsi.

    Apa saja persyaratan untuk koneksi lintas-VPC dan penyebaran cloud hibrid?

    Untuk menghubungkan VPC ke VPC lain atau pusat data, pastikan blok CIDR tidak tumpang tindih satu sama lain. Perhatikan aturan berikut saat Anda merencanakan blok CIDR:

    • Anda dapat menggunakan subnet blok CIDR standar untuk meningkatkan jumlah blok CIDR yang tersedia yang didukung oleh VPC. Kami merekomendasikan Anda menentukan blok CIDR yang tidak tumpang tindih untuk VPC yang berbeda.

    • Jika Anda tidak dapat memastikan blok CIDR yang tidak tumpang tindih untuk VPC yang berbeda, kami merekomendasikan Anda mengonfigurasi blok CIDR yang tidak tumpang tindih untuk vSwitch di VPC yang berbeda.

    • Jika Anda tidak dapat memastikan blok CIDR yang tidak tumpang tindih untuk vSwitch di VPC yang berbeda, kami merekomendasikan Anda mengonfigurasi blok CIDR yang tidak tumpang tindih untuk vSwitch yang perlu berkomunikasi satu sama lain.

    Gambar berikut menggambarkan skenario di mana VPC1, VPC2, dan VPC3 diterapkan di wilayah China (Hangzhou), China (Beijing), dan China (Shenzhen). VPC1 dan VPC2 berkomunikasi satu sama lain melalui koneksi peering VPC. VPC3 saat ini tidak memiliki persyaratan koneksi tetapi mungkin perlu terhubung dengan VPC2 di masa depan. Selain itu, pusat data di China (Hangzhou) terhubung ke VPC1 di wilayah yang sama melalui sirkuit Express Connect. Meskipun VPC3 tidak memerlukan konektivitas lintas-VPC, kami merekomendasikan menjaga blok CIDR yang tidak tumpang tindih di semua VPC untuk mengakomodasi ekspansi di masa depan.

    Anda dapat membuat tiga kolam regional di kolam IPAM untuk memastikan bahwa alamat IP yang cukup dapat dialokasikan di setiap wilayah. Buat alokasi kustom dan alokasikan 10.0.2.0/24 ke pusat data. Ini mencegah konflik alamat IP dan memastikan bahwa alamat IP tidak akan disalahgunakan.

    Perencanaan keamanan

    Isolasi keamanan mencakup isolasi layanan, isolasi sumber daya, dan isolasi jaringan. Anda perlu mempertimbangkan persyaratan isolasi keamanan saat merencanakan wilayah, zona, akun, dan blok CIDR. Membuat pengguna RAM dapat mengisolasi sumber daya dan membuat vSwitch untuk VPC dapat mengisolasi jaringan. Isolasi sumber daya dan isolasi jaringan adalah metode untuk menerapkan isolasi layanan. Anda dapat menerapkan isolasi berdasarkan kebutuhan Anda.

    Lapisan keamanan

    Saran

    Di dalam VPC

    Jika Anda menerapkan beberapa layanan di VPC, kami merekomendasikan Anda membuat vSwitch untuk setiap layanan dan menggunakan kelompok keamanan dan daftar kontrol akses jaringan (ACL) untuk menerapkan isolasi keamanan.

    Batas VPC

    • Buat vSwitch publik dan vSwitch pribadi sesuai kebutuhan Anda. Anda dapat menerapkan layanan yang memerlukan akses Internet langsung di vSwitch publik dan menerapkan layanan yang tidak memerlukan akses Internet langsung di vSwitch pribadi. Selain itu, kami merekomendasikan Anda menggunakan satu vSwitch sebagai titik masuk lalu lintas Internet dan vSwitch lain sebagai titik keluar lalu lintas internet.

    • Gunakan gateway IPv4 atau gateway IPv6 untuk kontrol akses terpadu dan gunakan rute subnet atau rute gateway bersama dengan firewall untuk perlindungan keamanan.

    • Konfigurasikan aturan egress-only untuk titik keluar lalu lintas Internet untuk menolak akses dari Internet.

    Anda dapat menggunakan fitur log aliran dan fitur mirroring lalu lintas untuk memantau VPC dan menyelesaikan masalah. Ini meningkatkan stabilitas dan keandalan sistem.

    Metrik

    Deskripsi

    Log aliran

    Kumpulkan data lalu lintas dan analisis log lalu lintas untuk mengoptimalkan bandwidth dan menghilangkan hambatan jaringan.

    Mirroring lalu lintas

    Cerminkan paket tertentu yang melewati ENI untuk inspeksi konten, pemantauan ancaman, dan pemecahan masalah.

    Perencanaan pemulihan bencana

    Anda dapat merencanakan pemulihan bencana berdasarkan arsitektur layanan Anda untuk memastikan keamanan data dan ketersediaan layanan.

    • Jika Anda memiliki persyaratan tinggi untuk pemulihan bencana, terapkan VPC di beberapa wilayah dan terapkan vSwitch di beberapa zona untuk pemulihan bencana.

    • Jika layanan Anda memerlukan respons cepat, konkurensi tinggi, dan peningkatan keamanan data, gunakan SLB untuk menerapkan pemulihan kluster, persistensi sesi, dan penyebaran lintas zona.

    • Jika Anda perlu menghubungkan pusat data Anda ke VPC melalui koneksi cepat dan stabil, gunakan sirkuit Express Connect. Ini memastikan sinkronisasi data, mencegah SPOF, dan meningkatkan ketersediaan layanan.

    • Jika Anda memiliki persyaratan tinggi untuk ketersediaan layanan, gunakan fitur alamat IP virtual ketersediaan tinggi (HaVip) bersama dengan Keepalived atau Heartbeat untuk membuat arsitektur ketersediaan tinggi. Ini memastikan bahwa alamat IP layanan tetap tidak berubah selama switchover dan meningkatkan ketersediaan.

    • Anda dapat mencapai kemampuan pemulihan bencana layanan cloud. Misalnya, RDS menggunakan arsitektur aktif/standby. Endpoint aktif dan standby dapat diterapkan di zona yang sama atau zona berbeda dalam satu wilayah. Untuk meningkatkan ketersediaan dan pemulihan bencana, Anda dapat menerapkan endpoint lintas zona.

    Gambar berikut menunjukkan cara meningkatkan arsitektur satu zona menjadi arsitektur aktif/standby, yang memberikan keamanan dan ketersediaan lebih tinggi.

    Sebelum Anda membuat VPC, pastikan Anda mempertimbangkan hal-hal berikut: skala bisnis saat ini dan ekspansi di masa depan, isolasi keamanan, ketersediaan layanan dan pemulihan bencana, biaya, jumlah VPC dan vSwitch, serta blok CIDR yang dialokasikan ke VPC dan vSwitch. Untuk informasi lebih lanjut, lihat Buat dan kelola VPC.