Saat menerapkan layanan Anda di virtual private cloud (VPC), rencanakan jaringan berdasarkan kebutuhan saat ini dan proyeksi pertumbuhan di masa depan guna memastikan jaringan memenuhi permintaan saat ini sekaligus mendukung ekspansi bisnis.
Dalam merencanakan jaringan, pertimbangkan isolasi keamanan, pemulihan bencana, dan biaya O&M. Rencana yang berwawasan ke depan menjamin stabilitas bisnis dan skalabilitas jaringan, sedangkan desain jaringan yang tidak mempertimbangkan masa depan dapat menghambat ekspansi serta memperkenalkan risiko tak terduga. Membangun ulang jaringan yang telah ada bersifat mahal dan mengganggu; oleh karena itu, diperlukan rencana jaringan yang komprehensif dan multifaset.
Ikuti langkah-langkah berikut untuk merencanakan VPC Anda:
Rencanakan wilayah dan zona
Dalam satu wilayah, semua zona saling berkomunikasi melalui jaringan internal. Setiap zona terisolasi dari kegagalan di zona lainnya, sehingga jika satu zona gagal, zona lain tetap beroperasi secara normal. Instans yang ditempatkan dalam zona yang sama memiliki latensi jaringan lebih rendah, memungkinkan akses pengguna yang lebih cepat.
Pertimbangan | Deskripsi |
Latensi | Menempatkan resource lebih dekat dengan pengguna akhir mengurangi latensi jaringan dan meningkatkan kecepatan akses. |
Ketersediaan layanan | Layanan Alibaba Cloud memiliki ketersediaan yang berbeda-beda di setiap wilayah dan zona. Pastikan layanan cloud yang Anda butuhkan tersedia di wilayah dan zona yang dipilih. |
Biaya | Harga layanan cloud dapat berbeda antar wilayah. Kami merekomendasikan memilih wilayah yang sesuai dengan anggaran Anda. |
Ketersediaan tinggi dan pemulihan bencana | Untuk layanan yang memerlukan kemampuan pemulihan bencana tinggi, terapkan layanan tersebut di beberapa zona dalam satu wilayah yang sama. Anda juga dapat menerapkan layanan di beberapa wilayah untuk pemulihan bencana antar-wilayah. |
Kepatuhan | Pilih wilayah yang mematuhi kebijakan lokalisasi data dan pendaftaran operasional negara atau wilayah Anda. |
VPC tidak dapat diterapkan lintas wilayah. Untuk menerapkan layanan di beberapa wilayah, buat VPC di setiap wilayah dan hubungkan menggunakan koneksi peering VPC atau Cloud Enterprise Network (CEN). vSwitch merupakan resource zonal. Perhatikan hal-hal berikut:
Jika Anda menggunakan beberapa zona demi ketersediaan layanan cloud, siapkan Blok CIDR yang cukup dan pertimbangkan potensi peningkatan latensi akibat trafik antar-zona.
Beberapa wilayah hanya menyediakan satu zona, seperti China (Nanjing - Local Region, Closing Down). Jika Anda memerlukan pemulihan bencana intra-wilayah, pertimbangkan dengan cermat apakah akan memilih wilayah semacam ini.
Rencanakan akun dan VPC
Setelah merencanakan wilayah dan zona, Anda dapat mulai membuat VPC. Pertimbangkan skala bisnis dan isolasi keamanan untuk meningkatkan efisiensi penggunaan resource serta mengurangi biaya.
Rencanakan akun Anda
Jika bisnis Anda kecil dan semua resource dapat dikelola dengan satu akun atau akun utama beserta Pengguna RAM, Anda dapat melewati bagian ini.
Seiring peningkatan skala bisnis, Anda mungkin perlu mendelegasikan izin dan menerapkan isolasi keamanan antar lingkungan. Dalam kasus ini, rancang arsitektur multi-akun terpadu.
Pertimbangan | Deskripsi |
Isolasi izin | Buat akun terpisah untuk unit bisnis yang berbeda guna mengisolasi resource, biaya, dan izin agar lebih mudah dikelola. Untuk proyek besar atau aplikasi dengan persyaratan khusus, gunakan akun terpisah untuk kontrol yang lebih baik. |
Isolasi sistem | Untuk sistem yang memerlukan isolasi ketat, seperti lingkungan produksi dan pengujian, gunakan akun khusus untuk mengurangi risiko gangguan. |
Kepatuhan keamanan | Untuk meningkatkan kepatuhan keamanan, simpan data sensitif dan beban kerja dalam akun terpisah yang terisolasi. |
Manajemen biaya | Gunakan beberapa akun untuk mengisolasi resource. Hal ini memudahkan pelacakan biaya dan manajemen penagihan. |
Log dan O&M | Gunakan akun independen untuk menyimpan data log seluruh akun guna keperluan audit keamanan. |
Kompleksitas jaringan meningkat seiring bertambahnya jumlah VPC dan akun. Gunakan fitur VPC sharing untuk mengurangi kompleksitas sekaligus menjaga keamanan dan stabilitas jaringan.
Rencanakan VPC Anda
VPC menyediakan lingkungan jaringan yang aman dan fleksibel. VPC yang berbeda sepenuhnya terisolasi satu sama lain, sedangkan resource dalam VPC yang sama dapat berkomunikasi melalui jaringan pribadi. Rencanakan jumlah VPC sesuai kebutuhan Anda.
Jumlah VPC | Kasus penggunaan |
Satu |
 |
Beberapa |
Rencanakan beberapa VPC dalam kasus penggunaan berikut:
|
Secara default, Anda dapat membuat maksimal 10 VPC di setiap wilayah. Untuk meminta peningkatan kuota, kunjungi halaman Quota Management atau halaman Quota Center.
Rencanakan vSwitch Anda
vSwitch adalah resource zonal. Semua resource cloud dalam VPC ditempatkan di dalam vSwitch. Pembuatan vSwitch membantu Anda merencanakan alamat IP secara tepat. Semua vSwitch dalam satu VPC dapat saling berkomunikasi secara default.
Pertimbangan | Deskripsi |
Latensi | Latensi antar zona dalam satu wilayah rendah. Namun, panggilan sistem yang kompleks dan panggilan antar-zona dapat meningkatkan latensi. |
Ketersediaan tinggi dan pemulihan bencana | Saat menggunakan VPC, buat minimal dua vSwitch dan tempatkan di zona yang berbeda untuk pemulihan bencana. Konfigurasikan dan kelola aturan keamanan secara terpusat, yang secara signifikan meningkatkan ketersediaan tinggi dan pemulihan bencana. |
Skala dan pembagian bisnis | Buat vSwitch berdasarkan modul bisnis. Misalnya, untuk arsitektur aplikasi web standar, buat beberapa vSwitch untuk menampung lapisan web, logika, dan data. |
Rencanakan vSwitch Anda dengan mengacu pada prinsip-prinsip berikut:
Buat minimal dua vSwitch dan tempatkan di zona yang berbeda untuk failover. Saat satu vSwitch mati, vSwitch lainnya mengambil alih dan menyediakan pemulihan bencana.
Perhatikan bahwa latensi jaringan dapat meningkat akibat topologi jaringan yang kompleks dan panggilan antar-zona. Kami merekomendasikan peningkatan arsitektur Anda guna menyeimbangkan ketersediaan tinggi dan latensi rendah.
Jumlah vSwitch tergantung pada skala dan arsitektur sistem Anda. Biasanya, vSwitch dibuat berdasarkan modul bisnis. Misalnya, terapkan layanan yang menghadap Internet di vSwitch publik, sedangkan layanan lainnya dikelompokkan ke vSwitch berbeda berdasarkan jenisnya. Hal ini membantu menyederhanakan konfigurasi dan memungkinkan pengelolaan aturan keamanan secara terpusat.
Secara default, Anda dapat membuat maksimal 150 vSwitch di setiap VPC. Untuk meminta peningkatan kuota, kunjungi halaman Quota Management atau halaman Quota Center.
Rencanakan Blok CIDR
Saat membuat VPC dan vSwitch, Anda harus menentukan Blok CIDR VPC dan vSwitch. Ukuran Blok CIDR menentukan jumlah resource yang dapat diterapkan. Perencanaan Blok CIDR yang tepat menghindari konflik alamat dan memastikan skalabilitas, sedangkan perencanaan yang tidak tepat dapat menyebabkan biaya rekonstruksi yang tinggi.
Setelah Anda menentukan Blok CIDR vSwitch, Anda tidak dapat mengubahnya.
Jika ruang alamat tidak mencukupi akibat perencanaan yang tidak tepat, tambahkan Blok CIDR sekunder untuk memperluasnya. Anda tidak dapat mengubah Blok CIDR sekunder.
Perhatikan hal-hal berikut saat merencanakan Blok CIDR:
Gunakan Blok CIDR IPv4 pribadi yang ditentukan dalam standar RFC 1918 dengan panjang masker /16. Untuk memperluas ruang alamat VPC, tambahkan Blok CIDR sekunder.
Jika Anda menerapkan layanan di satu VPC, siapkan alamat yang cukup dengan menentukan panjang prefiks yang lebih kecil.
Hindari tumpang tindih Blok CIDR saat membuat beberapa VPC untuk bisnis Anda.
Hindari tumpang tindih Blok CIDR saat membuat beberapa zona untuk pemulihan bencana.
Saat skala jaringan meningkat, perencanaan Blok CIDR menjadi lebih kompleks. Gunakan IP Address Manager (IPAM) untuk mengalokasikan alamat IP secara otomatis dan mendeteksi potensi konflik alamat, sehingga meningkatkan efisiensi perencanaan Blok CIDR. Untuk informasi lebih lanjut, lihat IPAM.
Perhatikan hal-hal berikut saat menggunakan IPAM:
Rancang kolam IPAM untuk lingkungan yang berbeda, seperti lingkungan pengembangan dan produksi.
Saat menggunakan kolam IPAM untuk mengalokasikan Blok CIDR pribadi ke VPC, pastikan Blok CIDR VPC tidak saling tumpang tindih.
Lihat Blok CIDR VPC dan penggunaan alamat di konsol IPAM.
Rencanakan Blok CIDR VPC
Gunakan alamat IPv4 pribadi yang ditentukan dalam standar RFC 1918 untuk Blok CIDR IPv4 sekunder. Panjang masker yang direkomendasikan berkisar dari /16 hingga /28, misalnya 10.0.0.0/16, 172.16.0.0/16, atau 192.168.0.0/16. Anda juga dapat menentukan Blok CIDR VPC kustom.
CIDR VPC | Rentang alamat IP |
|
|
|
|
|
|
Saat menentukan Blok CIDR untuk VPC, perhatikan aturan berikut:
Jika Anda hanya memiliki satu VPC dan VPC tersebut tidak perlu berkomunikasi dengan pusat data, tentukan salah satu Blok CIDR RFC atau subsetnya sebagai Blok CIDR VPC.
Jika Anda memiliki beberapa VPC atau ingin menyiapkan lingkungan cloud hibrid antara VPC dan pusat data Anda, hindari konflik Blok CIDR antar VPC atau antara VPC dan pusat data.
Anda tidak dapat menentukan
100.64.0.0/10,224.0.0.0/4,127.0.0.0/8,169.254.0.0/16, atau salah satu subsetnya sebagai Blok CIDR kustom.Pilihan Blok CIDR VPC juga bergantung pada apakah Anda menggunakan jaringan klasik. Jika Anda menggunakan jaringan klasik dan berencana menghubungkan instans ECS dari jaringan klasik ke VPC Anda, jangan tentukan
10.0.0.0/8sebagai Blok CIDR VPC karena Blok CIDR jaringan klasik adalah10.0.0.0/8.Anda dapat menggunakan IPAM untuk merencanakan kolam dan menentukan masker jaringan default untuk alokasi. Lihat penggunaan alamat VPC menggunakan IPAM.
Rencanakan Blok CIDR vSwitch
Blok CIDR vSwitch harus merupakan subset dari Blok CIDR VPC. Misalnya, jika Blok CIDR VPC adalah 192.168.0.0/24, masker jaringan vSwitch dalam VPC tersebut harus /25 hingga /29.
Saat menentukan Blok CIDR untuk vSwitch, perhatikan batasan berikut:
Masker jaringan Blok CIDR IPv4 untuk vSwitch harus /16 hingga /29, yang dapat menyediakan 8 hingga 65.536 alamat IP.
Blok CIDR vSwitch tidak boleh sama dengan Blok CIDR VPC.
Perencanaan Blok CIDR vSwitch harus mempertimbangkan jumlah instans ECS dan resource cloud lainnya yang akan ditampung. Pilih Blok CIDR yang cukup besar untuk menyediakan alamat IP yang cukup bagi penggunaan di masa depan. Namun, hindari mengalokasikan Blok CIDR yang terlalu besar karena dapat menghambat segmentasi jaringan di masa mendatang.
Jika Anda membuat VPC dengan Blok CIDR
10.0.0.0/16, VPC tersebut mendukung 65.536 alamat IP. Mengingat Anda perlu menerapkan resource seperti ECS dan RDS dalam vSwitch, rencanakan masker/24untuk vSwitch Anda, dengan setiap vSwitch mendukung 256 alamat IP. VPC dengan Blok CIDR10.0.0.0/16dapat dibagi menjadi maksimal 256 vSwitch dengan masker/24. Sesuaikan jika diperlukan.Alamat pertama dan tiga alamat terakhir dari setiap Blok CIDR IPv4 vSwitch dicadangkan oleh sistem. Alamat pertama dan sembilan alamat terakhir dari setiap Blok CIDR IPv6 vSwitch dicadangkan oleh sistem. Contohnya:
Versi IP
CIDR vSwitch
Alamat IP yang dicadangkan
IPv4
192.168.1.0/24192.168.1.0192.168.1.253192.168.1.254192.168.1.255IPv6
2001:XXXX:XXXX:1a00/642001:XXXX:XXXX:1a00::2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff72001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff82001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff92001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffa2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffb2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffc2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffd2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffe2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffffJika beberapa VPC diterapkan dan vSwitch perlu berkomunikasi dengan vSwitch lain di VPC berbeda atau pusat data, pastikan Blok CIDR vSwitch tidak tumpang tindih dengan Blok CIDR peer. Jika tidak, komunikasi akan gagal.
Fitur ClassicLink memungkinkan instans ECS di jaringan klasik berkomunikasi dengan instans ECS di VPC yang Blok CIDR-nya adalah
10.0.0.0/8,172.16.0.0/12, atau192.168.0.0/16. Jika Blok CIDR VPC adalah10.0.0.0/8, Blok CIDR vSwitch yang termasuk dalam VPC tersebut harus10.111.0.0/16. Untuk informasi lebih lanjut, lihat Overview of ClassicLink.
Rencanakan tabel rute
Setiap entri dalam tabel rute adalah rute, yang terdiri dari Blok CIDR tujuan, tipe lompatan berikutnya, dan lompatan berikutnya. Rute mengarahkan trafik untuk Blok CIDR ke lompatan berikutnya. Setiap VPC dapat memiliki hingga 10 tabel rute, termasuk tabel rute sistem. Ikuti rekomendasi berikut untuk merencanakan tabel rute.
Gunakan satu tabel rute
Jika tidak ada perbedaan signifikan dalam perutean trafik di antara vSwitch dalam VPC Anda, satu tabel rute sudah cukup. Saat Anda membuat VPC, sistem secara otomatis membuat tabel rute sistem dan menambahkan rute sistem ke dalamnya untuk mengelola trafik VPC. Anda tidak dapat membuat atau menghapus tabel rute sistem, tetapi Anda dapat menambahkan rute kustom ke dalamnya untuk mengarahkan trafik ke Blok CIDR tujuan.
Gunakan beberapa tabel rute
Jika jalur trafik vSwitch sangat berbeda—misalnya, membatasi layanan cloud tertentu agar tidak mengakses Internet—Anda dapat menggunakan beberapa tabel rute. Terapkan vSwitch publik dan pribadi. Instans dalam vSwitch pribadi dapat mengakses Internet menggunakan gateway NAT Internet, yang memungkinkan kontrol terpadu untuk akses Internet dan memenuhi persyaratan isolasi.
Setiap VPC mendukung maksimal sembilan tabel rute kustom. Untuk meningkatkan kuota, kunjungi halaman Quota Management atau halaman Quota Center.
Rencanakan konektivitas jaringan
Alibaba Cloud menyediakan jaringan cloud yang terisolasi secara aman, dapat diskalakan secara elastis, serta mendukung koneksi cepat antara cloud dan pusat data. Gunakan VPC untuk mengakses Internet, VPC lain, dan pusat data. Gabungkan VPC dengan layanan lain guna menciptakan konektivitas jaringan yang disesuaikan dengan kebutuhan bisnis Anda.
Akses Internet
Perhatikan hal-hal berikut saat aplikasi Anda perlu mengakses Internet atau diakses dari Internet:
Konfigurasikan IP publik untuk instans ECS, yang dapat berupa IP publik statis atau elastic IP address (EIP). Kami merekomendasikan penggunaan EIP.
Jika hanya satu instans ECS yang digunakan untuk menyediakan layanan melalui Internet, single point of failure (SPOF) dapat terjadi, yang memengaruhi ketersediaan sistem. Gunakan Instance Server Load Balancer (SLB) sebagai titik masuk trafik Internet terpadu dan asosiasikan beberapa instans ECS ke instans SLB. Hal ini mencegah SPOF dan meningkatkan ketersediaan layanan.
Jika beberapa instans ECS perlu mengakses Internet, gunakan fitur SNAT dari gateway NAT Internet agar instans ECS dapat berbagi EIP dan mengakses Internet. Hal ini menghemat alamat IP publik.
Jika instans ECS Anda menyediakan layanan melalui Internet, gunakan gateway IPv4 atau gateway IPv6 untuk mengelola akses Internet instans ECS secara terpadu.
Koneksi antar-VPC
Anda dapat menggunakan layanan berikut untuk mengaktifkan konektivitas antar VPC.
Jika jumlah VPC tidak lebih dari lima, gunakan koneksi peering VPC untuk membuat koneksi antar pasangan.
Jika arsitektur jaringan Anda kompleks dengan banyak VPC, gunakan CEN untuk mengelola VPC secara efisien, memfasilitasi O&M, dan memastikan transfer data yang aman.
Saat Anda mengakses layanan Alibaba Cloud seperti Object Storage Service (OSS) melalui Internet, data sensitif dapat bocor. Gunakan PrivateLink untuk menghubungkan VPC tempat titik akhir berada dan VPC tempat layanan titik akhir berada, sehingga mengurangi risiko keamanan.
Gunakan gateway VPN untuk membuat koneksi aman antara dua VPC, tetapi latensi jaringannya tinggi.
Cloud hibrida
Gunakan layanan berikut untuk menghubungkan pusat data ke VPC.
Jika Anda memerlukan keamanan tinggi dan latensi rendah, gunakan sirkuit Express Connect.
Jika Anda ingin mengurangi biaya, gunakan gateway VPN.
Apa saja persyaratan untuk koneksi VPC dan penerapan cloud hibrida?
Untuk menghubungkan VPC ke VPC lain atau pusat data, pastikan Blok CIDR tidak saling tumpang tindih. Ikuti prinsip alokasi berikut berdasarkan prioritas:
CIDR VPC unik. Tetapkan Blok CIDR unik yang tidak tumpang tindih untuk setiap VPC. Menggunakan subnet dari rentang standar RFC 1918 meningkatkan jumlah CIDR yang tersedia.
CIDR vSwitch unik. Jika Anda tidak dapat memastikan CIDR VPC unik, pastikan Blok CIDR vSwitch dalam VPC yang berkomunikasi tidak saling tumpang tindih.
CIDR unik untuk vSwitch yang berkomunikasi. Jika bahkan Blok CIDR vSwitch saling tumpang tindih, pastikan vSwitch yang perlu saling berkomunikasi memiliki Blok CIDR yang tidak tumpang tindih. Komunikasi jaringan akan gagal jika tidak demikian.
Bayangkan Anda memiliki tiga VPC di wilayah berbeda: VPC1 di China (Hangzhou), VPC2 di China (Beijing), dan VPC3 di China (Shenzhen). Anda juga memiliki pusat data lokal di China (Hangzhou).
VPC1 perlu terhubung ke VPC2 menggunakan koneksi peering VPC.
VPC1 perlu terhubung ke pusat data lokal menggunakan Express Connect.
VPC3 saat ini tidak perlu terhubung ke apa pun, tetapi mungkin perlu terhubung ke VPC lain di masa depan.
IP Address Manager (IPAM) dapat membantu Anda mengelolanya. Buat kolam terpisah di IPAM untuk setiap wilayah guna memastikan alokasi IP yang tepat. Buat alokasi kustom dan alokasikan 10.0.2.0/24 ke pusat data. Hal ini mencegah konflik alamat IP dan memastikan alamat IP tidak disalahgunakan.
Rencanakan kemampuan keamanan
Isolasi keamanan mencakup isolasi layanan, resource, dan jaringan. Anda perlu mempertimbangkan persyaratan isolasi keamanan saat merencanakan wilayah, zona, akun, dan Blok CIDR. Pemisahan akun mencapai isolasi resource, sedangkan segmentasi VPC mencapai isolasi jaringan. Keduanya merupakan metode untuk mencapai isolasi bisnis. Rencanakan kemampuan keamanan Anda dengan menggabungkan skenario koneksi jaringan dengan pendekatan keamanan berlapis.
Lapisan keamanan | Saran |
Dalam VPC | Jika Anda menerapkan beberapa layanan dalam satu VPC, buat vSwitch untuk setiap layanan dan gunakan grup keamanan dan ACL jaringan. |
Batas VPC |
|
Gunakan log aliran dan cermin trafik untuk memantau VPC dan melakukan troubleshooting masalah. Hal ini meningkatkan stabilitas dan keandalan sistem.
Metrik | Deskripsi |
Log aliran | Kumpulkan data trafik dan analisis log trafik untuk mengoptimalkan bandwidth dan menghilangkan bottleneck jaringan. |
Cermin trafik | Cerminkan paket tertentu yang melewati ENI untuk inspeksi konten, pemantauan ancaman, dan troubleshooting. |
Rencanakan kemampuan pemulihan bencana
Rencanakan kemampuan pemulihan bencana yang sesuai dengan arsitektur Anda untuk memastikan keamanan data dan ketersediaan layanan.
Jika Anda memiliki persyaratan tinggi untuk pemulihan bencana, terapkan VPC di beberapa wilayah dan vSwitch di beberapa zona untuk pemulihan bencana.
Jika layanan Anda memerlukan respons cepat, konkurensi tinggi, dan keamanan data yang ditingkatkan, gunakan SLB untuk menerapkan pemulihan kluster, persistensi sesi, dan penerapan antar-zona.
Gunakan sirkuit Express Connect untuk menghubungkan pusat data Anda ke VPC melalui koneksi cepat dan stabil. Hal ini memastikan sinkronisasi data, mencegah SPOF, dan meningkatkan ketersediaan layanan.
Jika Anda memiliki persyaratan tinggi untuk ketersediaan layanan, gunakan fitur alamat IP virtual dengan ketersediaan tinggi (HaVip) bersama Keepalived atau Heartbeat untuk membuat arsitektur dengan ketersediaan tinggi. Hal ini memastikan alamat IP layanan tetap tidak berubah selama alih bencana.
Pertimbangkan kemampuan pemulihan bencana yang melekat dalam layanan cloud itu sendiri. Misalnya, Edisi Ketersediaan Tinggi RDS Active menggunakan arsitektur ketersediaan tinggi klasik dengan satu node primer dan satu node standby. Node primer dan standby dapat ditempatkan di zona yang sama atau berbeda dalam satu wilayah yang sama.
Gambar berikut menunjukkan cara meningkatkan arsitektur satu zona menjadi arsitektur aktif/standby, yang memberikan keamanan dan ketersediaan lebih tinggi.
Sebelum membuat VPC, pastikan Anda telah mempertimbangkan skala bisnis saat ini dan ekspansi di masa depan, isolasi keamanan, ketersediaan layanan dan pemulihan bencana, biaya, jumlah VPC dan vSwitch, serta Blok CIDR yang dialokasikan untuk VPC dan vSwitch. Untuk informasi lebih lanjut, lihat Buat dan kelola VPC.