All Products
Search
Document Center

Virtual Private Cloud:Koneksi peering VPC

Last Updated:Jun 10, 2026

Secara default, VPC terisolasi dan tidak dapat saling berkomunikasi. Untuk mengaktifkan komunikasi privat antar-VPC, buat koneksi peering VPC dan konfigurasikan rute di masing-masing VPC. Fitur ini mendukung koneksi same-account dan cross-account serta same-region dan cross-region. Sebelum memulai, pastikan blok CIDR kedua VPC tidak tumpang tindih.

Alur kerja

Koneksi peering VPC menghubungkan dua VPC melalui jaringan pribadi, memungkinkan resource di kedua VPC berkomunikasi satu sama lain menggunakan alamat IP privat.

  1. Buat koneksi peering VPC: Untuk VPC dalam akun yang sama, sistem secara otomatis membuat koneksi. Untuk VPC lintas akun, akun penerima harus menerima permintaan koneksi.

  2. Konfigurasikan rute dua arah: Untuk mengaktifkan komunikasi, konfigurasikan rute di masing-masing VPC yang mengarah ke VPC peer.

Untuk interkoneksi banyak VPC dengan bandwidth tinggi dan biaya rendah, gunakan koneksi peering VPC bersama Cloud Enterprise Network. Lihat interkoneksi VPC untuk perbandingan keduanya.

Konfigurasi koneksi peering

Konsol

  1. Prasyarat:

    1. Pastikan blok CIDR kedua VPC tidak tumpang tindih. Jika tumpang tindih, migrasikan beban kerja ke VPC dengan blok CIDR yang tidak tumpang tindih.

    2. Jika Anda menggunakan koneksi peering VPC untuk pertama kali, pastikan Cloud Data Transfer (CDT) telah diaktifkan untuk akun yang memiliki kedua VPC tersebut.

  2. Buat koneksi peering:

    1. Buka halaman Konsol VPC - Koneksi Peering VPC. Di bilah navigasi atas, pilih wilayah VPC, lalu klik Create VPC Peering Connection.

    2. Di halaman pembuatan, pilih jenis akun penerima dan jenis wilayah berdasarkan akun dan wilayah VPC.

      • Jenis akun penerima:

        • Same-Account: Sistem secara otomatis menerima permintaan dan membuat koneksi. Anda dapat mencentang kotak untuk menambahkan rute blok CIDR VPC peer ke tabel rute sistem. Jika opsi ini dipilih, sistem secara otomatis mengonfigurasi rute dua arah.

        • Cross-Account: Gunakan akun penerima untuk membuka halaman Konsol VPC - Koneksi Peering VPC. Di bilah navigasi atas, pilih wilayah VPC. Di kolom Actions koneksi peering target, klik Accept.

          Akun penerima juga dapat Deny atau Delete permintaan koneksi. Untuk alur kerja lengkap, lihat Status koneksi peering VPC.
      • Jika jenis wilayah adalah Inter-Region, Anda harus mengonfigurasi Link Type dan Accepter Region.

        Tipe tautan Platinum dan Gold didukung. Keduanya menyediakan tingkat kualitas transfer data yang berbeda dan memiliki tarif penagihan yang berbeda.

        • Platinum (ketersediaan layanan 99,995%): Ideal untuk beban kerja yang sensitif terhadap fluktuasi jaringan dan latensi serta memerlukan kualitas tautan tinggi, seperti perdagangan sekuritas, panggilan suara online, konferensi video, dan gaming real-time.

        • Gold (ketersediaan layanan 99,95%): Cocok untuk beban kerja yang kurang sensitif terhadap kualitas tautan, seperti sinkronisasi data dan transfer file.

  3. Konfigurasi rute dua arah:

    Untuk mengaktifkan komunikasi melalui alamat IPv6, Anda harus mengonfigurasi entri rute yang mengarah ke blok CIDR IPv6 VPC peer.
    1. Di akun peminta: Di kolom Requester VPC, klik Configure route. Pilih Route Tables yang terkait dengan vSwitch dari resource yang ingin Anda hubungkan. Untuk Destination CIDR Block, masukkan blok CIDR VPC penerima.

    2. Di akun penerima: Di kolom Accepter, klik Configure route. Pilih Route Tables yang terkait dengan vSwitch dari resource yang ingin Anda hubungkan. Untuk Destination CIDR Block, masukkan blok CIDR VPC peminta.

  4. Verifikasi konektivitas:

    • Reachability Analyzer: Fitur ini menganalisis konektivitas tanpa mengirim paket data aktual, sehingga tidak memengaruhi layanan Anda.

      1. Di kolom Diagnose koneksi peering VPC target, pilih Diagnose > Reachability Analyzer. Atau, klik ID koneksi peering VPC untuk membuka tab Reachability Analyzer.

      2. Konfigurasikan sumber dan tujuan. Tentukan protokol dan nomor port untuk mensimulasikan skenario akses dan memverifikasi konektivitas.

      3. Sistem memeriksa rute, security group, dan ACL jaringan, lalu memberikan hasil diagnosis.

      4. Jika jalur dapat dijangkau dalam satu arah, Anda harus mengonfigurasi dan menganalisis jalur balik untuk memverifikasi konektivitas dua arah.

    • Verifikasi manual: Dari instance ECS di VPC peminta, jalankan perintah ping <IP privat instance ECS peer>.

Setelah membuat koneksi peering VPC lintas wilayah, Anda dapat mengklik ID instans lalu Edit Bandwidth (Mbit/s) dan Link Type koneksi.
Pemilik salah satu akun dapat menghapus koneksi peering VPC. Tindakan ini segera memutus konektivitas jaringan pribadi dan tidak dapat dikembalikan. Untuk menghindari gangguan layanan, lakukan dengan hati-hati.

API

Buat koneksi peering
  1. Panggil operasi CreateVpcPeerConnection untuk membuat koneksi peering VPC.

  2. Jika kedua VPC dimiliki oleh akun berbeda, gunakan akun penerima untuk memanggil operasi AcceptVpcPeerConnection guna menerima koneksi peering VPC.

    Akun penerima juga dapat memanggil operasi RejectVpcPeerConnection untuk menolak koneksi peering VPC.
  3. Dari masing-masing akun, panggil operasi GetVpcPeerConnectionAttribute untuk menanyakan blok CIDR VPC peer.

  4. Dari masing-masing akun, panggil operasi CreateRouteEntry untuk membuat entri rute yang mengarah ke koneksi peering VPC.

Ubah koneksi peering lintas wilayah

Panggil operasi ModifyVpcPeerConnection untuk mengubah bandwidth atau tipe tautan koneksi peering VPC lintas wilayah.

Hapus koneksi peering
Reachability Analyzer

Untuk menggunakan Reachability Analyzer guna memverifikasi konektivitas, panggil operasi API berikut secara berurutan:

  1. CreateNetworkAnalysisPath

  2. StartNetworkReachableAnalysis

  3. GetNetworkReachableAnalysisResult

Terraform

Koneksi peering same-account
Resource: alicloud_vpc_peer_connection, alicloud_route_entry
Data Sources: alicloud_account
# Akun yang memiliki VPC.
data "alicloud_account" "default" {}

provider "alicloud" {
  alias  = "local"
  region = "cn-hangzhou" # Wilayah VPC peminta.
}

provider "alicloud" {
  alias  = "accepting"
  region = "cn-beijing" # Wilayah VPC penerima. Bisa sama dengan wilayah peminta.
}

# ID VPC peminta.
variable "local_vpc_id" {
  default = "vpc-bp1c******"
}

# ID VPC penerima.
variable "accepting_vpc_id" {
  default = "vpc-2zev******"
}

# Buat koneksi peering VPC.
resource "alicloud_vpc_peer_connection" "example_peer_connection" {
  provider             = alicloud.local
  peer_connection_name = "example_peer_connection_name"
  vpc_id               = var.local_vpc_id                 # ID VPC peminta.
  accepting_ali_uid    = data.alicloud_account.default.id # ID akun penerima.   
  accepting_region_id  = "cn-beijing"                     # Wilayah VPC penerima.
  accepting_vpc_id     = var.accepting_vpc_id             # ID VPC penerima.
  bandwidth            = 1024                             # Bandwidth dalam Mbps. Hanya dapat dikonfigurasi untuk koneksi lintas wilayah.
  link_type            = "Gold"                           # Tipe tautan. Hanya dapat dikonfigurasi untuk koneksi lintas wilayah.
}

# Konfigurasi rute untuk VPC peminta.
resource "alicloud_route_entry" "example_local_route" {
  provider              = alicloud.local
  route_table_id        = "vtb-bp1a******"            # ID tabel rute yang terkait dengan vSwitch instance peminta.
  destination_cidrblock = "172.16.0.0/12"             # Blok CIDR VPC penerima.
  nexthop_type          = "VpcPeer"                   # Hop berikutnya adalah koneksi peering VPC.
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}

# Konfigurasi rute untuk VPC penerima.
resource "alicloud_route_entry" "example_acceptor_route" {
  provider              = alicloud.accepting
  route_table_id        = "vtb-2ze1******"            # ID tabel rute yang terkait dengan vSwitch instance penerima.
  destination_cidrblock = "10.0.0.0/8"                # Blok CIDR VPC peminta.
  nexthop_type          = "VpcPeer"                   # Hop berikutnya adalah koneksi peering VPC.
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}
Koneksi peering cross-account
Resource: alicloud_vpc_peer_connection, alicloud_vpc_peer_connection_accepter, alicloud_route_entry
provider "alicloud" {
  alias  = "local"
  region = "cn-hangzhou" # Wilayah VPC peminta. 
}

# Wilayah VPC penerima. Bisa sama dengan wilayah peminta.
variable "accepting_region" {
  default = "cn-beijing"
}

# ID akun penerima.
variable "accepting_uid" {
  default = "1234******"
}

# ID AccessKey akun penerima.
variable "access_key_id" {
  description = "ID AccessKey untuk mengelola infrastruktur Anda"
}
# Rahasia AccessKey akun penerima.
variable "access_key_secret" {
  description = "Rahasia AccessKey untuk mengelola infrastruktur Anda"
}

provider "alicloud" {
  alias      = "acceptor"
  region     = var.accepting_region
  access_key = var.access_key_id
  secret_key = var.access_key_secret
}

# ID VPC peminta.
variable "local_vpc_id" {
  default = "vpc-2ze0******"
}

# ID VPC penerima.
variable "accepting_vpc_id" {
  default = "vpc-wz9e******"
}

# Buat koneksi peering VPC.
resource "alicloud_vpc_peer_connection" "example_peer_connection" {
  provider             = alicloud.local
  peer_connection_name = "example_peer_connection_name"
  vpc_id               = var.local_vpc_id     # ID VPC peminta.
  accepting_ali_uid    = var.accepting_uid    # ID akun penerima.   
  accepting_region_id  = var.accepting_region # Wilayah VPC penerima.
  accepting_vpc_id     = var.accepting_vpc_id # ID VPC penerima.
  bandwidth            = 1024                 # Bandwidth dalam Mbps. Hanya dapat dikonfigurasi untuk koneksi lintas wilayah.
  link_type            = "Gold"               # Tipe tautan. Hanya dapat dikonfigurasi untuk koneksi lintas wilayah.
}

# Akun penerima menerima permintaan koneksi peering.
resource "alicloud_vpc_peer_connection_accepter" "example_peer_connection_accepter" {
  provider    = alicloud.acceptor
  instance_id = alicloud_vpc_peer_connection.example_peer_connection.id
}

# Konfigurasi rute untuk VPC peminta.
resource "alicloud_route_entry" "example_local_route" {
  provider              = alicloud.local
  route_table_id        = "vtb-2zel******" # ID tabel rute yang terkait dengan vSwitch instance peminta.
  destination_cidrblock = "192.168.0.0/24" # Blok CIDR VPC penerima.
  nexthop_type          = "VpcPeer"        # Hop berikutnya adalah koneksi peering VPC.
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}

# Konfigurasi rute untuk VPC penerima.
resource "alicloud_route_entry" "example_acceptor_route" {
  provider              = alicloud.acceptor
  route_table_id        = "vtb-wz95******" # ID tabel rute yang terkait dengan vSwitch instance penerima.
  destination_cidrblock = "172.16.0.0/12"  # Blok CIDR VPC peminta.
  nexthop_type          = "VpcPeer"        # Hop berikutnya adalah koneksi peering VPC.
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}

Pemecahan masalah konektivitas jaringan

Gunakan Reachability Analyzer untuk memverifikasi konektivitas jaringan.

Item pemeriksaan

Deskripsi

Solusi

Status koneksi peering

Verifikasi bahwa koneksi peering target memiliki Status Activated.

Jika statusnya Pending Acceptance, hubungi pemilik akun penerima untuk menerima permintaan koneksi.

Konfigurasi blok CIDR

Periksa VPC peminta dan penerima terhadap isu berikut:

  1. Blok CIDR tumpang tindih.

  2. Penggunaan blok CIDR pribadi non-RFC 1918, seperti 198.19.0.0/16 atau 30.0.0.0/8. VPC memperlakukan ini sebagai blok CIDR publik. Jika instance ECS memiliki alamat IP publik, lalu lintas ke blok CIDR ini dialihkan ke internet publik secara default.

  3. Konflik dengan alamat adaptor jaringan Docker jika Docker dideploy pada instance ECS.

  1. Jika blok CIDR tumpang tindih, migrasikan beban kerja Anda ke VPC dengan blok CIDR yang tidak tumpang tindih dan buat koneksi peering baru.

  2. Jika Anda menggunakan blok CIDR pribadi non-RFC 1918, gunakan IPv4 Gateway untuk mengaktifkan penggunaan privat alamat IP publik guna memastikan lalu lintas dialihkan dengan benar ke VPC tujuan.

  3. Ubah blok CIDR Docker.

Konfigurasi rute

Di halaman detail koneksi peering, periksa Route Entry List:

  1. Verifikasi bahwa setiap VPC memiliki entri rute yang mengarah ke VPC peer.

  2. Pastikan blok CIDR tujuan diatur ke blok CIDR VPC peer.

  3. Konfirmasi entri rute ada di tabel rute untuk vSwitch yang berisi resource Anda.

Periksa dan perbaiki konfigurasi rute dua arah.

Konfigurasi aturan akses

  1. Aturan security group untuk instance ECS yang terhubung mengizinkan lalu lintas dari rentang alamat IP peer.

  2. Daftar izin (allowlist) instance RDS mencakup rentang alamat IP peer.

  3. Aturan inbound dan outbound ACL jaringan yang terkait dengan vSwitch mengizinkan lalu lintas dari rentang alamat IP peer.

Pastikan security group, ACL jaringan, dan allowlist RDS semuanya mengizinkan lalu lintas dari rentang alamat IP peer.

Kegagalan konektivitas akibat konflik blok CIDR

  1. Blok CIDR tumpang tindih:

    Jika blok CIDR VPC yang di-peer tumpang tindih dan Anda mengonfigurasi blok CIDR VPC peer sebagai tujuan, lalu lintas akan cocok dengan rute sistem lokal terlebih dahulu. Hal ini mengarahkan lalu lintas dalam VPC lokal, sehingga tidak mencapai VPC peer.

    1. Jika blok CIDR vSwitch tidak tumpang tindih, Anda dapat mengonfigurasi blok CIDR vSwitch peer sebagai tujuan. Namun, pendekatan ini sulit diskalakan karena vSwitch baru juga harus menggunakan blok CIDR yang tidak tumpang tindih, yang mempersulit perencanaan jaringan. Migrasikan beban kerja ke VPC dengan blok CIDR yang tidak tumpang tindih dan buat koneksi peering baru.

    2. Jika blok CIDR vSwitch tumpang tindih, Anda tidak dapat mengonfigurasi rute yang lebih spesifik untuk menggantikan rute sistem. Dalam kasus ini, Anda harus memigrasikan beban kerja ke VPC dengan blok CIDR yang tidak tumpang tindih dan membuat koneksi peering baru.

  2. Penggunaan blok CIDR pribadi non-RFC 1918:

    VPC memperlakukan ruang alamat IP di luar RFC 1918 (seperti 198.19.0.0/16 dan 30.0.0.0/16) sebagai blok CIDR publik. Jika instance ECS di VPC memiliki alamat IP publik atau dapat mengakses internet melalui NAT Gateway, lalu lintas yang ditujukan ke blok CIDR ini akan dialihkan ke internet publik, bukan ke VPC tujuan. Untuk memperbaikinya, gunakan IPv4 Gateway untuk mengaktifkan penggunaan privat alamat IP publik di VPC. Ini memungkinkan Anda menambahkan blok CIDR publik tujuan sebagai rute privat, yang memastikan lalu lintas dialihkan dengan benar ke VPC tujuan melalui koneksi peering.

Contoh konfigurasi

Menghubungkan tiga VPC

Saat mengonfigurasi rute untuk Koneksi Peering VPC, Anda dapat:

  • Mengatur blok CIDR tujuan ke seluruh blok CIDR VPC peer. Ini memungkinkan semua instance berkomunikasi satu sama lain dan menyederhanakan manajemen rute.

  • Mengonfigurasi rute yang lebih granular dengan mengatur blok CIDR tujuan ke blok CIDR vSwitch peer atau alamat IP instance tertentu. Ini meningkatkan keamanan, tetapi Anda harus memperbarui tabel rute secara manual saat instance baru perlu berkomunikasi.

Sebagai contoh, VPC1 memiliki rute yang mengarah ke blok CIDR vSwitch 3 di VPC2 dan ke ECS04 di VPC3. Akibatnya, resource di VPC1 hanya dapat berkomunikasi dengan resource di blok CIDR vSwitch 3 dan dengan ECS04 melalui jaringan pribadi. VPC2 dan VPC3 memiliki rute yang mengarah ke seluruh blok CIDR VPC peer mereka, yang memungkinkan semua resource mereka berkomunikasi satu sama lain.

Menghubungkan VPC dalam topologi hub-and-spoke

Dalam topologi hub-and-spoke, VPC spoke dapat mengakses layanan di VPC hub tetapi tidak dapat berkomunikasi langsung satu sama lain. Kasus penggunaan model ini meliputi:

  • Isolasi departemen: VPC untuk departemen bisnis berbeda tidak dapat saling berkomunikasi, tetapi harus mengakses layanan bersama di VPC hub.

  • Isolasi multi-tenant: Layanan dideploy di VPC khusus dan disediakan untuk beberapa tenant. Setiap VPC tenant dapat berkomunikasi dengan VPC layanan, tetapi VPC tenant tidak dapat saling berkomunikasi.

Batasi koneksi lintas akun yang tidak sah

Secara default, Pengguna RAM dengan izin vpc:CreateVpcPeerConnection dan vpc:AcceptVpcPeerConnection dapat membuat koneksi peering VPC dengan akun mana pun. Untuk mencegah kebocoran data yang tidak sah, gunakan kebijakan kustom RAM untuk membatasi koneksi hanya ke akun dalam organisasi Anda atau ke akun peer tertentu. Kebijakan ini menggunakan kunci kondisi global, seperti acs:TargetRDId dan acs:TargetRDPath, untuk membatasi akun peer yang dapat dihubungkan oleh Pengguna RAM.

Kunci kondisi

Selama otorisasi, RAM menggunakan parameter AcceptingAliUid (saat membuat koneksi peering) atau parameter RequestingAliUid (saat menerima koneksi peering) untuk mencari Direktori Sumber Daya akun peer. RAM kemudian menyisipkan kunci kondisi berikut ke dalam konteks otorisasi untuk dievaluasi oleh blok Condition dalam kebijakan kustom Anda.

Kunci kondisi

Tipe

Deskripsi

Kasus penggunaan

acs:TargetRDId

String

ID Direktori Sumber Daya akun peer, misalnya rd-xxxxxx.

Membatasi koneksi hanya ke akun yang termasuk dalam Direktori Sumber Daya tertentu.

acs:TargetRDPath

String

Jalur direktori sumber daya akun peer, dalam format {RDId}/{RootFolderId}/{FolderId}/{AccountId}. Wildcard didukung.

Membatasi koneksi hanya ke akun yang berada di folder tertentu. Ini berguna untuk menerapkan tata kelola bertingkat.

Catatan:
Kunci kondisi ini hanya disisipkan untuk tindakan vpc:CreateVpcPeerConnection dan vpc:AcceptVpcPeerConnection. Operasi lain pada koneksi peering VPC, seperti menanyakan, mengubah, atau menghapus, tidak terpengaruh.
Jika permintaan ditolak oleh kebijakan, API mengembalikan kode kesalahan Forbidden.NoPermission. Bidang NoPermissionType dalam detail kesalahan diatur ke ExplicitDeny. Anda dapat melacak permintaan yang ditolak menggunakan RequestId-nya di ActionTrail.

Pilih kebijakan pembatasan

Ganti placeholder, seperti ID Direktori Sumber Daya, jalur direktori sumber daya, atau ID akun, dengan nilai aktual dari organisasi Anda. Anda dapat menemukan ID Direktori Sumber Daya dan jalur direktori sumber daya di Konsol Resource Management.

ID Direktori Sumber Daya

Kebijakan ini membatasi koneksi peering VPC hanya ke akun dalam Direktori Sumber Daya tertentu. Ganti rd-xxxxxx dengan ID Direktori Sumber Daya Anda.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "vpc:CreateVpcPeerConnection",
        "vpc:AcceptVpcPeerConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "acs:TargetRDId": ["rd-xxxxxx"]
        }
      }
    }
  ]
}

Jalur direktori sumber daya

Kebijakan ini membatasi koneksi peering VPC hanya ke akun di bawah jalur folder tertentu. Pembatasan ini berguna untuk menerapkan tata kelola bertingkat yang detail halus. Ganti jalur contoh dengan jalur aktual Anda.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "vpc:CreateVpcPeerConnection",
        "vpc:AcceptVpcPeerConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotLike": {
          "acs:TargetRDPath": ["rd-xxxxxx/r-xxxxxx/fd-xxxxxx/*"]
        }
      }
    }
  ]
}

Buat dan lampirkan kebijakan

Konsol

  1. Login ke Konsol RAM. Di panel navigasi kiri, pilih Permissions > Policies.

  2. Klik Create Policy. Di tab JSON Editor, tempel dokumen kebijakan yang dipilih, lalu ganti nilai placeholder seperti ID Direktori Sumber Daya atau jalur direktori sumber daya.

  3. Klik OK, masukkan Policy Name, lalu klik OK.

  4. Lampirkan kebijakan ke Pengguna RAM, grup pengguna, atau role target.

API

  1. Panggil operasi CreatePolicy untuk membuat kebijakan kustom. Teruskan dokumen kebijakan yang dipilih sebagai parameter PolicyDocument.

  2. Panggil AttachPolicyToUser, AttachPolicyToGroup, atau AttachPolicyToRole untuk melampirkan kebijakan ke Pengguna RAM, grup pengguna, atau role target.

Pemantauan dan O&M

Untuk koneksi peering lintas wilayah, Anda dapat memantau metrik utama seperti trafik, bandwidth, dan kehilangan paket. Dengan membuat aturan peringatan berbasis ambang batas menggunakan CloudMonitor, Anda dapat memantau koneksi secara real-time untuk mendeteksi dan menyelesaikan masalah jaringan dengan cepat.

Metrik pemantauan tidak tersedia untuk koneksi peering intra-wilayah.

Metrik

Metrik

Deskripsi

Inbound traffic

Trafik yang dikirim dari peminta ke penerima koneksi peering VPC dalam periode statistik.

Outbound traffic

Trafik yang dikirim dari penerima ke peminta koneksi peering VPC dalam periode statistik.

Inbound bandwidth

Bandwidth untuk trafik yang mengalir dari peminta ke penerima koneksi peering VPC.

Outbound bandwidth

Bandwidth untuk trafik yang mengalir dari penerima ke peminta koneksi peering VPC.

Outbound packets dropped due to throttling

Jumlah paket data outbound yang dibuang oleh instans koneksi peering VPC karena pembatasan bandwidth.

Konsol

Pemantauan koneksi peering

  1. Buka Konsol VPC - Koneksi Peering VPC. Di bagian atas halaman, pilih wilayah tempat VPC berada.

  2. Untuk koneksi peering VPC lintas wilayah target, klik ikon icon di kolom Monitor untuk melihat metrik seperti trafik, bandwidth, dan kehilangan paket.

Peringatan CloudMonitor

  1. Buka Konsol CloudMonitor - Aturan Peringatan dan klik Create Alert Rule.

  2. Konfigurasikan ambang batas untuk setiap level peringatan metrik koneksi peering VPC. Saat metrik melewati ambang batasnya, Alert Contact Group yang ditentukan akan menerima notifikasi. Anda juga dapat melihat timeline peringatan dengan mengklik Alert History di kolom Actions aturan peringatan.

  3. Di kolom Actions aturan peringatan target, Anda dapat Modify, Disable, atau Delete aturan tersebut.

API

Terraform

Lihat Metrik CloudMonitor untuk koneksi peering untuk mengonfigurasi aturan peringatan berbasis ambang batas.
Resource: alicloud_cms_alarm_contact, alicloud_cms_alarm_contact_group, alicloud_cms_alarm
# ID instans koneksi peering VPC yang akan dipantau.
variable "vpc_peer_id" {
  default = "pcc-28cv******"
}

# Buat kontak peringatan.
resource "alicloud_cms_alarm_contact" "example_cms_alarm_contact" {
  alarm_contact_name = "example_cms_alarm_contact_name"
  describe           = "example_vpc_peer_alarm"
  channels_mail      = "xxx@xxx.com" # Ganti dengan alamat email Anda.
  lifecycle {
    ignore_changes = [channels_mail]
  }
}

# Buat kelompok kontak peringatan.
resource "alicloud_cms_alarm_contact_group" "example_cms_alarm_contact_group" {
  alarm_contact_group_name = "example_cms_alarm_contact_group"
  contacts                 = [alicloud_cms_alarm_contact.example_cms_alarm_contact.id] # Menentukan kontak peringatan.
}

# Buat aturan peringatan.
resource "alicloud_cms_alarm" "example_cms_alarm" {
  name               = "example_cms_alarm_name"
  project            = "acs_vpcpeer" # Namespace data layanan cloud.
  metric             = "IntranetRX"  # Nama metrik.
  period             = 60            # Periode statistik.
  contact_groups     = [alicloud_cms_alarm_contact_group.example_cms_alarm_contact_group.alarm_contact_group_name]
  effective_interval = "06:00-20:00" # Periode efektif.
  metric_dimensions  = <<EOF
  [
    {
      "instanceId": "${var.vpc_peer_id}"
    }
  ]
  EOF
  escalations_critical {            # Menentukan peringatan level kritis.
    statistics          = "Sum"     # Metode statistik untuk peringatan.
    comparison_operator = ">="      # Operator perbandingan untuk ambang batas.
    threshold           = 104857600 # Ambang batas.
    times               = 2         # Jumlah periode berturut-turut ambang batas harus terpenuhi untuk memicu peringatan.
  }
}

FAQ

Apakah koneksi peering lintas batas didukung?

Ya, koneksi non-lintas batas dan lintas batas didukung.

  • Non-lintas batas: Menghubungkan dua wilayah di dalam Tiongkok daratan, atau dua wilayah di luar Tiongkok daratan.

  • Lintas batas: Menghubungkan wilayah di Tiongkok daratan dengan wilayah di luar Tiongkok daratan. Pastikan akun Anda telah menyelesaikan pendaftaran nama asli perusahaan.

Mengapa saya tidak dapat memilih VPC tujuan?

Pastikan wilayah dan akun yang dipilih sesuai dengan Region dan Owner VPC tujuan.

Wilayah peminta muncul di bagian atas halaman, dan akun saat ini adalah peminta. Anda mengonfigurasi akun dan wilayah penerima saat membuat koneksi peering.

Kesalahan izin CDT yang hilang untuk Pengguna RAM

Pengguna RAM memiliki izin AliyunVPCFullAccess, tetapi menerima kesalahan yang menunjukkan bahwa izin cdt:GetCdtServiceStatus hilang saat membuat koneksi peering VPC. Hal ini karena koneksi peering VPC bergantung pada layanan Cloud Data Transfer (CDT). Membuat koneksi peering memerlukan pemanggilan API terkait CDT, sehingga izin VPC saja tidak cukup.

Anda harus memberikan Pengguna RAM salah satu izin tambahan berikut:

  • AliyunCDTFullAccess: Memberikan akses penuh ke layanan CDT.

  • AliyunCDTReadOnlyAccess: Memberikan akses read-only ke layanan CDT. Izin ini cukup jika pengguna hanya perlu membuat koneksi peering dan tidak perlu mengelola resource CDT.

Kegagalan komunikasi untuk instance ECS dengan Docker

Jika pengaturan routing dan security group sudah benar, masalah ini biasanya disebabkan oleh konflik antara alamat antarmuka jaringan Docker dan blok CIDR tujuan. Anda dapat menjalankan perintah ip addr untuk memeriksa konflik.

Jika konflik ada, ikuti langkah-langkah berikut untuk mengubah blok CIDR Docker guna menyelesaikan konflik dengan blok CIDR tujuan.

  • Menghentikan layanan Docker atau mengubah blok CIDR Docker akan mengganggu layanan bisnis. Lakukan operasi ini selama jam sepi.

  • Saat mengubah blok CIDR Docker, pastikan blok CIDR baru kompatibel dengan pengaturan jaringan semua kontainer dan aplikasi yang ada untuk menghindari potensi masalah konektivitas.

  1. Jalankan perintah sudo systemctl stop docker untuk menghentikan layanan Docker.

  2. Jalankan perintah sudo vim /etc/docker/daemon.json untuk mengedit file konfigurasi Docker. Tambahkan konten berikut ke file dan simpan:

    File konfigurasi Docker biasanya berada di /etc/docker/daemon.json atau /etc/docker/daemon.conf. Nama file yang tepat dapat berbeda.
    {
        "bip":"Blok CIDR Docker baru"
    }
  3. Jalankan perintah sudo systemctl start docker untuk menjalankan kembali layanan Docker dan memastikan perubahan diterapkan.

Informasi lebih lanjut

Batasan

  • Anda tidak dapat membuat koneksi peering VPC dalam skenario berikut:

    • Kedua VPC dimiliki oleh akun di situs Alibaba Cloud yang berbeda, misalnya akun di situs Alibaba Cloud Tiongkok dan akun di situs Alibaba Cloud Internasional.

  • Koneksi peering VPC tidak mendukung routing transitif.

    Sebagai contoh, jika VPC 1 terhubung ke VPC 2 dan VPC 3 melalui koneksi peering VPC terpisah, VPC 2 dan VPC 3 tidak dapat berkomunikasi satu sama lain melalui VPC 1.

  • Jika VPC dibagikan lintas beberapa akun, hanya pemilik resource yang dapat membuat, mengubah, atau menghapus koneksi peering VPC. Pengguna resource tidak memiliki izin ini.

Penagihan

Koneksi peering VPC intra-wilayah gratis, baik VPC dimiliki oleh akun yang sama maupun akun berbeda.

Untuk koneksi peering VPC lintas wilayah, Cloud Data Transfer (CDT) mengenakan biaya transfer data berdasarkan lalu lintas keluar.

  • Harga satuan ditentukan oleh pasangan wilayah dan tipe tautan yang dipilih. Dua tipe tautan, Platinum dan Gold, tersedia untuk memberikan tingkat kualitas transfer data yang berbeda.

  • Siklus penagihan adalah per jam. Jika Anda mengganti tipe tautan dalam satu siklus penagihan, tarif untuk level layanan yang lebih tinggi berlaku untuk seluruh siklus tersebut.

Dalam contoh ini, koneksi peering VPC lintas wilayah dan lintas akun antara VPC1 dan VPC2 menggunakan tipe tautan Gold dan biaya transfer data dari Tiongkok (Hohhot) ke Tiongkok (Guangzhou) adalah USD 0,072 per GB. Untuk lalu lintas keluar sebesar 200 GB dari VPC1 dan 100 GB dari VPC2, biayanya dihitung sebagai berikut:

Biaya untuk Akun A: USD 0,072/GB × 200 GB = USD 14,4

Biaya untuk Akun B: USD 0,072/GB × 100 GB = USD 7,2

Mesin keadaan koneksi peering VPC

Setelah peminta menginisiasi koneksi peering VPC, koneksi tersebut berpindah melalui beberapa keadaan.

Saat Anda membuat koneksi peering VPC antara VPC dalam akun yang sama, sistem secara otomatis menerima permintaan, dan koneksi menjadi Activated.

Deskripsi keadaan

Keadaan

Deskripsi

Creating

Permintaan koneksi telah diajukan oleh peminta.

Accepting

Permintaan koneksi menunggu penerimaan oleh penerima.

Updating

Koneksi sedang disediakan setelah permintaan diterima.

Activated

Koneksi telah dibuat dan aktif.

Rejected

Permintaan koneksi telah ditolak oleh penerima.

Expired

Permintaan koneksi kedaluwarsa karena penerima tidak menerima atau menolaknya dalam waktu tujuh hari.

Deleting

Peminta atau penerima sedang menghapus koneksi.

Deleted

Koneksi telah dihapus.

Wilayah yang didukung

Area

Wilayah

Asia Pasifik - Tiongkok

Tiongkok (Hangzhou), Tiongkok (Shanghai), , Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), Tiongkok (Zhongwei), Tiongkok (Hong Kong), Tiongkok (Wuhan) - Local Region, dan Tiongkok (Fuzhou) - Local Region (sedang dihentikan)

Asia Pasifik - Lainnya

Jepang (Tokyo), Korea Selatan (Seoul), Singapura (Singapura), Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), Thailand (Bangkok), dan Malaysia (Johor Bahru)

Eropa & Amerika

Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), dan AS (Virginia)

Timur Tengah

UEA (Dubai) dan Arab Saudi (Riyadh) - dioperasikan mitra

Kuota

Nama kuota

Deskripsi

Kuota default

Tindakan

vpc_quota_cross_region_peer_num_per_vpc

Jumlah koneksi peering VPC lintas wilayah per VPC.

20

Untuk meminta peningkatan kuota, buka halaman Manajemen Kuota atau Pusat Kuota.

vpc_quota_intra_region_peer_num_per_vpc

Jumlah koneksi peering VPC intra-wilayah per VPC.

10

vpc_quota_peer_num

Jumlah koneksi peering VPC per akun Alibaba Cloud per wilayah.

20

vpc_quota_peer_cross_border_bandwidth

Bandwidth lintas batas maksimum.

1.024 Mbps

vpc_quota_peer_cross_region_bandwidth

Bandwidth lintas wilayah maksimum.

1.024 Mbps