Tabel rute dalam virtual private cloud (VPC) menentukan jalur yang dilalui lalu lintas jaringan dari suatu instance menuju tujuan tertentu. Dengan mengonfigurasi rute, Anda dapat mengarahkan lalu lintas jaringan melalui jalur-jalur yang telah ditentukan.
Fitur
Tabel rute
Saat membuat VPC, sistem secara otomatis membuat tabel rute sistem. Tabel rute ini secara default terpasang pada semua vSwitch di dalam VPC dan mengontrol lalu lintas di dalam VPC tersebut.
Ketika instance Elastic Compute Service (ECS) dalam suatu VPC perlu menggunakan jalur berbeda untuk mengakses blok CIDR tujuan yang sama, Anda dapat membuat tabel rute kustom, menempatkan instance ECS tersebut di berbagai vSwitch, lalu memasangkan tabel rute kustom ke masing-masing vSwitch. Hal ini memberikan kontrol lalu lintas yang lebih detail.
Untuk melindungi lalu lintas inbound Internet ke VPC Anda dengan firewall yang dikelola sendiri, Anda dapat menggunakan tabel rute gateway, yaitu tabel rute kustom yang dipasangkan ke border gateway. Pasangkan tabel rute gateway ke gateway IPv4 atau IPv6 untuk mengarahkan lalu lintas inbound Internet ke firewall yang Anda kelola sendiri. Ini memungkinkan penyaringan lalu lintas terpadu, auditing, serta manajemen kebijakan keamanan.
Tabel berikut membandingkan jenis-jenis tabel rute.
Dimensi | Sistem | Kustom | |
Dikaitkan dengan | vSwitch | vSwitch | gateway IPv4 atau IPv6 |
Diagram |  |  |  |
Kasus penggunaan | Secara default terpasang pada semua vSwitch baru untuk mengontrol traffic vSwitch secara terpusat | Terpasang pada vSwitch tertentu untuk mengontrol jalur traffic-nya | Terpasang pada gateway IPv4 atau IPv6 untuk pengalihan aman inbound Internet traffic |
Pembuatan | Dibuat secara otomatis saat pembuatan VPC | Dibuat secara manual. Pilih tipe vSwitch saat membuat tabel rute. | Dibuat secara manual. Pilih tipe border gateway saat membuat tabel rute. |
Penghapusan | Tidak dapat dihapus. | Dapat dihapus. Lepaskan terlebih dahulu dari vSwitch. | Dapat dihapus. Lepaskan terlebih dahulu dari gateway IPv4 atau IPv6. |
Kuota | Satu tabel rute sistem per VPC. | Sembilan tabel rute kustom per vSwitch dalam satu VPC secara default. Kuota dapat disesuaikan. | Hanya satu tabel rute yang dapat dipasangkan ke gateway IPv4 atau IPv6 dalam satu VPC. |
Setiap vSwitch harus dipasangkan tepat pada satu tabel rute, sedangkan satu tabel rute dapat dipasangkan ke beberapa vSwitch.
Rute
Setiap entri dalam tabel rute merupakan sebuah rute. Setiap entri rute mencakup:
Blok CIDR tujuan: Rentang alamat IP tempat lalu lintas jaringan diarahkan.
Lompatan berikutnya (next hop): Tujuan akhir lalu lintas jaringan, seperti elastic network interface (ENI) atau koneksi peering VPC.
Rute diklasifikasikan menjadi dua tipe:
Statis: Ditambahkan secara otomatis oleh sistem atau ditambahkan secara manual.
Dinamis: Disebarkan ke VPC dari instance jaringan lain seperti router transit (TR) dan Gateway VPN.
Rute statis
Ditambahkan secara otomatis oleh sistem atau ditambahkan secara manual oleh pengguna. Terdiri atas dua jenis:
Sistem: Rute dengan lompatan berikutnya diatur ke
Local. Rute ini ditambahkan secara otomatis oleh sistem saat Anda membuat VPC dan vSwitch. Digunakan untuk komunikasi antar-instans di dalam VPC atau untuk mengakses layanan Alibaba Cloud.Kustom: Rute yang Anda tambahkan secara manual untuk menyesuaikan jalur lalu lintas.
Seperti yang ditunjukkan pada gambar berikut, dua VPC terhubung melalui koneksi peering VPC. Tabel rute sistem VPC1 berisi rute statis berikut:
Rute sistem dengan lompatan berikutnya diatur ke
Localditambahkan secara otomatis:Rute layanan cloud: Blok CIDR tujuan adalah
100.64.0.0/10. Rute ini memungkinkan instance di VPC1 mengakses layanan Alibaba Cloud.Rute blok CIDR vSwitch: Blok CIDR tujuan adalah
10.0.0.0/24. Rute ini memungkinkan komunikasi privat antar-vSwitch di VPC1.
Setelah membuat koneksi peering VPC, Anda harus menambahkan rute kustom berikut secara manual:
Blok CIDR tujuan adalah
172.16.0.0/16dan lompatan berikutnya adalahpeering connectionuntuk meneruskan lalu lintas yang ditujukan keVPC2ke koneksi peering tersebut.
Rute dalam tabel rute sistem VPC2 bekerja dengan prinsip yang sama seperti pada VPC1 dan tidak dijelaskan di sini.
Bandingkan rute sistem dan rute kustom
Item | Rute sistem | Rute kustom |
Definisi | Rute dengan lompatan berikutnya | Rute yang Anda tambahkan secara manual. |
Rute IPv4 | Sistem secara otomatis menambahkan rute berikut ke semua tabel rute di dalam VPC:
| Anda dapat menambahkan rute secara manual dengan parameter berikut:
|
Rute IPv6 | Jika IPv6 diaktifkan untuk VPC, sistem secara otomatis menambahkan rute berikut ke semua tabel rute yang dikaitkan dengan vSwitch di VPC:
| Jika IPv6 diaktifkan untuk VPC, Anda dapat menambahkan rute dengan parameter berikut:
|
Modifikasi lompatan berikutnya |
| Lompatan berikutnya dapat diubah. Jika rute kustom dibuat dengan mengubah lompatan berikutnya dari rute sistem, lompatan berikutnya dari rute kustom ini hanya dapat diubah kembali ke Local, instans ECS, ENI, atau titik akhir Gateway Load Balancer. |
Pembuatan manual | Tidak dapat membuat atau menghapus rute sistem secara manual. | Dapat dibuat dan dihapus secara manual. |
2. Rute dinamis
Rute dinamis adalah rute yang disebar ke VPC dari instance jaringan lain. Berbeda dengan rute statis, Anda tidak perlu mengonfigurasi rute dinamis secara manual di tabel rute VPC. Rute ini diterima dan diperbarui secara otomatis dari sumber rute dinamis.
2.1 Sumber rute dinamis
Instance jaringan yang secara otomatis menyebarkan rute ke VPC meliputi router transit (TR) Edisi Perusahaan, TR Edisi Dasar, Gateway VPN, dan Express Connect Router (ECR). Anda dapat melihat sumber dan detail rute dinamis pada tab di halaman detail tabel rute di Konsol.
Detail rute yang diterima dari TR Edisi Perusahaan ditampilkan pada tab .
2.2 Aktifkan atau nonaktifkan penerimaan rute dinamis
Secara default, semua tabel rute diaktifkan untuk menerima rute dinamis. Jika Anda membutuhkan konfigurasi perutean statis murni, Anda dapat menonaktifkan penerimaan rute dinamis untuk setiap tabel rute. Hal ini memungkinkan Anda merencanakan tabel rute bisnis sesuai kebutuhan dan mengelola konfigurasi rute dengan mudah.
2.3 Batasan rute dinamis
Tabel rute VPC hanya dapat menerima rute dinamis dari satu sumber rute dinamis dalam satu waktu.
Misalnya, setelah VPC dikaitkan dengan ECR, jika Anda menghubungkan VPC ke TR Edisi Perusahaan, mengaktifkan sinkronisasi rute untuk VPC pada TR akan gagal. Setelah Anda membuat Gateway VPN dan mengaktifkan penyebaran rute BGP otomatis, rute BGP yang dipelajari oleh Gateway VPN akan secara otomatis disebar ke tabel rute sistem VPC. Dalam kasus ini, Anda tidak dapat mengaitkan VPC dengan ECR.
Jika rute dinamis yang diterima tumpang tindih dengan rute yang sudah ada di tabel rute, lihat Prioritas rute untuk menentukan rute mana yang berlaku.
Hanya tabel rute yang terpasang pada vSwitch yang dapat menerima rute dinamis. Tabel rute gateway tidak mendukung rute dinamis.
Prioritas rute
Rute dalam tabel rute VPC diprioritaskan berdasarkan aturan berikut:
Jika terdapat rute dengan blok CIDR tujuan yang tumpang tindih:
Perutean lalu lintas IPv4 dan IPv6 bersifat independen satu sama lain. Sistem menggunakan aturan pencocokan awalan terpanjang untuk memilih rute paling spesifik yang sesuai dengan alamat IP tujuan. Hal ini menentukan lompatan berikutnya untuk penerusan lalu lintas.
Pencocokan awalan terpanjang: Saat beberapa rute dalam tabel rute memiliki blok CIDR tujuan yang dapat mencakup alamat IP tujuan, rute dengan subnet mask terpanjang dipilih untuk menentukan jalur penerusan lalu lintas.
Ketika blok CIDR tujuan rute baru tumpang tindih dengan rute yang sudah ada:
Operasi
Rute sistem yang ada
Rute kustom yang ada
Rute dinamis yang ada
Buat vSwitch
Blok CIDR vSwitch tidak boleh tumpang tindih dengan rute sistem yang ada.
Blok CIDR vSwitch tidak boleh:
Sama dengan blok CIDR tujuan rute kustom yang ada.
Memuat blok CIDR tujuan rute kustom yang ada.
Batasan berikut berlaku untuk blok CIDR vSwitch:
Sama dengan blok CIDR tujuan rute dinamis yang ada.
Memuat blok CIDR tujuan rute dinamis yang ada.
Tambahkan rute kustom
Blok CIDR tujuan rute kustom baru tidak boleh:
Sama dengan blok CIDR rute sistem yang ada.
Lebih spesifik daripada rute sistem yang ada.
Blok CIDR tujuan rute kustom baru tidak boleh sama dengan rute kustom yang ada.
Jika Next Hop Type adalah Router Interface (to VBR), Anda dapat mengonfigurasi rute aktif/standby atau multi-jalur biaya-sama (ECMP). Untuk informasi selengkapnya, lihat Rute ke antarmuka router.
Saat menambahkan rute kustom, blok CIDR tujuannya tidak boleh sama dengan rute dinamis yang ada.
Jika lompatan berikutnya dari rute kustom baru adalah Gateway VPN atau antarmuka router, dan terdapat rute dinamis dari CEN dengan blok CIDR tujuan yang sama, rute dinamis tersebut akan ditarik dan rute kustom akan berlaku.
Terima rute dinamis
Saat rute dinamis diterima:
Tidak boleh memiliki blok CIDR tujuan yang sama dengan rute sistem yang ada.
Jika lebih spesifik daripada rute sistem yang ada, rute dinamis tersebut tidak akan disebar.
Saat rute dinamis diterima dari ECR: Jika terdapat rute kustom dengan blok CIDR tujuan yang sama, rute kustom akan didahulukan.
Rute dinamis terlihat di tabel rute VPC tetapi tidak berlaku hingga rute kustom dihapus.
Saat rute dinamis diterima dari Gateway VPN, TR Edisi Perusahaan, atau TR Edisi Dasar: Jika terdapat rute kustom dengan blok CIDR tujuan yang sama, rute kustom akan didahulukan.
Dalam kasus ini, rute dinamis tidak disebar ke tabel rute VPC. Rute tersebut hanya disebar dan berlaku setelah rute kustom dihapus.
Tidak didukung. Tabel rute VPC saat ini memiliki hanya satu sumber penyebaran rute.
Sebagai contoh, tabel rute sistem VPC berisi rute berikut:
Destination CIDR | Tipe lompatan berikutnya | Lompatan berikutnya | Tipe rute |
| - | - | Sistem |
| Instans ECS |
| Kustom |
| Instans ECS |
| Kustom |
Ketika alamat IP tujuan lalu lintas berbeda, lalu lintas diteruskan sesuai rute yang berbeda.
IP Tujuan | Pencocokan rute |
| Hanya |
| Hanya |
|
Subnet mask |
Kelola tabel rute
Saat Anda membuat VPC, sistem secara otomatis membuat tabel rute sistem dan memasangkannya ke semua vSwitch secara default untuk mengontrol lalu lintas semua vSwitch secara terpusat.
Untuk mengontrol lalu lintas vSwitch tertentu di VPC secara terpisah, Anda harus terlebih dahulu membuat tabel rute kustom tipe vSwitch lalu memasangkannya ke vSwitch target.
Untuk mengontrol lalu lintas dari Internet ke VPC, Anda harus membuat tabel rute kustom tipe border gateway lalu memasangkannya ke gateway IPv4 atau IPv6.
Buat dan hapus tabel rute
Anda harus membuat tabel rute kustom terlebih dahulu sebelum dapat memasangkannya ke vSwitch target atau gateway IPv4 atau IPv6.
Konsol
Buat tabel rute
Buka halaman Tabel Rute di Konsol VPC dan klik Create Route Table.
Pilih VPC target, masukkan Name, dan pilih tipe objek untuk dipasangkan:
vSwitch: Setelah Anda memasangkan tabel rute ini ke vSwitch, Anda dapat mengontrol jalur lalu lintas vSwitch tertentu.
Border Gateway: Setelah Anda memasangkan tabel rute ini ke gateway IPv4 atau IPv6, Anda dapat mengontrol jalur lalu lintas dari Internet ke VPC.
Setelah membuat tabel rute kustom, sistem secara otomatis menambahkan rute sistem berikut ke dalamnya:
Rute blok CIDR vSwitch: Rute yang blok CIDR tujuannya adalah blok CIDR dari vSwitch mana pun di VPC tempat tabel rute tersebut berada. Rute ini digunakan untuk komunikasi antar-instans di dalam vSwitch.
Rute layanan cloud: Rute yang blok CIDR tujuannya adalah
100.64.0.0/10. Rute ini digunakan oleh instance di VPC untuk mengakses layanan Alibaba Cloud.
Hapus tabel rute
Pada kolom Actions tabel rute target atau di halaman detailnya, klik Delete. Sebelum menghapus tabel rute, pastikan bahwa tabel rute tersebut telah dilepas dan semua rute kustomnya telah dihapus.
Hanya tabel rute kustom yang dapat dihapus. Tabel rute sistem tidak dapat dihapus.
API
Panggil operasi CreateRouteTable untuk membuat tabel rute.
Panggil operasi DeleteRouteTable untuk menghapus tabel rute kustom.
Terraform
Resources: alicloud_route_table
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "defaultVpc" {
vpc_name = var.name
}
resource "alicloud_route_table" "default" {
description = "test-description"
vpc_id = alicloud_vpc.defaultVpc.id
route_table_name = var.name
associate_type = "VSwitch"
}Pasang dan lepas tabel rute
Tabel rute kustom yang baru dibuat tidak terpasang pada resource apa pun secara default. Anda harus memasangkannya ke vSwitch atau gateway IPv4 atau IPv6 agar tabel rute tersebut berlaku.
Konsol
Pasang tabel rute
Buka halaman Tabel Rute di Konsol VPC. Pada kolom Associate Resource tabel rute target, klik Bind:
Jika tabel rute akan dipasangkan ke vSwitch: Klik Associate vSwitch. Di kotak dialog yang muncul, pilih vSwitch target.
Setelah vSwitch dipasangkan ke tabel rute kustom, vSwitch tersebut secara otomatis dilepas dari tabel rute sistem.
Jika tabel rute akan dipasangkan ke Border Gateway: Klik Associate Border Gateway. Di kotak dialog yang muncul, pilih IPv4 Gateway atau IPv6 Gateway target.
Untuk tutorial cara menggunakan tabel rute yang dipasangkan ke border gateway, lihat Gunakan tabel rute gateway untuk mengontrol lalu lintas ke VPC.
Lepas tabel rute
Buka halaman detail tabel rute target:
Jika tabel rute terpasang ke vSwitch: Pada tab Associated vSwitch, pilih vSwitch yang akan dilepas lalu klik Unbind. Setelah dilepas, vSwitch tersebut dipasangkan kembali ke tabel rute sistem.
Jika tabel rute terpasang ke Border Gateway: Pada tab , klik Unbind di kolom Actions gateway IPv4 atau IPv6 target.
Sebelum melepas tabel rute, evaluasi sepenuhnya dampak bisnis dari perubahan rute tersebut untuk menghindari gangguan layanan.
API
Panggil operasi AssociateRouteTable untuk memasangkan tabel rute ke vSwitch.
Panggil operasi AssociateRouteTableWithGateway untuk memasangkan tabel rute ke gateway IPv4 atau IPv6.
Sebelum melepas tabel rute, evaluasi sepenuhnya dampak bisnis dari perubahan rute tersebut untuk menghindari gangguan layanan.
Panggil operasi UnassociateRouteTable untuk melepas tabel rute dari vSwitch.
Panggil operasi DissociateRouteTableFromGateway untuk melepas tabel rute dari gateway IPv4 atau IPv6.
Terraform
Pasang tabel rute ke vSwitch
Resources: alicloud_route_table_attachment
Data Sources: alicloud_zones
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "foo" {
cidr_block = "172.16.0.0/12"
vpc_name = var.name
}
data "alicloud_zones" "default" {
available_resource_creation = "VSwitch"
}
resource "alicloud_vswitch" "foo" {
vpc_id = alicloud_vpc.foo.id
cidr_block = "172.16.0.0/21"
zone_id = data.alicloud_zones.default.zones[0].id
vswitch_name = var.name
}
resource "alicloud_route_table" "foo" {
vpc_id = alicloud_vpc.foo.id
route_table_name = var.name
description = "route_table_attachment"
}
resource "alicloud_route_table_attachment" "foo" {
vswitch_id = alicloud_vswitch.foo.id
route_table_id = alicloud_route_table.foo.id
}Pasang tabel rute ke gateway IPv4/IPv6
Resources: alicloud_vpc_gateway_route_table_attachment
resource "alicloud_vpc" "example" {
cidr_block = "172.16.0.0/12"
vpc_name = "terraform-example"
}
resource "alicloud_route_table" "example" {
vpc_id = alicloud_vpc.example.id
route_table_name = "terraform-example"
description = "terraform-example"
associate_type = "Gateway"
}
resource "alicloud_vpc_ipv4_gateway" "example" {
ipv4_gateway_name = "terraform-example"
vpc_id = alicloud_vpc.example.id
enabled = true
}
resource "alicloud_vpc_gateway_route_table_attachment" "example" {
ipv4_gateway_id = alicloud_vpc_ipv4_gateway.example.id
route_table_id = alicloud_route_table.example.id
}Kelola rute
Tambah dan hapus rute
Untuk tabel rute yang terpasang pada vSwitch, Anda dapat menambahkan rute secara manual untuk mengontrol jalur lalu lintas vSwitch tersebut. Rute yang ditambahkan secara manual diklasifikasikan sebagai rute kustom.
Dalam tabel rute gateway, Anda tidak dapat menambahkan rute, tetapi Anda dapat mengubah lompatan berikutnya dari rute.
Konsol
Tambah rute
Buka halaman detail tabel rute target. Pada tab , klik Add Route Entry.
Di kotak dialog Add Route Entry, konfigurasikan Destination CIDR Block dan Next Hop Type. Untuk informasi selengkapnya tentang skenario khas untuk berbagai tipe lompatan berikutnya, lihat Contoh konfigurasi.
Jika terjadi error saat menambahkan rute, periksa apakah konfigurasi memenuhi persyaratan prioritas rute.
Hapus rute
Pada kolom Actions rute target, klik Delete.
Sebelum menghapus rute, evaluasi sepenuhnya dampak bisnisnya untuk menghindari gangguan layanan.
API
Panggil operasi CreateRouteEntry untuk menambahkan satu rute. Panggil operasi CreateRouteEntries untuk menambahkan rute secara batch.
Sebelum menghapus rute, evaluasi sepenuhnya dampak bisnisnya untuk menghindari gangguan layanan.
Panggil operasi DeleteRouteEntry untuk menghapus satu rute kustom. Panggil operasi DeleteRouteEntries untuk menghapus rute kustom secara batch.
Terraform
Resources: alicloud_route_entry
resource "alicloud_route_entry" "foo" {
route_table_id = "rt-12345xxxx" # Specify the route table ID.
destination_cidrblock = "172.16.1.1/32"
nexthop_type = "Instance" # Specify the next hop type.
nexthop_id = "i-12345xxxx" # Specify the next hop instance ID.
}Ubah lompatan berikutnya dari rute
Anda dapat mengubah lompatan berikutnya dari rute untuk mengubah jalur lalu lintas menuju blok CIDR tujuan.
Rute sistem: Anda hanya dapat mengubah lompatan berikutnya untuk rute sistem dalam tabel rute kustom (termasuk tabel rute gateway). Setelah diubah, tipe rute menjadi kustom. Jika Anda menghapus rute tersebut, rute tersebut kembali menjadi rute sistem.
Rute kustom: Anda dapat mengubah lompatan berikutnya untuk rute kustom baik di tabel rute sistem maupun kustom tanpa batasan tipe tabel rute.
Untuk informasi selengkapnya tentang tipe yang didukung untuk Blok CIDR tujuan dan Lompatan berikutnya, lihat Bandingkan rute sistem dan rute kustom.
Sebelum mengubah lompatan berikutnya dari rute, evaluasi sepenuhnya dampak bisnisnya untuk menghindari gangguan layanan.
Konsol
Pada kolom Actions rute target, klik Edit. Di kotak dialog yang muncul, klik daftar drop-down untuk Next Hop Type dan pilih lompatan berikutnya target.
Untuk informasi selengkapnya tentang skenario khas untuk berbagai tipe lompatan berikutnya, lihat Contoh konfigurasi.
API
Panggil operasi ModifyRouteEntry untuk mengubah lompatan berikutnya dari rute dalam tabel rute yang terpasang pada vSwitch.
Panggil operasi UpdateGatewayRouteTableEntryAttribute untuk mengubah lompatan berikutnya dari rute dalam tabel rute yang terpasang pada gateway IPv4 atau IPv6.
Terraform
Resources: alicloud_route_entry
resource "alicloud_route_entry" "foo" {
route_table_id = "rt-12345xxxx" # Specify the route table ID.
destination_cidrblock = "172.16.1.1/32"
nexthop_type = "Instance" # Change the next hop type.
nexthop_id = "i-12345xxxx" # Specify the next hop instance ID.
}Publikasikan dan tarik rute statis
Rute dari tabel rute dapat disebar ke Express Connect Router (ECR) atau router transit (TR). Ketika dikombinasikan dengan penerimaan rute dinamis, hal ini menyederhanakan konfigurasi rute.
Publikasikan rute statis ke ECR: Setelah rute statis dipublikasikan ke ECR, rute tersebut dapat disebar secara dinamis dari ECR di cloud ke pusat data. Jika tidak ada konflik rute, semua pusat data yang terkait dengan ECR dapat mempelajari rute ini.
Cara kerja
Setelah VPC dikaitkan dengan ECR, rute sistem VPC secara default dipublikasikan ke ECR.
Setelah rute statis dipublikasikan ke ECR:
ECR menyebarkan rute tersebut ke Virtual Border Router (VBR) terkaitnya. Jika BGP diaktifkan pada VBR, rute tersebut kemudian disebar ke pusat data.
ECR tidak menyebarkan rute tersebut ke VPC lain yang terkait dengannya.
Jika rute statis yang dipublikasikan mengalami konflik rute, Anda dapat melihat rute target pada tab Routes ECR. Statusnya ditampilkan sebagai Conflicting dan tidak akan berlaku.
Batasan
Rute dalam tabel rute kustom tidak dapat dipublikasikan ke ECR.
Rute yang blok CIDR tujuannya adalah daftar awalan tidak dapat dipublikasikan ke ECR.
Rute aktif/standby dan rute ECMP yang lompatan berikutnya adalah antarmuka router (ke VBR) tidak dapat dipublikasikan ke ECR. Setelah rute VPC dipublikasikan ke ECR, Anda tidak dapat lagi mengonfigurasi rute ECMP atau aktif/standby.
Setelah rute VPC dipublikasikan ke ECR, jika Anda ingin memodifikasi rute yang dipublikasikan, lompatan berikutnya dari rute target hanya dapat diatur ke tipe rute yang mendukung operasi publikasi (lihat tabel di bawah).
Tabel berikut mencantumkan status publikasi default berbagai jenis rute dalam instance VPC dan apakah rute tersebut mendukung operasi publikasi dan penarikan.
Contoh
Sebuah perusahaan memiliki pusat data dan VPC di wilayah China (Hangzhou). Perusahaan tersebut ingin membangun komunikasi stabil antara cloud dan pusat data, serta memastikan layanan yang ditempatkan di pusat data dapat berkomunikasi dengan Internet.
Perusahaan tersebut dapat menghubungkan VPC dan VBR ke ECR, membuat gateway NAT Internet dengan EIP terpasang, lalu menggunakan fitur publikasi rute ke ECR. Jika tidak ada konflik rute, pusat data yang terkait dengan ECR dapat mempelajari rute ke Gateway NAT melalui BGP, sehingga memungkinkan pusat data mengakses Internet.
Publikasikan rute statis ke router transit (TR): Setelah rute statis dipublikasikan ke TR, jika tidak ada konflik rute dan sinkronisasi rute diaktifkan untuk TR, semua instance jaringan yang terhubung ke TR dapat mempelajari rute ini.
Jika VPC Anda terhubung ke ECR dan TR, tindakan publikasi rute VPC ke ECR dan ke TR bersifat independen dan tidak saling memengaruhi.
Konsol
Publikasikan rute statis
Pada kolom Route Advertisement Status rute target, klik Advertise.
Kolom Route Advertisement Status ditampilkan untuk rute di Konsol hanya setelah VPC terhubung ke TR atau ECR.
Tarik rute statis yang dipublikasikan
Pada kolom Route Advertisement Status rute target, klik Withdraw.
Kolom Route Advertisement Status ditampilkan untuk rute di Konsol hanya setelah VPC terhubung ke TR atau ECR.
API
Untuk ECR:
Panggil operasi PublishVpcRouteEntries untuk mempublikasikan rute statis ke ECR.
Panggil operasi WithdrawVpcPublishedRouteEntries untuk menarik rute yang telah dipublikasikan ke ECR.
Untuk TR:
Panggil operasi PublishRouteEntries untuk mempublikasikan rute statis ke TR.
Panggil operasi WithdrawPublishedRouteEntries untuk menarik rute yang telah dipublikasikan ke TR.
Tab body
Aktifkan atau nonaktifkan penerimaan rute dinamis
Secara default, semua tabel rute diaktifkan untuk menerima rute dinamis. Jika Anda membutuhkan konfigurasi perutean statis murni, Anda dapat menonaktifkan penerimaan rute dinamis untuk tabel rute. Hal ini memungkinkan Anda merencanakan tabel rute bisnis sesuai kebutuhan dan mengelola konfigurasi rute dengan mudah.
Kasus di mana penonaktifan didukung: Sumber rute dinamis adalah Route Advertisement Type ECR, atau tidak ada rute dinamis yang disebar ke VPC. Saat tidak ada rute dinamis yang disebar ke VPC, Dynamic Route Source tidak ditampilkan pada tab Route Entry List > Dynamic Route di halaman detail tabel rute.
Penonaktifan tidak didukung dalam kasus berikut: VPC terhubung ke TR Edisi Dasar. VPC terhubung ke TR Edisi Perusahaan dan sinkronisasi rute diaktifkan untuk VPC pada TR. VPC dikaitkan dengan Gateway VPN dan penyebaran rute BGP otomatis diaktifkan untuk Gateway VPN.
Efek penonaktifan:
Tabel rute VPC tidak lagi menerima rute yang disebar dari instance jaringan lain. Jika rute dinamis sudah ada di tabel rute, semua rute tersebut akan dihapus. Lakukan dengan hati-hati.
VPC tidak dapat terhubung ke TR Edisi Dasar. TR yang terhubung ke VPC ini tidak dapat mengaktifkan sinkronisasi rute untuk VPC. Gateway VPN yang dikaitkan dengan VPC ini tidak dapat mengaktifkan penyebaran rute BGP otomatis.
Efek pengaktifan ulang setelah penonaktifan:
Setelah diaktifkan ulang, rute dinamis di tabel rute VPC didasarkan pada rute yang saat ini disebar dari sumber rute dinamis.
Misalnya, jika ECR memiliki empat rute dinamis, menonaktifkan sakelar ini akan menghapus rute dinamis dari tabel rute VPC. Jika dua rute lagi ditambahkan ke ECR dan Anda mengaktifkan ulang sakelar ini, tabel rute VPC akan menerima enam rute dinamis dari ECR.
Konsol
Buka halaman Route Table Details tabel rute target. Gunakan sakelar Accept Advertised Routes untuk mengaktifkan atau menonaktifkan penerimaan rute dinamis.
Sebelum mengaktifkan atau menonaktifkan penerimaan rute dinamis, evaluasi sepenuhnya dampak bisnis dari perubahan rute tersebut untuk menghindari gangguan layanan.
API
Panggil operasi ModifyRouteTableAttributes dan ubah parameter RoutePropagationEnable untuk mengaktifkan atau menonaktifkan penerimaan rute dinamis.
Sebelum mengaktifkan atau menonaktifkan penerimaan rute dinamis, evaluasi sepenuhnya dampak bisnis dari perubahan rute tersebut untuk menghindari gangguan layanan.
Terraform
Sebelum mengaktifkan atau menonaktifkan penerimaan rute dinamis, evaluasi sepenuhnya dampak bisnis dari perubahan rute tersebut untuk menghindari gangguan layanan.
Resources: alicloud_route_table
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "defaultVpc" {
vpc_name = var.name
}
resource "alicloud_route_table" "default" {
description = "test-description"
vpc_id = alicloud_vpc.defaultVpc.id
route_table_name = var.name
associate_type = "VSwitch"
route_propagation_enable = true # Modify this parameter to enable or disable dynamic route receiving.
}Gunakan tabel rute gateway
Tabel rute gateway memungkinkan Anda mengarahkan inbound Internet traffic ke perangkat keamanan untuk inspeksi dan penyaringan mendalam. Hal ini membantu mencegah serangan berbahaya dan akses tidak sah, sehingga meningkatkan keamanan. Anda juga dapat menggabungkan tabel rute gateway dengan tabel rute kustom untuk mengalihkan outbound traffic ke perangkat keamanan, yang memberikan keamanan komprehensif untuk lalu lintas inbound dan outbound.
Untuk menggunakan fitur ini, Anda harus terlebih dahulu membuat tabel rute gateway dan memasangkannya ke gateway IPv4. Kemudian, Anda dapat mengubah lompatan berikutnya dari rute sistem yang sesuai dengan blok CIDR vSwitch di tabel rute ke salah satu berikut:
ECS Instances atau ENI: Digunakan untuk mengalihkan lalu lintas Internet secara aman ke instans ECS atau ENI tertentu.
Gateway Endpoint: Digunakan untuk mengalihkan lalu lintas Internet ke perangkat keamanan pihak ketiga dalam skenario Gateway Load Balancer (GWLB).
Hanya wilayah-wilayah ini yang mendukung pengubahan lompatan berikutnya ke Gateway Load Balancer Endpoint.
Gunakan firewall yang dikelola sendiri
Anda dapat menyiapkan firewall yang dikelola sendiri pada instans ECS di VPC dan menggunakan tabel rute gateway untuk mengalihkan lalu lintas yang masuk ke VPC ke firewall untuk penyaringan.
Arsitektur ketersediaan tinggi GWLB
Anda dapat menggunakan Gateway Load Balancer (GWLB) untuk mendistribusikan lalu lintas ke berbagai perangkat keamanan, yang meningkatkan keamanan dan ketersediaan aplikasi Anda.
Contoh konfigurasi
Tipe lompatan berikutnya yang berbeda sesuai dengan skenario yang berbeda:
Rute ke gateway IPv4
Anda dapat menggunakan gateway IPv4 sebagai titik masuk dan keluar terpadu antara VPC perusahaan Anda dan Internet. Saat dikombinasikan dengan tabel rute kustom, hal ini memungkinkan kontrol terpusat atas lalu lintas akses Internet, yang memfasilitasi penerapan kebijakan keamanan dan auditing terpadu, serta mengurangi risiko keamanan dari titik akses yang tersebar.
Rute ke gateway IPv6
Setelah Anda mengaktifkan IPv6 untuk VPC, sistem secara otomatis menambahkan rute kustom ke tabel rute sistem:
Blok CIDR tujuan adalah
::/0, dan lompatan berikutnya adalah gateway IPv6.
Rute ini mengarahkan lalu lintas IPv6 default ke gateway IPv6. Setelah Anda mengaktifkan bandwidth Internet IPv6 untuk alamat IPv6, vSwitch yang terpasang pada tabel rute sistem dapat berkomunikasi dengan Internet.
Untuk vSwitch dengan IPv6 yang diaktifkan yang terpasang pada tabel rute kustom, agar dapat berkomunikasi dengan Internet melalui IPv6, Anda harus menambahkan rute di atas secara manual ke tabel rute kustom.
Untuk rute kustom yang lompatan berikutnya adalah instans gateway IPv6, blok CIDR tujuan hanya dapat diatur ke ::/0.
Rute ke Gateway NAT
Jika banyak server perlu mengakses Internet secara aktif dan memerlukan banyak resource IP publik, Anda dapat menggunakan fitur SNAT dari gateway NAT Internet. Hal ini memungkinkan banyak instans ECS di VPC berbagi EIP untuk akses Internet, yang menghemat resource IP publik. Selain itu, instans ECS tersebut dapat mengakses Internet tanpa mengekspos alamat IP privat mereka, yang mengurangi risiko keamanan.
Saat menggunakan Gateway NAT, Anda perlu menambahkan rute kustom ke tabel rute VPC yang mengarah ke gateway NAT Internet untuk mengaktifkan akses Internet.
Saat vSwitch tempat instans ECS berada terpasang pada tabel rute kustom: Anda harus mengonfigurasi rute secara manual dengan Destination CIDR Block diatur ke
0.0.0.0/0dan Next Hop Type diatur ke gateway NAT Internet.Saat vSwitch tempat instans ECS berada terpasang pada tabel rute sistem:
Jika tidak ada rute dengan blok CIDR tujuan
0.0.0.0/0di tabel rute sistem, sistem secara otomatis mengonfigurasi rute yang mengarah ke gateway NAT Internet.Jika rute dengan blok CIDR tujuan
0.0.0.0/0sudah ada di tabel rute sistem, Anda harus menghapus rute yang ada lalu menambahkan rute yang mengarah ke gateway NAT Internet.
Rute ke koneksi peering VPC
VPC terisolasi satu sama lain, tetapi Anda dapat menggunakan koneksi peering VPC untuk mengaktifkan komunikasi privat antara dua VPC, baik dalam akun yang sama maupun berbeda, dan dalam wilayah yang sama maupun berbeda. Setelah koneksi peering dibuat antara dua VPC, resource Alibaba Cloud yang ditempatkan di dalamnya dapat saling mengakses menggunakan alamat IPv4 atau IPv6 privat.
Rute ke router transit
Saat Anda menggunakan Cloud Enterprise Network (CEN) untuk menghubungkan VPC, Anda harus menambahkan rute yang mengarah ke router transit ke tabel rute VPC. Anda dapat melakukannya dengan salah satu cara berikut:
Saat membuat koneksi VPC, pilih Automatically Create Route That Points to Transit Router and Add to All Route Tables of Current VPC.
Setelah Anda mengaktifkan fitur ini, sistem secara otomatis mengonfigurasi tiga rute di semua tabel rute instance VPC dengan blok CIDR tujuan 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16. Lompatan berikutnya semuanya mengarah ke koneksi VPC, mengarahkan lalu lintas IPv4 dari instance VPC ke router transit.
Setelah Anda mengaktifkan pembelajaran rute di router transit, Anda dapat mengaktifkan sinkronisasi rute untuk setiap VPC, atau menambahkan rute secara manual di setiap tabel rute VPC yang mengarah ke VPC peer.
Gambar berikut menunjukkan contoh di mana, setelah pembelajaran rute diaktifkan di router transit, rute ditambahkan secara manual ke tabel rute VPC dengan blok CIDR tujuan diatur ke blok CIDR VPC peer dan lompatan berikutnya diatur ke router transit.
Rute ke Gateway VPN
Dengan membuat tunnel terenkripsi melalui Gateway VPN, Anda dapat membuat koneksi jaringan yang aman dan andal antara pusat data lokal Anda dan VPC Anda.
Saat menggunakan Gateway VPN, Anda perlu mengonfigurasi rute untuk VPC dengan Destination CIDR Block diatur ke blok CIDR pusat data dan Next Hop Type diatur ke VPN Gateway. Hal ini memungkinkan VPC mengakses pusat data melalui koneksi IPsec-VPN.
Rute ke instans ECS atau elastic network interface
Saat dua vSwitch di VPC perlu berkomunikasi, Anda dapat menyesuaikan tabel rute untuk menyisipkan perangkat keamanan pihak ketiga (seperti firewall atau WAF) ke jalur lalu lintas untuk inspeksi, analisis, dan perlindungan lalu lintas.
Untuk mengonfigurasi ini, Anda dapat memasangkan masing-masing vSwitch yang berkomunikasi ke tabel rute kustom terpisah. Kemudian, Anda dapat mengubah lompatan berikutnya dari rute sistem untuk blok CIDR yang sesuai ke instans ECS firewall atau elastic network interface (ENI) firewall.
Rute ke antarmuka router
Dengan menggunakan fitur koneksi VBR-ke-VPC Express Connect, Anda dapat menghubungkan pusat data lokal Anda ke jaringan cloud Anda.
Fitur koneksi VBR-ke-VPC tidak diaktifkan secara default. Untuk menggunakannya, Anda harus menghubungi manajer bisnis Anda untuk mengajukan permohonan.
Saat menggunakan fitur ini, Anda perlu mengonfigurasi rute untuk VPC dengan blok CIDR tujuan diatur ke blok CIDR pusat data dan tipe lompatan berikutnya diatur ke Router Interface (to VBR). Hal ini memungkinkan VPC mengakses pusat data melalui VBR. Tipe ini mendukung mode ECMP dan Active/Standby Routes, yang harus digunakan dengan pemeriksaan kesehatan:
Active/Standby Routes: Hanya dua instance yang didukung sebagai lompatan berikutnya. Bobot lompatan berikutnya rute aktif adalah 100, dan bobot lompatan berikutnya rute cadangan adalah 0. Jika rute aktif gagal dalam pemeriksaan kesehatan, rute cadangan akan berlaku.
ECMP: Anda dapat memilih 2 hingga 16 instance sebagai lompatan berikutnya. Bobot untuk setiap instance harus sama, dalam rentang valid 0 hingga 255. Sistem mendistribusikan lalu lintas secara merata di antara instance lompatan berikutnya.
Gambar berikut menunjukkan mode aktif/standby:
Rute ke Express Connect Router
Dengan menggunakan Express Connect Router bersama Express Connect, Anda dapat menghubungkan pusat data lokal Anda ke jaringan cloud Anda.
Secara default, VPC menerima rute dinamis dari ECR. Blok CIDR tujuan adalah blok CIDR pusat data, dan lompatan berikutnya adalah Express Connect Router, yang memungkinkan komunikasi antara VPC di cloud dan pusat data.
Jika penerimaan rute dinamis dinonaktifkan untuk tabel rute VPC, Anda harus mengonfigurasi rute secara manual di tabel rute VPC dengan Destination CIDR Block diatur ke blok CIDR pusat data dan Next Hop Type diatur ke ECR. Hal ini memungkinkan komunikasi antara VPC di cloud dan pusat data.
Rute ke titik akhir Gateway Load Balancer
Hanya wilayah-wilayah ini yang mendukung GWLB Endpoint. Untuk kasus penggunaan spesifik, lihat Gunakan tabel rute gateway - arsitektur ketersediaan tinggi GWLB.
Informasi selengkapnya
Area | Wilayah |
Asia Pasifik - Tiongkok | Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Nanjing - Local Region, Closing Down), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), Tiongkok (Hong Kong), Tiongkok (Wuhan - Local Region), dan Tiongkok (Fuzhou - Local Region, Closing Down) |
Asia Pasifik - Lainnya | Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), dan Thailand (Bangkok) |
Eropa & Amerika | Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), AS (Virginia), dan Meksiko |
Timur Tengah | UEA (Dubai) dan SAU (Riyadh - Partner Region) |
Kuota
Nama kuota | Deskripsi | Batas default | Tingkatkan kuota |
vpc_quota_route_tables_num | Jumlah tabel rute kustom yang dapat dibuat dalam satu VPC. | 9 | Buka halaman Manajemen Kuota atau Pusat Kuota untuk meminta peningkatan kuota. |
vpc_quota_route_entrys_num | Jumlah maksimum entri rute kustom per tabel rute (tidak termasuk entri rute yang disebar secara dinamis) | 200 | |
vpc_quota_dynamic_route_entrys_num | Jumlah rute yang disebar secara dinamis ke tabel rute. | 500 | |
vpc_quota_havip_custom_route_entry | Jumlah maksimum rute kustom yang dapat mengarah ke instans HaVip. | 5 | |
vpc_quota_vpn_custom_route_entry | Jumlah maksimum rute kustom yang dapat mengarah ke gateway VPN dalam satu VPC. | 50 | |
Tidak ada | Jumlah tag yang dapat ditambahkan ke tabel rute. | 20 | Tidak dapat ditingkatkan. |
Jumlah vRouter yang dapat dibuat dalam satu VPC. | 1 | ||
Jumlah maksimum rute yang dapat mengarah ke koneksi router transit (TR) dalam satu VPC. | 600 |
Batasan
Batasan tabel rute
Setiap vSwitch harus dipasangkan ke tabel rute, dan hanya dapat dipasangkan ke satu tabel rute. Satu tabel rute dapat dipasangkan ke beberapa vSwitch.
Hanya tabel rute kustom yang dapat dihapus. Tabel rute sistem tidak dapat dihapus.
Batasan rute
Batasan rute statis:
Anda tidak dapat membuat atau menghapus rute sistem secara manual.
Anda dapat membuat rute kustom dengan blok CIDR tujuan yang lebih spesifik daripada rute sistem layanan cloud 100.64.0.0/10, tetapi blok CIDR-nya tidak boleh sama. Konfigurasikan rute yang lebih spesifik dengan hati-hati karena jika salah konfigurasi, beberapa layanan Alibaba Cloud mungkin menjadi tidak dapat diakses.
Untuk rute kustom yang lompatan berikutnya adalah instans gateway IPv6, blok CIDR tujuan hanya dapat diatur ke
::/0.Kolom Route Advertisement Status ditampilkan untuk rute di Konsol hanya setelah VPC terhubung ke TR atau ECR.
Saat blok CIDR tujuan rute baru tumpang tindih dengan rute yang sudah ada, penambahan rute baru tidak didukung dalam beberapa kasus. Untuk informasi selengkapnya, lihat Prioritas rute.
Batasan publikasi rute statis:
Rute dalam tabel rute kustom tidak dapat dipublikasikan ke ECR.
Rute yang blok CIDR tujuannya adalah daftar awalan tidak dapat dipublikasikan ke ECR.
Rute aktif/standby dan rute ECMP yang lompatan berikutnya adalah antarmuka router (ke VBR) tidak dapat dipublikasikan ke ECR. Setelah rute VPC dipublikasikan ke ECR, Anda tidak dapat lagi mengonfigurasi rute ECMP atau aktif/standby.
Setelah rute VPC dipublikasikan ke ECR, jika Anda ingin memodifikasi rute yang dipublikasikan, lompatan berikutnya dari rute target hanya dapat diatur ke tipe rute yang mendukung operasi publikasi (lihat tabel di bawah).
Tabel berikut mencantumkan status publikasi default berbagai jenis rute dalam instance VPC dan apakah rute tersebut mendukung operasi publikasi dan penarikan.
Batasan rute dinamis:
Tabel rute VPC hanya dapat menerima rute dinamis dari satu sumber rute dinamis dalam satu waktu.
Misalnya, setelah VPC dikaitkan dengan ECR, jika Anda menghubungkan VPC ke TR Edisi Perusahaan, mengaktifkan sinkronisasi rute untuk VPC pada TR akan gagal. Setelah Anda membuat Gateway VPN dan mengaktifkan penyebaran rute BGP otomatis, rute BGP yang dipelajari oleh Gateway VPN akan secara otomatis disebar ke tabel rute sistem VPC. Dalam kasus ini, Anda tidak dapat mengaitkan VPC dengan ECR.
Jika rute dinamis yang diterima tumpang tindih dengan rute yang sudah ada di tabel rute, lihat Prioritas rute untuk menentukan rute mana yang berlaku.
Hanya tabel rute yang terpasang pada vSwitch yang dapat menerima rute dinamis. Tabel rute gateway tidak mendukung rute dinamis.
Penagihan
Fitur tabel rute VPC tidak dikenai biaya.