IPsec-VPN membuat terowongan terenkripsi antara jaringan lokal Anda—seperti pusat data atau kantor—dan Alibaba Cloud Virtual Private Cloud (VPC), memungkinkan kedua jaringan berkomunikasi secara aman seolah-olah berada dalam jaringan pribadi yang sama.
Layanan Alibaba Cloud VPN Gateway mematuhi kebijakan dan peraturan nasional Tiongkok yang relevan dan hanya mendukung koneksi non-lintas batas. Untuk konektivitas lintas batas, gunakan TransitRouter sebagai gantinya.
Dua mode asosiasi
IPsec-VPN menyediakan dua metode koneksi. Pilih metode berdasarkan jumlah VPC yang perlu dihubungkan:
Menyambungkan ke gateway VPN (menghubungkan ke satu VPC)
Anda dapat menyambungkan koneksi IPsec-VPN ke instans VPN Gateway. Metode ini cocok untuk menghubungkan pusat data lokal ke satu VPC.
Cara kerja: Perangkat gateway lokal ↔ Terowongan IPsec-VPN ↔ VPN Gateway ↔ VPC
Kasus penggunaan:
Menghubungkan ke satu VPC
Menggunakan SSL-VPN untuk akses remote secara bersamaan (hanya didukung oleh gateway VPN klasik)
Menyambungkan ke router transit (menghubungkan ke beberapa VPC)
Anda dapat menyambungkan koneksi IPsec-VPN langsung ke router transit di Cloud Enterprise Network (CEN). Metode ini cocok untuk menghubungkan pusat data lokal ke beberapa VPC.
Cara kerja: Perangkat gateway lokal ↔ Terowongan IPsec-VPN ↔ Transit Router ↔ Multiple VPC
Kasus penggunaan:
Menghubungkan ke beberapa VPC dalam wilayah yang sama atau berbeda
Menggunakan load balancing equal-cost multi-path (ECMP) untuk ketersediaan tinggi
Membuat koneksi dengan bandwidth lebih dari 1 Gbps untuk satu koneksi (mendukung hingga 2 Gbps)
Komponen inti
Komponen | Deskripsi |
Perangkat gateway yang diterapkan di Alibaba Cloud. Berfungsi sebagai titik akhir sisi cloud dari terowongan terenkripsi. Gateway VPN tersedia dalam dua tipe: enhanced dan classic. | |
Komponen inti Cloud Enterprise Network (CEN) yang meneruskan traffic antar VPC dan wilayah. Dalam skenario multi-VPC, komponen ini menggantikan gateway VPN sebagai titik akhir sisi cloud. | |
Objek logis di Alibaba Cloud yang mencatat alamat IP publik perangkat gateway lokal. Objek ini diperlukan untuk membuat koneksi IPsec-VPN. | |
Menentukan parameter untuk terowongan terenkripsi dari cloud ke perangkat gateway lokal. Parameter tersebut mencakup algoritma enkripsi, algoritma autentikasi, dan kunci pra-bersama (PSK). | |
Perangkat fisik atau perangkat lunak di pusat data lokal yang mendukung IPsec VPN. Contohnya termasuk strongSwan, Cisco, dan H3C. Perangkat ini melakukan negosiasi dengan titik akhir sisi cloud untuk membuat terowongan. |
Untuk penyederhanaan, dokumen ini menggunakan istilah pusat data lokal untuk merujuk pada jaringan lokal apa pun yang perlu membuat koneksi IPsec-VPN dengan Alibaba Cloud, seperti pusat data perusahaan atau jaringan kantor.
Mode dual-tunnel
Secara default, setiap koneksi IPsec-VPN mencakup dua terowongan terenkripsi. Di wilayah yang mendukung multiple zona, kedua terowongan ditempatkan di zona berbeda untuk menyediakan pemulihan bencana tingkat zona. Di wilayah yang hanya mendukung zona tunggal, seperti China (Wuhan - Local Region), kedua terowongan ditempatkan di zona yang sama. Penerapan ini tidak menyediakan pemulihan bencana tingkat zona tetapi tetap memberikan redundansi tautan.
Menyambungkan ke gateway VPN: Mode aktif-pasif
Kedua terowongan bekerja sebagai tautan aktif/cadangan:
Dalam kondisi normal, traffic hanya dikirim melalui terowongan aktif.
Jika terowongan aktif gagal, traffic secara otomatis dialihkan ke terowongan cadangan.
Saat terowongan aktif pulih, traffic secara otomatis kembali dialihkan ke terowongan tersebut.
Untuk informasi lebih lanjut, lihat Menyambungkan ke gateway VPN.
Menyambungkan ke router transit: Mode ECMP
Kedua terowongan membentuk tautan ECMP:
Kedua terowongan mengirimkan traffic secara bersamaan untuk load balancing.
Jika salah satu terowongan gagal, traffic secara otomatis konvergen ke terowongan lainnya.
Saat terowongan yang gagal pulih, traffic secara otomatis kembali dibagi.
Untuk informasi lebih lanjut, lihat Menyambungkan ke router transit.
Saat membuat koneksi IPsec-VPN, pastikan bahwa kedua terowongan dikonfigurasi dan aktif. Jika hanya satu terowongan yang dikonfigurasi atau digunakan, Anda tidak akan memperoleh manfaat dari redundansi tautan dan pemulihan bencana tingkat zona, serta SLA untuk VPN Gateway tidak berlaku.
Skenario
Skenario untuk menyambungkan ke gateway VPN
VPC ke pusat data: Skenario paling umum. Anda dapat menggunakan IPsec-VPN untuk menghubungkan pusat data lokal ke VPC Alibaba Cloud guna membangun cloud hibrida.
VPC ke VPC: Anda dapat menggunakan IPsec-VPN untuk menghubungkan dua VPC guna berbagi resource antar VPC.
Koneksi multicloud: Anda dapat menggunakan IPsec-VPN untuk menghubungkan VPC Alibaba Cloud ke VPC di platform cloud lain, seperti AWS atau Azure.
Koneksi multi-situs: Anda dapat menghubungkan beberapa jaringan kantor ke gateway VPN secara bersamaan dan menggunakan fitur hub-and-spoke untuk mengaktifkan peering jaringan pribadi antar situs.
Skenario untuk menyambungkan ke router transit
VPC ke pusat data: Anda dapat menghubungkan pusat data lokal ke VPC mana pun melalui koneksi IPsec-VPN dan router transit. Ini cocok untuk skenario yang memerlukan koneksi ke beberapa VPC.
Koneksi ECMP ketersediaan tinggi: Anda dapat menyambungkan beberapa koneksi IPsec-VPN ke router transit yang sama untuk membentuk tautan ECMP. Beberapa tautan membawa traffic secara bersamaan.
Enkripsi sirkuit Express Connect: Anda dapat mengenkripsi traffic melalui sirkuit Express Connect yang telah dibuat untuk koneksi pribadi dan menggunakan router transit untuk menghubungkan ke beberapa VPC.
Koneksi full-mesh multi-situs global: Anda dapat menghubungkan beberapa situs lokal ke router transit terdekat menggunakan IPsec-VPN dan menggunakan CEN untuk mencapai topologi full-mesh.
Rekomendasi pemilihan skenario
Untuk rekomendasi cara memilih mode asosiasi dan perbandingan detail kedua mode—termasuk algoritma enkripsi dan spesifikasi performa—lihat Pilih mode asosiasi.
Penagihan
Untuk informasi lebih lanjut, lihat Penagihan IPsec-VPN.