VPN Gateway：Membuat koneksi IPsec-VPN antara dua VPC (mode single-tunnel)

Skenario

Sebagai contoh dalam topik ini, sebuah perusahaan menciptakan VPC bernama VPC 1 di wilayah China (Hangzhou) dan VPC lain bernama VPC 2 di wilayah China (Qingdao). Instance Elastic Compute Service (ECS) ditempatkan di masing-masing VPC tersebut, dengan layanan dijalankan pada instance ECS. Karena perkembangan bisnis, layanan di VPC 1 dan VPC 2 perlu saling berkomunikasi.

Untuk memastikan keamanan jaringan, perusahaan memutuskan untuk menggunakan gateway VPN guna membuat koneksi IPsec-VPN antara VPC 1 dan VPC 2. Dengan cara ini, transmisi data antar-VPC dienkripsi dan sumber daya cloud dapat berkomunikasi melalui koneksi aman.

Prasyarat

• Sebagai contoh dalam topik ini, sebuah perusahaan menciptakan VPC bernama VPC 1 di wilayah China (Hangzhou) dan VPC lain bernama VPC 2 di wilayah China (Qingdao). Instance Elastic Compute Service (ECS) ditempatkan di masing-masing VPC tersebut, dengan layanan dijalankan pada instance ECS. Untuk informasi lebih lanjut, lihat Buat VPC IPv4.

  Tabel berikut menjelaskan konfigurasi VPC 1 dan VPC 2 dalam contoh ini.

  Penting

  Anda dapat menentukan blok CIDR berdasarkan kebutuhan bisnis Anda. Pastikan bahwa blok CIDR yang perlu berkomunikasi tidak tumpang tindih.

  Nama VPC	Wilayah	Blok CIDR VPC	ID VPC	Nama instance ECS	Alamat IP instance ECS
  VPC1	China (Hangzhou)	192.168.0.0/16	vpc-bp1e0yx3nsosmitth****	ECS1	192.168.20.161
  VPC2	China (Qingdao)	10.0.0.0/16	vpc-m5e83sapxp88cgp5f****	ECS2	10.0.1.110

• Anda memahami aturan grup keamanan yang berlaku untuk instance ECS di VPC. Pastikan aturan grup keamanan mengizinkan instance ECS untuk saling berkomunikasi. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.

Prosedur

Langkah 1: Buat gateway VPN

1. Masuk ke Konsol Gateway VPN.

2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway VPN.

   Dalam contoh ini, wilayah China (Hangzhou) dipilih.

   Catatan

   Gateway VPN harus berada dalam wilayah yang sama dengan VPC yang ingin Anda asosiasikan dengan gateway VPN.

3. Pada halaman VPN Gateways, klik Create VPN Gateway.

4. Di halaman pembelian, atur parameter berikut, klik Buy Now, lalu selesaikan pembayaran.

   Parameter	Deskripsi
   Name	Masukkan nama untuk gateway VPN. Dalam contoh ini, VPN Gateway 1 dimasukkan.
   Wilayah	Pilih wilayah tempat Anda ingin menerapkan gateway VPN. Dalam contoh ini, wilayah China (Hangzhou) dipilih.
   Gateway Type	Pilih tipe gateway VPN. Dalam contoh ini, Standard dipilih.
   Network Type	Pilih tipe jaringan gateway VPN. Dalam contoh ini, Public dipilih.
   Tunnels	Mode terowongan yang didukung secara otomatis ditampilkan.
   VPC	Pilih VPC yang ingin Anda asosiasikan dengan gateway VPN. Dalam contoh ini, VPC 1 dipilih.
   VSwitch	Pilih vSwitch dari VPC yang dipilih. Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem akan membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch. Catatan Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default. Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang terkait dengan gateway VPN. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch pada halaman detail gateway VPN.
   vSwitch 2	Pilih vSwitch lain dari VPC yang dipilih. Abaikan parameter ini jika Anda memilih Single-tunnel.
   Bandwidth Maksimum	Tentukan nilai bandwidth maksimum untuk gateway VPN. Unit: Mbit/s.
   Traffic	Pilih metode pengukuran untuk gateway VPN. Nilai default: Pay-by-data-transfer. Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.
   IPsec-VPN	Tentukan apakah akan mengaktifkan IPsec-VPN. Dalam contoh ini, Enable dipilih.
   SSL-VPN	Tentukan apakah akan mengaktifkan SSL-VPN. Dalam contoh ini, Disable dipilih.
   Durasi	Pilih siklus penagihan. Nilai default: By Hour.
   Service-linked Role	Klik Create Service-linked Role. Kemudian, sistem secara otomatis membuat role layanan terhubung AliyunServiceRoleForVpn. Gateway VPN mengambil peran ini untuk mengakses sumber daya cloud lainnya. Untuk informasi lebih lanjut, lihat AliyunServiceRoleForVpn. Jika Created ditampilkan, itu menunjukkan bahwa role layanan terhubung telah dibuat dan Anda tidak perlu membuatnya lagi.

   Untuk informasi lebih lanjut, lihat Buat Gateway VPN.

5. Kembali ke halaman VPN Gateways untuk melihat gateway VPN.

   Setelah membuat gateway VPN, statusnya akan menjadi Preparing. Dalam waktu 1 hingga 5 menit, status gateway VPN akan berubah menjadi Normal. Setelah statusnya menjadi Normal, gateway VPN siap digunakan.

6. Ulangi Sublangkah2 hingga Sublangkah4 dari Langkah 1 untuk membuat gateway VPN bernama VPN Gateway 2 di wilayah China (Qingdao). Tentukan VPC 2 untuk parameter VPC. Gunakan nilai yang sama seperti pada VPN Gateway 1 untuk parameter lainnya.

   Tabel berikut menjelaskan informasi tentang gateway VPN yang dibuat dalam contoh ini.

   Wilayah	Nama gateway VPN	Nama VPC	ID gateway VPN	Alamat IP gateway VPN
   China (Hangzhou)	VPN Gateway 1	VPC1	vpn-bp1l5zihic47jprwa****	120.XX.XX.40
   China (Qingdao)	VPN Gateway 2	VPC2	vpn-m5eqjnr4ii6jajpms****	118.XX.XX.20

Langkah 2: Buat gateway pelanggan

1. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > Customer Gateways.

2. Di bilah navigasi atas, pilih wilayah gateway pelanggan.

   Catatan

   Pastikan bahwa gateway pelanggan dan gateway VPN yang akan dihubungkan berada di wilayah yang sama.

3. Pada halaman Customer Gateway, klik Create Customer Gateway.

4. Di panel Create Customer Gateway, atur parameter berikut dan klik OK.

   Anda harus membuat gateway pelanggan di wilayah China (Hangzhou) dan wilayah China (Qingdao). Tabel berikut menjelaskan parameter gateway pelanggan.

   Parameter	Deskripsi	China (Hangzhou)	China (Qingdao)
   Name	Masukkan nama untuk gateway pelanggan.	Customer1	Customer2
   IP Address	Masukkan alamat IP publik gateway pelanggan.	Dalam contoh ini, alamat IP dari VPN Gateway 2, 118.XX.XX.XX. 20, dimasukkan Catatan Dalam contoh ini, VPN Gateway 1 adalah gateway pelanggan dari VPC 2, dan VPN Gateway 2 adalah gateway pelanggan dari VPC 1.	Dalam contoh ini, alamat IP dari VPN Gateway 1, 120.XX.XX.40, dimasukkan

   Untuk informasi lebih lanjut, lihat Buat Gateway Pelanggan.

   Tabel berikut menjelaskan informasi tentang gateway VPN, gateway pelanggan, dan VPC di setiap wilayah.

   Wilayah	Nama VPC	Nama gateway VPN	Nama gateway pelanggan	ID gateway pelanggan	Alamat IP gateway pelanggan
   China (Hangzhou)	VPC1	VPN Gateway 1	Customer1	cgw-bp1er5cw26c2b35vm****	118.XX.XX.20
   China (Qingdao)	VPC2	VPN Gateway 2	Customer2	cgw-m5e6qdvuxquse3fvm****	120.XX.XX.40

Langkah 3: Buat koneksi IPsec-VPN

Setelah Anda membuat gateway VPN dan gateway pelanggan, Anda dapat membuat koneksi IPsec-VPN untuk menghubungkan gateway VPN ke gateway pelanggan.

1. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

2. Pada halaman IPsec Connections, klik Bind VPN Gateway.

3. Pada halaman Create Ipsec-vpn Connection (VPN), atur parameter untuk koneksi IPsec-VPN, dan klik OK.

   Anda harus membuat koneksi IPsec-VPN di wilayah China (Hangzhou) dan koneksi IPsec-VPN lainnya di wilayah China (Qingdao). Tabel berikut menjelaskan parameter koneksi IPsec-VPN.

   Parameter	Deskripsi	China (Hangzhou)	China (Qingdao)
   Name	Masukkan nama untuk koneksi IPsec-VPN.	Koneksi IPsec-VPN 1	Koneksi IPsec-VPN 2
   Region	Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN diterapkan.	China (Hangzhou)	China (Qingdao)
   Bind VPN Gateway	Pilih gateway VPN yang telah Anda buat.	VPN Gateway 1	VPN Gateway 2
   Routing Mode	Pilih mode routing.	Pilih Destination Routing Mode.	Pilih Destination Routing Mode.
   Effective Immediately	Tentukan apakah akan segera memulai negosiasi. Yes: Negosiasi dimulai segera setelah konfigurasi selesai. No: Negosiasi terjadi ketika trafik masuk. Catatan Jika Anda menggunakan gateway VPN untuk membuat koneksi IPsec-VPN antara dua VPC, kami menyarankan Anda mengatur Effective Immediately ke Yes untuk satu koneksi IPsec-VPN. Dengan cara ini, negosiasi IPsec dapat segera dimulai.	Dalam contoh ini, No dipilih.	Yes dipilih dalam contoh ini.
   Customer Gateway	Pilih gateway pelanggan yang telah Anda buat.	Customer1	Customer2
   Pre-Shared Key	Masukkan pre-shared key. Kunci harus memiliki panjang 1 hingga 100 karakter dan dapat berisi digit, huruf besar, huruf kecil, dan karakter khusus berikut: ~`!@#$%^&*()_-+={}[]\|;:',.<>/?. Jika Anda tidak menentukan pre-shared key, sistem secara acak menghasilkan string 16 karakter sebagai pre-shared key. Setelah Anda membuat koneksi IPsec-VPN, Anda dapat melihat pre-shared key yang dihasilkan oleh sistem dengan mengklik tombol Edit. Untuk informasi lebih lanjut, lihat Ubah koneksi IPsec-VPN. Penting Pre-shared key yang dikonfigurasikan untuk koneksi IPsec-VPN dan perangkat gateway peer harus sama. Jika tidak, sistem tidak dapat membuat koneksi IPsec-VPN.	fddsFF123****

   Gunakan pengaturan default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Single-Tunnel.

4. Dalam kotak dialog Created, klik OK.

Langkah 4: Konfigurasikan rute

1. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > VPN Gateways.

2. Di bilah menu atas, pilih wilayah gateway VPN.

3. Pada halaman VPN Gateway, temukan gateway VPN yang ingin Anda kelola dan klik ID-nya.

4. Pada tab Destination-based Route Table, klik Add Route Entry.

5. Di panel Add Route Entry, atur parameter berikut dan klik OK.

   Anda harus menambahkan rute ke VPN Gateway 1 dan VPN Gateway 2. Tabel berikut menjelaskan parameter rute.

   Parameter	Deskripsi	VPN Gateway 1	VPN Gateway 2
   Destination CIDR Block	Masukkan blok CIDR tujuan.	Masukkan 10.0.0.0/16, yang merupakan blok CIDR privat dari VPC 2.	Masukkan 192.168.0.0/16, yang merupakan blok CIDR privat dari VPC 1.
   Next Hop Type	Pilih tipe hop selanjutnya.	Pilih IPsec Connection.	Pilih IPsec Connection.
   Next Hop	Pilih hop selanjutnya.	Dalam contoh ini, Koneksi IPsec-VPN 1 dipilih.	Dalam contoh ini, Koneksi IPsec-VPN 2 dipilih.
   Publish to VPC	Tentukan apakah akan mengiklankan rute ke VPC yang terkait dengan gateway VPN.	Yes dipilih dalam contoh ini.	Yes dipilih dalam contoh ini.
   Weight	Pilih bobot untuk rute. 100: menentukan prioritas tinggi untuk rute. 0: menentukan prioritas rendah untuk rute.	Nilai default 100 digunakan dalam contoh ini.	Nilai default 100 digunakan dalam contoh ini.

   Untuk informasi lebih lanjut, lihat Tambahkan Rute Berbasis-Tujuan.

Langkah 5: Uji konektivitas jaringan

1. Masuk ke ECS1 di VPC1.

   Untuk informasi lebih lanjut tentang cara masuk ke instance ECS, lihat Panduan Koneksi Instance.

2. Jalankan perintah ping untuk ping alamat IP ECS 2 guna menguji konektivitas jaringan.

   ping <Alamat IP ECS 2>

   Jika Anda dapat menerima paket balasan echo seperti yang ditunjukkan pada gambar berikut, VPC dapat saling berkomunikasi.