VPN Gateway：Hubungkan VPC AWS ke VPC Alibaba Cloud menggunakan IPsec-VPN

Prosedur ini dikenai biaya di kedua platform. Di Alibaba Cloud, Anda dikenai biaya untuk instans VPN Gateway dan transfer data. Di AWS, Anda dikenai biaya untuk koneksi VPN site-to-site dan transfer data.

Contoh skenario

Sebuah perusahaan memiliki VPC di wilayah Alibaba Cloud Germany (Frankfurt) dan VPC di wilayah AWS Europe (Frankfurt). Perusahaan tersebut ingin mengaktifkan komunikasi terenkripsi antara kedua VPC melalui IPsec-VPN.

Perencanaan jaringan

Persiapan

• Buat VPC di wilayah Alibaba Cloud Germany (Frankfurt) dan deploy resource menggunakan Elastic Compute Service (ECS). Untuk informasi selengkapnya, lihat Buat VPC dengan blok CIDR IPv4.

• Anda telah membuat VPC di wilayah AWS Europe (Frankfurt) dan mendeploy resource di dalamnya menggunakan EC2. Untuk informasi selengkapnya, lihat platform AWS.

Langkah 1: Buat instans VPN Gateway di Alibaba Cloud

Pertama, buat instans VPN Gateway di Alibaba Cloud. Setelah instans dibuat, sistem akan menetapkan dua alamat IP yang digunakan untuk menetapkan koneksi IPsec-VPN dengan platform AWS.

1. Login ke konsol VPN Gateway.

2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway VPN.

   Gateway VPN harus berada di wilayah yang sama dengan VPC yang akan dihubungkan.

3. Di halaman VPN Gateways, klik Create VPN Gateway.

4. Di halaman pembelian, konfigurasikan VPN Gateway dengan pengaturan berikut, lalu klik Buy Now dan selesaikan pembayaran.

   Hanya parameter yang relevan dengan topik ini yang dijelaskan. Untuk parameter lainnya, pertahankan pengaturan default. Untuk informasi selengkapnya, lihat Buat dan kelola instans VPN Gateway.

   Konfigurasi	Deskripsi	Nilai contoh
   Instance Name	Masukkan nama untuk instans VPN Gateway.	Masukkan VPN Gateway.
   Region	Pilih wilayah tempat instans VPN Gateway berada.	Pilih Germany (Frankfurt).
   Gateway Type	Pilih jenis gateway dari instans VPN Gateway.	Pilih Standard.
   Network Type	Pilih jenis jaringan dari instans VPN Gateway.	Pilih Public.
   Tunnel	Sistem menampilkan mode saluran yang didukung oleh koneksi IPsec-VPN di wilayah saat ini. Dual-Tunnel Single-tunnel Untuk informasi selengkapnya tentang mode single-tunnel dan dual-tunnel, lihat Buat koneksi IPsec-VPN.	Dalam topik ini, nilai default adalah Dual-tunnel.
   VPC	Pilih VPC yang akan dikaitkan dengan instans VPN Gateway.	Pilih instans VPC di wilayah Alibaba Cloud Germany (Frankfurt).
   vSwitch	Pilih vSwitch dari VPC. Jika mode saluran adalah single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika mode saluran adalah dual-tunnel, Anda harus menentukan dua vSwitch. Saat fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) di masing-masing dua vSwitch tersebut. ENI digunakan sebagai antarmuka untuk traffic antara VPC dan koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch-nya. Catatan Sistem memilih vSwitch pertama secara default. Anda dapat mengubah vSwitch atau menggunakan vSwitch default. Setelah instans VPN Gateway dibuat, Anda tidak dapat mengubah vSwitch yang terkait dengannya. Anda dapat melihat vSwitch yang terkait, zona tempatnya berada, dan informasi ENI di halaman detail instans.	Pilih vSwitch di VPC.
   vSwitch 2	Pilih vSwitch kedua dari VPC. Anda harus menentukan dua vSwitch di zona berbeda dalam VPC yang dikaitkan dengan instans VPN Gateway. Konfigurasi ini menerapkan pemulihan bencana antar-zona untuk koneksi IPsec-VPN. Untuk wilayah yang hanya memiliki satu zona, pemulihan bencana antar-zona tidak didukung. Kami merekomendasikan agar Anda menentukan dua vSwitch berbeda di zona tersebut untuk mencapai ketersediaan tinggi untuk koneksi IPsec-VPN. Anda dapat memilih vSwitch yang sama untuk keduanya. Catatan Jika vSwitch kedua tidak tersedia di VPC, Anda dapat membuatnya. Untuk informasi selengkapnya, lihat Buat dan kelola vSwitch.	Pilih vSwitch kedua di VPC.
   IPsec-VPN	Menentukan apakah akan mengaktifkan fitur IPsec-VPN. Nilai default adalah Enable.	Aktifkan fitur IPsec-VPN.
   SSL-VPN	Pilih apakah akan mengaktifkan atau menonaktifkan fitur SSL-VPN. Nilai default adalah Disable.	Nonaktifkan fitur SSL-VPN.

5. Kembali ke halaman VPN Gateway untuk melihat instans VPN Gateway yang telah Anda buat.

   Instans VPN Gateway baru memiliki status awal Preparing. Setelah sekitar 1 hingga 5 menit, statusnya berubah menjadi Active. Status Active menunjukkan bahwa VPN Gateway telah diinisialisasi dan siap digunakan.

   Tabel berikut mencantumkan dua alamat IP yang ditetapkan oleh sistem ke instans VPN Gateway:

   Nama instans VPN Gateway	ID instans VPN Gateway	Alamat IP
   VPN Gateway	vpn-gw8dickm386d2qi2g****	IPsec Address 1 (alamat saluran aktif secara default): 8.XX.XX.146
   		IPsec Address 2 (alamat saluran cadangan secara default): 8.XX.XX.74

Langkah 2: Deploy VPN di platform AWS

Untuk menetapkan koneksi IPsec-VPN, Anda harus mendeploy VPN di platform AWS berdasarkan informasi berikut. Untuk perintah atau operasi spesifik, lihat dokumentasi resmi AWS.

Langkah 3: Deploy VPN Gateway di Alibaba Cloud

Setelah menyelesaikan konfigurasi VPN di platform AWS, Anda harus mendeploy VPN Gateway di sisi Alibaba Cloud berdasarkan informasi berikut untuk menetapkan koneksi IPsec-VPN antara VPC AWS dan VPC Alibaba Cloud.

1. Buat customer gateway.

   1. Login ke konsol VPN Gateway.

   2. Di panel navigasi kiri, pilih Interconnections > VPN > Customer Gateways.

   3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat customer gateway.

      Pastikan customer gateway dan gateway VPN yang akan dihubungkan dideploy di wilayah yang sama.

   4. Di halaman Customer Gateways, klik Create Customer Gateway.

   5. Di panel Create Customer Gateway, atur parameter berikut dan klik OK.

      Anda harus membuat dua customer gateway dan menggunakan alamat IP luar saluran dari koneksi VPN site-to-site AWS sebagai alamat IP customer gateway untuk menetapkan dua saluran terenkripsi. Hanya parameter yang relevan dengan topik ini yang dijelaskan. Untuk parameter lainnya, pertahankan pengaturan default. Untuk informasi selengkapnya, lihat Customer gateways.

      Penting

      Gunakan hanya alamat IP luar Tunnel 1 dari setiap koneksi VPN site-to-site sebagai alamat customer gateway. Alamat IP luar Tunnel 2 dari setiap koneksi VPN site-to-site tidak digunakan secara default. Setelah koneksi IPsec-VPN dibuat, Tunnel 2 dari setiap koneksi VPN site-to-site tidak terhubung secara default.

      Konfigurasi	Deskripsi	Customer Gateway 1	Customer Gateway 2
      Name	Masukkan nama untuk customer gateway.	Masukkan Customer Gateway 1.	Masukkan Customer Gateway 2.
      IP Address	Masukkan alamat IP luar saluran di platform AWS.	Masukkan 3.XX.XX.52.	Masukkan 3.XX.XX.56.
      ASN	Masukkan BGP ASN virtual private gateway AWS. Catatan Parameter ini diperlukan saat Anda menggunakan perutean dinamis BGP.	Masukkan 64512.	Masukkan 64512.

2. Buat koneksi IPsec-VPN.

   1. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

   2. Di halaman IPsec Connections, klik Bind VPN Gateway.

   3. Di halaman Create IPsec-VPN Connection, atur parameter untuk koneksi IPsec-VPN dan klik OK.

      Konfigurasi	Deskripsi	Nilai contoh
      IPsec-VPN Connection Name	Masukkan nama untuk koneksi IPsec-VPN.	Masukkan IPsec-VPN connection.
      Region	Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN dideploy. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan gateway VPN.	Pilih Germany (Frankfurt).
      Attach a VPN Gateway	Pilih instans VPN Gateway untuk dikaitkan dengan koneksi IPsec-VPN.	Pilih VPN Gateway yang telah dibuat.
      Routing Mode	Pilih mode perutean. Destination-based Routing: Merutekan traffic berdasarkan alamat IP tujuan. Traffic Of Interest Pattern: Memberikan perutean dan penerusan traffic yang tepat berdasarkan alamat IP sumber dan tujuan.	Saat menggunakan metode perutean statis dalam topik ini, pilih Interested Stream Pattern (Direkomendasikan). Atur Local Network ke 10.0.0.0/16. Atur Remote Network ke 192.168.0.0/16. Dalam topik ini, saat menggunakan perutean dinamis BGP, pilih Destination-based Routing (direkomendasikan).
      Effective Immediately	Pilih apakah konfigurasi koneksi IPsec-VPN langsung berlaku. Nilai yang valid adalah: Yes: Negosiasi dimulai segera setelah konfigurasi selesai. No: Negosiasi dipicu oleh traffic.	Pilih Yes.
      Enable BGP	Jika koneksi IPsec-VPN perlu menggunakan BGP, aktifkan BGP. Fitur BGP dinonaktifkan secara default.	Pertahankan pengaturan default dan jangan aktifkan BGP. Ini akan menggunakan perutean statis secara default. Untuk menggunakan perutean dinamis BGP setelah koneksi IPsec-VPN dibuat, Anda harus menambahkan konfigurasi BGP secara terpisah.
      Tunnel 1	Tambahkan konfigurasi VPN untuk Tunnel 1 (saluran aktif). Secara default, sistem menetapkan Tunnel 1 sebagai saluran aktif dan Tunnel 2 sebagai saluran cadangan. Ini tidak dapat diubah.
      Customer Gateway	Tambahkan customer gateway yang akan dikaitkan dengan saluran aktif.	Pilih Customer Gateway 1.
      Pre-Shared Key	Masukkan kunci autentikasi untuk saluran aktif. Kunci ini digunakan untuk otentikasi identitas. Kunci harus terdiri dari 1 hingga 100 karakter dan dapat berisi angka, huruf besar dan kecil, serta karakter khusus berikut: ~`!@#$%^&*()_-+={}[]\|;:',.<>/?. Jika Anda tidak menentukan kunci pra-bersama, sistem akan menghasilkan string acak sepanjang 16 karakter sebagai kunci pra-bersama. Penting Kunci pra-bersama yang dikonfigurasi untuk saluran dan perangkat gateway peer-nya harus sama. Jika tidak, sistem tidak dapat menetapkan koneksi IPsec-VPN.	Kunci autentikasi untuk saluran ini harus sama dengan kunci untuk saluran AWS yang terhubung.
      Encryption Configurations	Konfigurasikan IKE, IPsec, DPD, dan Penelusuran NAT.	Di bawah IKE Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Dalam topik ini, nilainya diatur ke 28800. Di bagian IPsec Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Dalam topik ini, nilainya diatur ke 3600. Untuk semua parameter lainnya, gunakan nilai default. Untuk informasi selengkapnya tentang nilai default, lihat Koneksi IPsec-VPN (VPN Gateway).
      Tunnel 2	Tambahkan konfigurasi VPN untuk Tunnel 2 (saluran cadangan).
      Customer Gateway	Tambahkan customer gateway yang akan dikaitkan dengan saluran cadangan.	Pilih Customer Gateway 2.
      Pre-Shared Key	Masukkan kunci autentikasi untuk saluran cadangan. Kunci ini digunakan untuk otentikasi identitas.	Kunci autentikasi untuk saluran ini harus sama dengan kunci untuk saluran AWS yang terhubung.
      Encryption Configuration	Konfigurasikan IKE, IPsec, DPD, dan Penelusuran NAT.	Untuk IKE Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Topik ini menggunakan nilai contoh 28800. Untuk IPsec Configurations, SA Life Cycle (seconds) harus sesuai dengan nilai di platform AWS. Topik ini menggunakan nilai 3600. Untuk semua parameter lainnya, gunakan nilai default. Untuk informasi selengkapnya tentang nilai default, lihat Koneksi IPsec-VPN (VPN Gateway).

   4. Di pesan Created, klik Cancel.

3. Konfigurasikan rute gateway VPN.

   Gunakan perutean statis

   Setelah membuat koneksi IPsec-VPN, Anda harus mengonfigurasi rute untuk instans VPN Gateway. Jika Anda memilih Policy-based Routing untuk Routing Mode saat membuat koneksi IPsec-VPN, sistem secara otomatis membuat rute berbasis kebijakan di instans VPN Gateway. Rute tersebut dibuat dalam status Unpublished. Anda kemudian harus mempublikasikan rute tersebut dari instans VPN Gateway ke VPC.

   1. Di panel navigasi kiri, pilih Interconnections > VPN > VPN Gateways.

   2. Di bilah navigasi atas, pilih wilayah tempat instans gateway VPN berada.

   3. Di halaman VPN Gateways, klik ID gateway VPN target.

   4. Di halaman detail gateway VPN, klik tab Policy-based Route Table, temukan rute yang ingin Anda kelola, lalu klik Advertise di kolom Actions.

   5. Di kotak dialog Advertise Route, klik OK.

   Gunakan perutean dinamis BGP

   1. Tambahkan konfigurasi BGP ke koneksi IPsec-VPN.

      1. Di panel navigasi kiri, buka Interconnections > VPN > IPsec Connections.

      2. Di halaman IPsec Connections, klik ID koneksi IPsec-VPN.

      3. Di bagian IPsec Connections, aktifkan Enable BGP. Di kotak dialog BGP Configuration yang muncul, konfigurasikan pengaturan yang diperlukan dan klik OK.

         Konfigurasi	Deskripsi	Konfigurasi koneksi IPsec-VPN
         Local ASN	Masukkan nomor sistem otonom untuk koneksi IPsec-VPN.	Masukkan 65530.
         Tunnel 1	Tambahkan konfigurasi BGP untuk saluran aktif.	Tambahkan konfigurasi BGP untuk saluran aktif koneksi IPsec-VPN.
         Tunnel CIDR Block	Masukkan blok CIDR yang digunakan untuk menetapkan saluran terenkripsi.	Masukkan 169.254.116.208/30.
         Local BGP IP address	Masukkan alamat IP BGP untuk koneksi IPsec-VPN. Alamat ini merupakan alamat IP dalam blok CIDR saluran.	Masukkan 169.254.116.210.
         Tunnel 2	Tambahkan konfigurasi BGP untuk saluran cadangan.	Tambahkan konfigurasi BGP untuk saluran cadangan koneksi IPsec-VPN.
         Tunnel CIDR Block	Masukkan blok CIDR yang digunakan untuk menetapkan saluran terenkripsi.	Masukkan 169.254.214.96/30.
         Local BGP IP address	Masukkan alamat IP BGP untuk koneksi IPsec-VPN. Alamat ini merupakan alamat IP dalam blok CIDR saluran.	Masukkan 169.254.214.98.

   2. Aktifkan penyebaran rute BGP otomatis untuk instans VPN Gateway.

      1. Di panel navigasi kiri, pilih Interconnections > VPN > VPN Gateways.

      2. Di halaman VPN Gateways, temukan instans gateway VPN target. Di kolom Actions, pilih > Enable Automatic BGP Propagation.

      3. Di kotak dialog Enable Automatic BGP Propagation, klik OK.

Langkah 4: Uji konektivitas

Setelah konfigurasi selesai, koneksi IPsec-VPN ditetapkan antara VPC Alibaba Cloud dan VPC AWS. Langkah-langkah berikut menjelaskan cara menguji konektivitas antar VPC dengan mengakses instans EC2 AWS dari instans ECS Alibaba Cloud.

1. Login ke instans ECS di VPC Alibaba Cloud. Untuk informasi selengkapnya tentang cara login ke instans ECS, lihat Pilih metode koneksi jarak jauh untuk instans ECS.

2. Di instans ECS, jalankan perintah ping untuk mengakses instans EC2 AWS dan verifikasi bahwa kedua instans dapat berkomunikasi satu sama lain.

   Jika instans ECS menerima pesan balasan dari instans EC2 AWS, berarti kedua VPC dapat berkomunikasi satu sama lain.

   ping <private IP address of the AWS EC2 instance>

   

3. Uji ketersediaan tinggi koneksi IPsec-VPN.

   Koneksi IPsec-VPN dual-tunnel menyediakan ketersediaan tinggi. Jika saluran aktif terputus, traffic secara otomatis dialihkan melalui saluran cadangan. Langkah-langkah berikut menjelaskan cara memverifikasi ketersediaan tinggi koneksi IPsec-VPN dual-tunnel.

   1. Tetap login ke instans ECS di VPC Alibaba Cloud.

   2. Jalankan perintah berikut untuk mengaktifkan instans ECS Alibaba Cloud agar terus-menerus mengakses instans EC2 AWS.

      ping <private IP address of the AWS EC2 instance> -c 10000

   3. Putuskan saluran aktif koneksi IPsec-VPN.

      Dalam topik ini, saluran aktif diputus dengan mengubah kunci pra-bersamanya di sisi Alibaba Cloud. Jika kunci pra-bersama di kedua ujung saluran aktif tidak cocok, saluran tersebut akan terputus.

   4. Periksa status komunikasi di instans ECS Alibaba Cloud. Anda akan melihat bahwa komunikasi kembali normal setelah gangguan singkat. Hal ini menunjukkan bahwa traffic secara otomatis dialihkan melalui saluran cadangan setelah saluran aktif terputus.

      Anda dapat memantau traffic setiap saluran di tab Monitoring di konsol Alibaba Cloud. Untuk informasi selengkapnya, lihat Pantau koneksi IPsec-VPN.