Sebelum membangun koneksi IPsec-VPN, Anda harus terlebih dahulu menyebarkan instans VPN Gateway.
Cara kerjanya
Instans VPN Gateway berfungsi sebagai perantara antara Virtual Private Cloud (VPC) dan pusat data lokal. Aliran lalu lintas dikelola sebagai berikut:
Dari VPC ke pusat data lokal:
Menerima paket: Entri rute VPC mengarahkan lalu lintas ke instans VPN Gateway.
Mengenkripsi dan mengenkapsulasi: Instans VPN Gateway menerapkan enkripsi IPsec, mengenkapsulasi paket dengan IP publiknya sebagai sumber dan IP publik pusat data sebagai tujuan.
Meneruskan ke pusat data: Perangkat gateway di pusat data lokal menerima, mendekripsi, dan memulihkan paket, menerjemahkan sumber dan tujuan IP ke alamat pribadi masing-masing, dan merutekannya sesuai kebijakan lokal.
Dari pusat data lokal ke VPC:
Menerima lalu lintas terenkripsi: Instans VPN Gateway mendengarkan koneksi IPsec-VPN di IP publiknya dan menerima data terenkripsi dari pusat data.
Mendekripsi dan memulihkan paket: Instans tersebut melepaskan enkapsulasi paket dan memulihkannya untuk VPC.
Merutekan dan meneruskan: Paket yang dipulihkan diteruskan oleh instans VPN Gateway ke instans tujuan di VPC berdasarkan kebijakan perutean.
Buat instans VPN Gateway
Instans VPN Gateway yang baru dibuat hanya mendukung koneksi IPsec-VPN dalam mode dual-tunnel. Jika Anda memiliki instans VPN Gateway single-tunnel yang sudah ada, tingkatkan koneksi IPsec-VPN-nya ke mode dual-tunnel untuk memastikan ketersediaan tinggi dan memanfaatkan fitur terbaru.
Konsol
Untuk membuat instans VPN Gateway menggunakan Konsol, kunjungi halaman pembelian VPN Gateway dan konfigurasikan parameter berikut:
Region: Pilih wilayah yang sama dengan VPC Anda.
Gateway Type: Pilih Standard untuk memastikan gateway menggunakan algoritma kriptografi komersial standar industri untuk koneksi IPsec-VPN.
Network Type: Pilih Public untuk menetapkan alamat IP publik untuk koneksi IPsec-VPN. Untuk konektivitas pribadi, gunakan koneksi IPsec-VPN pribadi dan sambungkan ke router transit.
Tunnels: Pilih Dual-tunnel untuk meningkatkan ketersediaan.
Pilih VPC terkait dan dua vSwitch di zona ketersediaan berbeda. Saat IPsec-VPN diaktifkan, sistem membuat Elastic Network Interface (ENI) di setiap vSwitch. ENI ini berfungsi sebagai antarmuka lalu lintas antara koneksi IPsec-VPN dan VPC, dan setiap ENI mengonsumsi satu alamat IP.
Di wilayah yang hanya mendukung satu zona ketersediaan, pemulihan bencana tingkat zona tidak mungkin dilakukan. Untuk menjaga ketersediaan tinggi untuk koneksi IPsec-VPN, pilih dua vSwitch berbeda dalam zona yang sama.
vSwitch terkait tidak dapat dimodifikasi setelah instans VPN Gateway dibuat.
Maximum Bandwidth: Bandwidth maksimum yang didukung bervariasi menurut wilayah. Jika Anda memilih 10 Mbit/s atau 5 Mbit/s, bandwidth puncak masuk dari pusat data lokal ke instans VPN Gateway dibatasi hingga 10 Mbit/s.
Aktifkan IPsec-VPN dan nonaktifkan SSL-VPN.
Jika IPsec-VPN tidak diaktifkan saat pembuatan, Anda dapat mengaktifkannya nanti dengan menemukan instans VPN Gateway di Konsol dan klik Enable di kolom Feature Configuration.
API
Untuk membuat instans VPN Gateway menggunakan API, panggil operasi CreateVpnGateway dan tentukan parameter yang diperlukan.
Tingkatkan instans VPN Gateway
Instans VPN Gateway secara berkala diperbarui untuk memberikan fitur yang ditingkatkan, kompatibilitas yang lebih baik, dan interoperabilitas yang lebih baik dengan perangkat pihak ketiga. Menjalankan versi yang sudah usang dapat memperkenalkan risiko operasional, jadi disarankan untuk meningkatkan ke versi terbaru untuk memastikan stabilitas jaringan dan akses ke semua fitur yang tersedia.
Pemeriksaan peningkatan: Verifikasi versi instans VPN Gateway Anda dengan memeriksa status tombol Tingkatkan di halaman detailnya. Instans baru dibuat pada versi terbaru secara default.
Durasi dan biaya peningkatan:
Peningkatan biasanya membutuhkan waktu sekitar 10 menit.
PentingSelama peningkatan, instans VPN Gateway tidak akan tersedia dan koneksi yang ada akan terputus. Jadwalkan peningkatan selama jendela pemeliharaan untuk meminimalkan dampak layanan.
Proses ini gratis.
Batasan peningkatan:
Jika instans VPN Gateway tidak memiliki koneksi IPsec-VPN, konfigurasinya tetap tidak berubah setelah peningkatan.
Jika instans VPN Gateway memiliki koneksi IPsec-VPN:
Untuk koneksi yang dikonfigurasi dengan beberapa blok CIDR dan menggunakan IKEv1, ubah versi IKE ke IKEv2 atau pisahkan blok CIDR menjadi koneksi IPsec-VPN terpisah sebelum peningkatan. Jika tidak, peningkatan akan gagal.
Jika Anda melihat prompt yang menunjukkan bahwa fitur Policy-based Route Table atau Destination-based Route Table tidak didukung, atau jika instans VPN Gateway dibuat sebelum 21 Maret 2019 dan belum ditingkatkan, perlu dicatat bahwa di versi lama, hanya pemilih lalu lintas yang perlu dikonfigurasi untuk koneksi IPsec-VPN, dan konfigurasi rute tidak diperlukan. Namun, di versi terbaru, konfigurasi rute wajib. Oleh karena itu, setelah meningkatkan instans VPN Gateway, pastikan untuk mengonfigurasi rute yang diperlukan untuk memastikan koneksi IPsec-VPN berfungsi dengan benar.
Dalam kasus lain, konfigurasi koneksi IPsec-VPN tetap tidak berubah setelah peningkatan.
Konsol
Masuk ke Konsol VPN Gateway. Di bilah navigasi atas, pilih wilayah tempat instans gateway VPN Anda ditempatkan.
Temukan dan klik ID instans target Anda untuk mengakses halaman detailnya, lalu klik Upgrade untuk memulai proses peningkatan.
Hapus instans VPN Gateway
Sebelum menghapus instans VPN Gateway, pastikan tidak ada koneksi IPsec-VPN, server SSL, atau server IPsec yang terkait.
Konsol
Di kolom Actions instans VPN Gateway target, klik Delete.
API
Panggil operasi DeleteVpnGateway untuk menghapus instans VPN Gateway yang ditentukan.
Kuota dan batasan
Bandwidth puncak untuk lalu lintas masuk dan keluar antara pusat data lokal dan instans VPN Gateway bergantung pada mode terowongan IPsec-VPN dan bandwidth puncak yang ditentukan dari instans tersebut.
Mode terowongan IPsec-VPN
Bandwidth puncak VPN Gateway
Bandwidth puncak keluar
Bandwidth Masuk Puncak
Dual-tunnel
> 10 Mit/s
Bandwidth puncak instans VPN Gateway
Bandwidth puncak instans VPN Gateway
≤ 10 Mit/s
Bandwidth puncak instans VPN Gateway
10 Mbit/s
Single-tunnel
> 100 Mit/s
Bandwidth puncak instans VPN Gateway
Bandwidth puncak instans VPN Gateway
≤ 100 Mit/s
Bandwidth puncak instans VPN Gateway
100 Mbit/s
Bandwidth puncak maksimum yang didukung oleh instans VPN Gateway bervariasi menurut wilayah.
Maksimum
Wilayah
1.000 Mbit/s
Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Chengdu), Tiongkok (Hong Kong), Singapura, Jepang (Tokyo), Malaysia (Kuala Lumpur), Indonesia (Jakarta), Thailand (Bangkok), Korea Selatan (Seoul), Filipina (Manila), AS (Silicon Valley), AS (Virginia), Jerman (Frankfurt), Inggris (London), Meksiko
500 Mbit/s
Tiongkok (Nanjing - Wilayah Lokal), UEA (Dubai), SAU (Riyadh - Wilayah Mitra)
Wilayah SAU (Riyadh - Wilayah Mitra) dioperasikan oleh mitra.
Penagihan
Biaya instans: Instans VPN Gateway mengakibatkan baik biaya instans maupun biaya lalu lintas.
Perubahan konfigurasi: Jika Anda mengaktifkan IPsec-VPN untuk instans VPN Gateway yang sudah ada, Anda akan dikenakan selisih harga untuk fitur tersebut untuk sisa siklus penagihan saat ini.
Peningkatan versi: Peningkatan instans VPN Gateway tidak dikenakan biaya.