All Products
Search

This Product

    VPN Gateway:Mengakses resource di berbagai VPC dari klien menggunakan koneksi SSL-VPN

    Document Center

    VPN Gateway:Mengakses resource di berbagai VPC dari klien menggunakan koneksi SSL-VPN

    Last Updated:Apr 02, 2026

    Setelah klien membuat koneksi SSL-VPN ke VPC, secara default klien hanya dapat mengakses resource di VPC tersebut. Untuk memungkinkan klien mengakses resource di VPC lain, Anda harus terlebih dahulu menghubungkan VPC tersebut menggunakan CEN atau koneksi peering VPC, lalu menambahkan rute di produk terkait untuk mengaktifkan akses. Dengan demikian, klien dapat mengakses resource di VPC lain—baik di wilayah yang sama, lintas wilayah, maupun di bawah akun berbeda.

    Ikhtisar

    Kemampuan klien untuk mengakses resource lintas-VPC—misalnya di VPC lain di wilayah yang sama, lintas wilayah, atau di bawah akun berbeda—bergantung pada metode interkoneksi VPC. Baik CEN maupun koneksi peering VPC mendukung skenario interkoneksi ini. Setelah VPC saling terhubung, tambahkan blok CIDR VPC tujuan ke server SSL dan konfigurasikan rute di produk terkait agar klien dapat mengakses resource di VPC yang terhubung melalui koneksi SSL-VPN.

    Untuk informasi lebih lanjut mengenai perbedaan antara CEN dan koneksi peering VPC, lihat Interkoneksi VPC.

    CEN

    VPC peering connection

    Contoh

    Topik ini menggunakan skenario yang ditunjukkan pada gambar berikut sebagai contoh. Klien telah membuat koneksi SSL-VPN ke VPC1 dan dapat mengakses resource di VPC1. Karena kebutuhan bisnis, karyawan jarak jauh juga perlu mengakses resource di VPC2. Pertama, hubungkan VPC1 dan VPC2 menggunakan CEN atau koneksi peering VPC. Kemudian, tambahkan rute ke server SSL serta ke VPC1 atau VPC2 sehingga klien dapat mengakses resource di VPC2 melalui koneksi SSL-VPN.

    Prasyarat

    • Anda telah membuat koneksi SSL-VPN dari klien ke VPC1, yang memungkinkan klien mengakses resource di VPC1. Untuk informasi lebih lanjut, lihat Menghubungkan klien PC atau Android ke VPC menggunakan koneksi SSL-VPN.

    • Pada halaman detail SSL server, catat blok CIDR klien dan alamat virtual klien yang telah dikonfigurasi. Informasi ini diperlukan untuk konfigurasi dan pengujian konektivitas selanjutnya.

      客户端网段

      Penting

      Pastikan blok CIDR klien tidak tumpang tindih dengan blok CIDR VPC1 dan VPC2. Blok CIDR VPC1 dan VPC2 juga tidak boleh saling tumpang tindih. Jika terjadi tumpang tindih, Anda harus mengubah blok CIDR klien. Operasi ini akan memutus koneksi SSL-VPN, dan klien harus terhubung ulang.

    Prosedur

    Topik ini menjelaskan cara mengonfigurasi komunikasi lintas-VPC menggunakan CEN dan koneksi peering VPC. Anda dapat memilih salah satu metode.

    Langkah 1: Menghubungkan VPC

    CEN

    Catatan

    Bagian ini menjelaskan cara menggunakan CEN untuk menghubungkan VPC di wilayah berbeda dalam akun yang sama. Jika Anda ingin menggunakan CEN untuk skenario lain, seperti menghubungkan VPC di bawah akun berbeda, lihat CEN Quick Start.

    1. Buat instans CEN.

      Saat membuat instans CEN, pilih Create CEN Only, tentukan nama untuk instans CEN, dan gunakan nilai default untuk parameter lainnya.

    2. Buat router transit.

      Buat instans router transit di wilayah China (Hangzhou) dan satu lagi di wilayah China (Shanghai). Gunakan nilai default untuk semua parameter lainnya.

    3. Buat koneksi VPC.

      Hubungkan VPC1 ke router transit di wilayah China (Hangzhou) dan VPC2 ke router transit di wilayah China (Shanghai).

      1. Masuk ke Konsol CEN.

      2. Pada halaman Instances, klik ID instans CEN yang ingin Anda kelola.

      3. Pada tab Basic Settings > Transit Router, temukan instans router transit dan klik Create Connection di kolom Actions.

      4. Pada halaman Connection with Peer Network Instance, hubungkan VPC1 dan VPC2 ke router transit masing-masing dengan pengaturan berikut.

        Parameter

        VPC1

        VPC2

        Network Type

        Pilih Virtual Private Cloud (VPC).

        Pilih Virtual Private Cloud (VPC).

        Region

        Pilih China (Hangzhou).

        Pilih China (Shanghai).

        Resource Owner ID

        Gunakan nilai default: Your Account.

        Attachment Name

        Masukkan VPC1-Attachment.

        Masukkan VPC2-Attachment.

        Networks

        Pilih VPC1.

        Pilih VPC2.

        vSwitch

        Pilih instans vSwitch di zona yang didukung oleh router transit.

        Di wilayah yang mendukung beberapa zona, Anda harus memilih setidaknya satu instans vSwitch di masing-masing dua zona berbeda. Konfigurasi ini menyediakan pemulihan bencana tingkat zona untuk traffic antara VPC dan router transit. Jika Anda tidak memiliki cukup vSwitch, Anda dapat membuatnya sesuai kebutuhan.

        Advanced Settings

        Gunakan pengaturan default, yang mengaktifkan semua opsi lanjutan.

        Catatan

        Jika tabel rute VPC sudah berisi entri rute dengan tujuan 10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16, sistem tidak dapat secara otomatis menambahkan entri rute lain dengan tujuan yang sama. Anda harus secara manual menambahkan entri rute di tabel rute VPC yang mengarah ke koneksi VPC untuk mengaktifkan komunikasi antara VPC dan router transit.

        Anda dapat mengklik Networks di samping Check Route untuk memeriksa apakah rute semacam itu ada di instans jaringan.

    4. Buat koneksi lintas wilayah.

      Karena VPC1 dan VPC2 berada di wilayah berbeda, Anda harus membuat koneksi lintas wilayah antara router transit di wilayah China (Hangzhou) dan China (Shanghai).

      1. Pada tab Basic Settings > Transit Router, temukan instans router transit dan klik Create Connection di kolom Actions.

      2. Pada halaman Connection with Peer Network Instance, buat koneksi lintas wilayah dengan pengaturan berikut.

        Parameter

        Description

        Network Type

        Pilih Inter-region Connection.

        Region

        Pilih China (Hangzhou).

        Peer region

        Pilih China (Shanghai).

        Bandwidth Allocation Mode

        Pilih Pay-By-Data-Transfer.

        Catatan

        Dalam mode Pay-By-Data-Transfer, biaya transfer data untuk koneksi lintas wilayah ditagih oleh CDT.

        Bandwidth

        Masukkan nilai bandwidth untuk koneksi lintas wilayah dalam Mbit/s.

        Advanced Settings

        Gunakan pengaturan default, yang mengaktifkan semua opsi lanjutan.

    VPC peering connection

    Catatan

    Bagian ini menjelaskan cara menggunakan koneksi peering VPC untuk menghubungkan VPC di wilayah berbeda dalam akun yang sama. Jika Anda ingin menggunakan koneksi peering VPC untuk skenario lain, seperti menghubungkan VPC di bawah akun berbeda, lihat Menggunakan koneksi peering VPC untuk mengaktifkan komunikasi privat antar-VPC.

    1. Buat koneksi peering VPC.

      1. Masuk ke Konsol Koneksi Peering VPC dan pilih wilayah VPC peminta dari bilah navigasi atas.

        Dalam contoh ini, VPC1 adalah VPC peminta. Pilih wilayah China (Hangzhou).

      2. Jika ini pertama kalinya Anda menggunakan koneksi peering VPC, pada halaman VpcPeer, klik Activate CDT, lalu klik Activate di kotak dialog.

      3. Pada halaman VpcPeer, klik Create VPC Peering Connection dan konfigurasikan parameter-parameter tersebut.

        对等连接

    2. Konfigurasikan rute untuk koneksi peering VPC.

      1. Pada halaman VpcPeer, temukan koneksi peering VPC yang telah Anda buat. Di kolom Requester VPC, klik Configure route untuk menambahkan entri rute ke VPC1 yang mengarah ke VPC2. Hal ini memungkinkan klien mengakses VPC2 melalui VPC1.发起端VPC2网段

      2. (Opsional) Di kolom Accepter VPC, klik Configure route untuk menambahkan entri rute ke VPC2 yang mengarah ke VPC1.

        Setelah langkah ini selesai, VPC1 dan VPC2 dapat saling berkomunikasi melalui jaringan privat mereka. Jika Anda tidak memerlukan komunikasi privat antara VPC1 dan VPC2, Anda dapat melewati langkah ini.

    Langkah 2: Menambahkan blok CIDR tujuan

    Tambahkan blok CIDR VPC2 ke server SSL. Gateway VPN hanya memungkinkan klien mengakses resource di blok CIDR tersebut setelah Anda menambahkannya.

    Catatan

    Jika klien perlu mengakses resource di beberapa VPC yang saling terhubung, Anda harus menambahkan blok CIDR semua VPC tersebut ke server SSL.

    1. Masuk ke Konsol Gateway VPN.

    2. Di panel navigasi kiri, pilih Network Interconnection > VPN > SSL Servers.

    3. Di bilah navigasi atas, pilih wilayah server SSL.

    4. Pada halaman SSL Servers, temukan server SSL target dan klik Edit di kolom Actions.

    5. Di panel Modify SSL Server, klik Add Local CIDR Block, masukkan blok CIDR VPC2, lalu klik OK.添加VPC2

    Langkah 3: Mengonfigurasi rute klien

    CEN

    Iklankan rute dari VPC1 ke klien ke CEN. Hal ini memungkinkan VPC2 berkomunikasi dengan klien melalui CEN.

    1. Masuk ke Konsol VPC.

    2. Di bilah navigasi atas, pilih wilayah VPC1.

    3. Di panel navigasi kiri, klik Route Tables.

    4. Pada halaman Route Tables, temukan tabel rute VPC1 dan klik ID-nya.

    5. Pada tab Route Entry List > Custom Route, temukan rute yang mengarah ke klien, lalu klik Advertise di kolom Route Advertisement Status.发布路由

    VPC peering connection

    Masuk ke Konsol Koneksi Peering VPC. Pada halaman VpcPeer, temukan koneksi peering VPC yang telah Anda buat. Di kolom Accepter VPC, klik Configure route untuk menambahkan entri rute untuk VPC2 yang mengarah ke klien.

    Catatan

    Jika klien perlu mengakses resource di beberapa VPC yang saling terhubung, Anda harus menambahkan rute ke klien di tabel rute setiap VPC tujuan.

    VPC-SH-EN客户端路由2-EN

    Langkah 4: Uji konektivitas

    Setelah menyelesaikan langkah-langkah ini, klien dan resource di VPC2 dapat saling mengakses.

    1. Buka antarmuka baris perintah di klien.

    2. Jalankan perintah ifconfig untuk melihat antarmuka jaringan dari koneksi SSL-VPN yang telah dibuat.

    3. Jalankan perintah ping <ECS IP address> -I <SSL-VPN tunnel interface> untuk melakukan ping ke instans ECS2 dari antarmuka saluran data SSL-VPN. Jika Anda menerima paket balasan, ini menunjukkan bahwa klien dapat mengakses resource di VPC2.

      Catatan

      Sebelum menjalankan perintah ping, pastikan aturan grup keamanan ECS2 dan aturan kontrol akses di klien mengizinkan traffic ICMP.

      ICMP

    4. Masuk ke instans ECS2 di VPC2 dan jalankan perintah ping <client virtual address> untuk melakukan ping ke klien. Jika Anda menerima paket balasan, ini menunjukkan bahwa ECS2 juga dapat mengakses klien.访问客户端

    FAQ

    Kegagalan uji konektivitas CEN

    Saat Anda membuat koneksi VPC dan koneksi lintas wilayah dengan semua Advanced Settings diaktifkan, router transit secara otomatis menyebarkan dan mempelajari rute. Namun, jika Anda tidak mengaktifkan semua Advanced Settings, menambahkan entri rute kustom, atau terdapat konflik rute di lingkungan Anda, router transit mungkin gagal mempelajari rute atau membuat entri rute. Hal ini dapat menyebabkan masalah konektivitas. Masuk ke konsol produk terkait untuk memeriksa rute setiap instans dalam skenario interkoneksi VPC Anda. Pastikan setiap instans memiliki rute ke VPC yang saling terhubung dan ke klien. Jika ada rute yang hilang, tambahkan secara manual. Untuk informasi lebih lanjut, lihat Menambahkan entri rute kustom ke router transit edisi perusahaan dan Menambahkan entri rute kustom.

    Pada contoh di atas, klik untuk melihat deskripsi entri rute yang diperlukan agar setiap instans dapat mencapai VPC2 dan klien.

    • Server SSL: Tambahkan blok CIDR VPC2 ke Local CIDR Block server SSL.

    • Instans lain:

      Instance route table

      Destination CIDR block

      Next hop

      Description

      VPC1 system route table

      172.16.0.0/12

      VPC1-Attachment

      Rute ke VPC2.

      Jika Anda mengaktifkan pengaturan lanjutan Automatically Creates Route That Points to Transit Router and Adds to All Route Tables of Current VPC saat membuat koneksi VPC, sistem secara otomatis membuat rute ini di tabel rute sistem VPC1.

      10.10.10.0/24

      VPN gateway instance

      Rute ke klien.

      Setelah Anda membuat server SSL, sistem secara otomatis membuat rute ini di tabel rute sistem VPC1.

      Default route table of the transit router in China (Hangzhou)

      172.16.20.0/24

      TR

      Rute ke VPC2.

      Jika Anda mengaktifkan pengaturan lanjutan Automatically Advertise Routes to Peer Region untuk koneksi lintas wilayah, sistem secara otomatis menyebarkan rute ini ke tabel rute default router transit di China (Hangzhou).

      10.10.10.0/24

      VPC1-Attachment

      Rute ke klien.

      Setelah Anda mengiklankan rute ini di VPC1, sistem secara otomatis menyebarkannya ke tabel rute default router transit di China (Hangzhou) melalui pengaturan lanjutan Automatically Advertise System Routes to Default Route Table of Transit Router dari VPC1-Attachment.

      Default route table of the transit router in China (Shanghai)

      172.16.20.0/24

      VPC2-Attachment

      Rute ke VPC2.

      Jika Anda mengaktifkan pengaturan lanjutan Automatically Advertise System Routes to Default Route Table of Transit Router saat membuat koneksi VPC, sistem secara otomatis menyebarkan rute sistem VPC2 ke tabel rute default router transit di China (Shanghai).

      10.10.10.0/24

      TR

      Rute ke klien.

      Jika Anda mengaktifkan pengaturan lanjutan Automatically Advertise Routes to Peer Region untuk koneksi lintas wilayah, sistem secara otomatis menyebarkan rute ini ke tabel rute default router transit di China (Shanghai).

      VPC2 system route table

      10.0.0.0/8

      VPC2-Attachment

      Rute ke klien.

      Jika Anda mengaktifkan pengaturan lanjutan Automatically Creates Route That Points to Transit Router and Adds to All Route Tables of Current VPC saat membuat koneksi VPC, sistem secara otomatis membuat rute ini di tabel rute sistem VPC2.