Connect ke internet menggunakan gateway internet - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke internet menggunakan gateway internet

Gateway internet diskalakan secara horizontal, berlebihan, dan merupakan komponen VPC yang sangat tersedia yang mengizinkan komunikasi antara VPC Anda dan internet. Gateway internet memungkinkan sumber daya (seperti instans EC2) di subnet publik Anda untuk terhubung ke internet jika sumber daya memiliki alamat IPv4 atau alamat IPv6 publik. Demikian pula, sumber daya di internet dapat memulai koneksi ke sumber daya di subnet Anda menggunakan alamat IPv4 atau alamat IPv6 publik. Misalnya, gateway internet memungkinkan Anda untuk terhubung ke instans EC2 diAWSmenggunakan komputer lokal Anda.

Gateway internet melayani dua tujuan: untuk memberikan target di tabel rute VPC Anda untuk lalu lintas internet-routable, dan untuk melakukan terjemahan alamat jaringan (NAT) untuk instans-instans yang telah mendapat alamat-alamat IPv4 publik. Untuk informasi selengkapnya, lihat Aktifkan akses internet.

Gateway internet men-support lalu lintas IPv4 dan IPv6. Gateway internet tidak menimbulkan risiko ketersediaan atau kendala bandwidth pada lalu lintas jaringan Anda. Tidak ada biaya tambahan untuk memiliki gateway internet di akun Anda.

Aktifkan akses internet

Untuk mengaktifkan akses ke atau dari internet untuk instans-instans di subnet di VPC, Anda harus melakukan hal berikut.

  • Buat sebuah grup keamanan dan lampirkan ke VPC Anda.

  • Tambahkan rute ke tabel rute subnet Anda yang mengarahkan lalu lintas internet-bound ke gateway internet.

  • Pastikan bahwa instans-instans di subnet Anda memiliki alamat IP yang unik secara global (alamat IPv4 publik, alamat IP Elastis, atau alamat IPv6).

  • Pastikan daftar kontrol akses jaringan dan aturan grup keamanan Anda mengizinkan lalu lintas yang relevan untuk mengalir ke dan dari instans Anda.

Subnet publik dan pribadi

Jika subnet dikaitkan dengan tabel rute yang memiliki rute ke gateway internet, hal ini dikenal sebagai subnet publik. Jika subnet dikaitkan dengan tabel rute yang tidak memiliki rute ke gateway internet, itu dikenal sebagai subnet pribadi.

Di tabel rute subnet publik Anda, Anda dapat menentukan rute untuk gateway internet ke semua tujuan yang tidak secara eksplisit dikenal oleh tabel rute (0.0.0.0/0 untuk IPv4 atau ::/0 untuk IPv6). Sebagai alternatif, Anda dapat membatasi rute di kisaran alamat IP yang lebih sempit; misalnya, alamat IPv4 publik dari endpoint publik perusahaan Anda di luar AWS, atau alamat IP Elastis dari instans Amazon EC2 lainnya di luar VPC Anda.

Alamat IP dan NAT

Untuk mengaktifkan komunikasi melalui internet untuk IPv4, instans Anda harus memiliki alamat IPv4 publik atau sebuah alamat IP Elastis yang terkait dengan alamat IPv4 pribadi pada instans Anda. Instans Anda hanya mengenal ruang alamat IP pribadi (internal) yang terdefinisi di dalam VPC dan subnet. Gateway internet secara logis menyediakan one-to-one NAT atas nama instans Anda, sehingga ketika lalu lintas meninggalkan subnet VPC Anda dan menuju internet, kolom alamat balasan diatur ke alamat IPv4 publik atau alamat IP Elastis dari instans Anda, dan bukan alamat IP pribadi. Sebaliknya, lalu lintas yang ditujukan untuk alamat IPv4 publik atau alamat IP Elastis dari instans Anda yang memiliki alamat tujuannya ditranslasikan ke dalam instans alamat IPv4 pribadi sebelum lalu lintas dikirim ke VPC.

Untuk mengaktifkan komunikasi melalui internet untuk IPv6, VPC dan subnet Anda harus memiliki blok CIDR IPv6 terkait, dan instans Anda harus mendapat alamat IPv6 dari kisaran subnet. Alamat IPv6 secara global bersifat unik, dan karena itu secara default bersifat publik.

Dalam diagram berikut, subnet di Availability Zone A adalah subnet publik. Tabel rute untuk subnet ini memiliki rute yang mengirimkan semua lalu lintas IPv4 internet-bound ke gateway internet. Instans di subnet publik harus memiliki alamat IP publik atau alamat Elastis IP untuk mengaktifkan komunikasi dengan internet melalui gateway internet. Sebagai perbandingan, subnet di Availability Zone B adalah subnet pribadi karena tabel rutenya tidak memiliki rute ke gateway internet. Instans di subnet pribadi tidak dapat berkomunikasi dengan internet melalui gateway internet, bahkan jika mereka memiliki alamat IP publik.


                Menggunakan gateway internet

Untuk memberikan instans-instans Anda akses internet tanpa memberikan alamat IP publik, Anda dapat menggunakan perangkat NAT sebagai gantinya. Perangkat NAT mengaktifkan instans di subnet pribadi untuk terhubung ke internet, tetapi mencegah host di internet menginisiasi koneksi ke instans. Untuk informasi selengkapnya, lihat Connect ke internet atau jaringan lain menggunakan perangkat NAT.

Akses Internet untuk VPC default dan nondefault

Tabel berikut memberikan gambaran umum tentang apakah VPC Anda secara otomatis dilengkapi dengan komponen yang diperlukan untuk akses internet melalui IPv4 atau IPv6.

Komponen VPC default VPC Nondefault
gateway internet Ya Tidak
Tabel rute dengan rute ke gateway internet untuk lalu lintas IPv4 (0.0.0.0/0) Ya Tidak
Tabel rute dengan rute ke gateway internet untuk lalu lintas IPv6 (:: /0) Tidak Tidak
Alamat IPv4 publik secara otomatis diberikan ke instans yang diluncurkan ke dalam subnet Ya (subnet default) Tidak ada (subnet nondefault)
Alamat IPv6 secara otomatis diberikan ke instans yang diluncurkan ke dalam subnet Tidak (subnet default) Tidak (subnet nondefault)

Untuk informasi selengkapnya tentang VPC default, lihat VPC default. Untuk informasi selengkapnya tentang cara membuat VPC, lihatBuat VPC.

Untuk informasi selengkapnya tentang penetapan alamat IP di VPC Anda, dan mengendalikan cara instans mendapat alamat IPv4 atau IPv6, lihat Pembuatan alamat IP.

Ketika Anda menambahkan subnet baru ke VPC Anda, Anda harus mengatur perutean dan keamanan yang Anda inginkan untuk subnet tersebut.

Mengakses internet dari subnet di VPC Anda

Berikut ini penjelasan cara untuk men-support akses internet dari subnet di VPC Anda menggunakan gateway internet. Untuk menghapus akses internet, Anda dapat melepaskan gateway internet dari VPC Anda dan kemudian menghapusnya.

Membuat sebuah subnet

Untuk menambahkan subnet ke VPC Anda

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet, Buat subnet.

  3. Tentukan rincian subnet yang diperlukan:.

    • Tag nama: Secara opsional berikan nama untuk subnet Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

    • VPC: Memiilih VPC tempat Anda membuat subnet.

    • Availability Zone: Secara opsional pilih Availability Zone atau Zone Lokal tempat subnet Anda akan bertinggal, atau meninggalkan defaultTidak Ada PreferensimembiarkanAWSpilih Availability Zone untuk Anda.

      Untuk informasi lebih lanjut tentang Wilayah yang men-support Local Zones, lihat Wilayah yang Tersedia di Panduan Pengguna Amazon EC2 untuk Instans Linux.

    • Blok CIDR IPv4: Tentukan blok CIDR IPv4 untuk subnet Anda, misalnya,10.0.1.0/24. Untuk informasi selengkapnya, lihat Ukuran VPC untuk IPv4.

    • Blok CIDR IPv6: (Opsional) Jika Anda telah mengaitkan blok CIDR IPv6 dengan VPC Anda, pilihTentukan CIDR IPv6 kustom. Tentukan nilai pasangan heksadesimal untuk subnet, atau biarkan nilai yang sudah default.

  4. Pilih Create.

Untuk informasi selengkapnya, lihat Subnet untuk VPC Anda.

Membuat dan melampirkan gateway internet

Setelah Anda membuat sebuah internet gateway, lampirkan ke VPC Anda.

Untuk membuat sebuah internet gateway dan melampirkannya ke VPC Anda

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Gateway Internet, lalu pilih Buat gateway internet.

  3. Secara opsional namai gateway internet Anda.

  4. Secara opsional tambahkan atau hapus sebuah tag.

    [Tambahkan sebuah tag] Pilih Tambah tag dan lakukan hal berikut:

    • Untuk Kunci, masukkan nama kunci.

    • Untuk Nilai, masukkan nilai kunci.

    [Hapus tag] Pilih Hapus di sebelah kanan Kunci dan Nilai tag.

  5. Pilih Buat gateway internet.

  6. Pilih gateway internet yang baru Anda buat, dan lalu pilih Tindakan, Lampirkan ke VPC.

  7. Pilih VPC Anda dari daftar, dan kemudian pilih Lampirkan gateway internet.

Buat tabel rute kustom

Saat Anda membuat subnet, kami secara otomatis mengaitkannya dengan tabel rute utama untuk VPC. Secara default, tabel rute utama tidak berisikan rute ke gateway internet. Prosedur berikut ini adalah untuk membuat tabel rute kustom dengan rute yang mengirimkan lalu lintas yang ditujukan keluar VPC menuju gateway internet, dan kemudian mengaitkannya dengan subnet Anda.

Untuk membuat tabel rute kustom

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Tabel Rute, lalu pilih Buat tabel rute.

  3. Di kotak dialog Buat tabel rute, secara opsional namai tabel rute Anda, kemudian pilih VPC Anda, dan kemudian pilih Buat tabel rute.

  4. Pilih tabel rute kustom yang baru saja Anda buat. Panel rincian menampilkan tab untuk bekerja dengan rute, keterkaitan, dan propagasi rute.

  5. Pada tab Rute, pilih Sunting rute, Tambahkan rute, dan tambahkan rute berikut sebagaimana yang diperlukan. Setelah selesai, pilih Simpan perubahan.

    • Untuk lalu lintas IPv4, tentukan 0.0.0.0/0 di kotak Tujuan, dan pilih ID gateway internet di daftar Target.

    • Untuk lalu lintas IPv6, tentukan ::/0 di kotak Tujuan, dan pilih ID gateway internet di daftar Target.

  6. Pada tab Keterkaitan subnet, pilih Sunting keterkaitan subnet, pilih kotak centang untuk subnet, dan kemudian pilih Simpan keterkaitan.

Untuk informasi selengkapnya, lihat Mengkonfigurasi tabel rute.

Membuat grup keamanan untuk akses internet

Secara default, grup keamanan VPC mengizinkan semua lalu lintas outbound. Anda dapat menciptakan sebuah grup keamanan baru dan menambahkan aturan yang mengizinkan lalu lintas inbound dari internet. Anda kemudian dapat mengaitkan grup keamanan dengan instans di subnet publik.

Untuk menciptakan sebuah grup keamanan dan mengaitkannya dengan instans

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilihKelompok Keamanan, dan kemudian pilihMembuat grup keamanan.

  3. Masukkan nama dan deskripsi untuk grup keamanan tersebut.

  4. Untuk VPC, pilih VPC Anda.

  5. UntukAturan ke dalam, pilihTambahkan Aturan, dan lengkapi informasi yang diperlukan. Misalnya, pilihHTTPatauHTTPSdariJenisdan masuklahSumbersebagai0.0.0.0/0untuk lalu lintas IPv4, atau::/0untuk lalu lintas IPv6.

  6. Pilih Create security group (Buat grup keamanan).

  7. Di panel navigasi, pilih Instances (Instans).

  8. Pilih instance, lalu pilihTindakan,Keamanan,Mengubah grup keamanan.

  9. UntukGrup keamanan terkait, pilih grup keamanan yang ada, lalu pilihTambahkan grup keamanan. Untuk menghapus grup keamanan yang sudah dikaitkan, pilih grup keamananMenghapus. Setelah Anda selesai membuat perubahan, pilihSimpan.

Untuk informasi selengkapnya, lihat Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan.

Tugaskan alamat IP Elastis IP ke sebuah instans

Setelah Anda meluncurkan sebuah instans ke dalam subnet, Anda harus menetapkan alamat IP Elastis jika Anda ingin instans dapat dijangkau dari internet melalui IPv4.

catatan

Jika Anda menetapkan alamat IPv4 publik ke instans Anda selama peluncuran, maka instans Anda dapat dijangkau dari internet, dan Anda tidak perlu menetapkan alamat IP Elastis. Untuk informasi selengkapnya tentang penetapan alamat IP untuk instans Anda, lihat Pembuatan alamat IP.

Untuk mengalokasikan alamat IP Elastis dan menugaskannya ke sebuah instans menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih IP Elastis.

  3. Pilih Alokasikan alamat baru.

  4. Pilih Alokasikan.

    catatan

    Jika akun Anda mensupport EC2-Classic, pilih terlebih dahulu VPC.

  5. Pilih alamat IP Elastis IP dan pilih Tindakan, Kaitkan halaman.

  6. Pilih Instans atau Antarmuka jaringan, dan kemudian pilih salah satu instans atau ID antarmuka jaringan. Pilih alamat IP pribadi yang dengannya terkait alamat IP Elastis, dan kemudian pilih Kaitkan.

Untuk informasi selengkapnya, lihat Kaitkan alamat IP Elastic dengan sumber daya di VPC Anda.

Lepaskan gateway internet dari VPC

Jika Anda tidak lagi membutuhkan akses internet untuk instans yang Anda luncurkan ke dalam VPC non-default, Anda dapat melepas gateway internet dari VPC. Anda tidak dapat melepas gateway internet jika VPC memiliki sumber daya dengan alamat IP publik terkait atau alamat IP Elastis.

Untuk melepaskan gateway internet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih IP elastis dan pilih alamat IP Elastis.

  3. Pilih Tindakan, Pisahkan Alamat. Pilih Pisahkan alamat.

  4. Di panel navigasi, pilih Gateway Internet.

  5. Pilih gateway internet dan pilih Tindakan, Lepaskan dari VPC.

  6. Di kotak dialog Lepaskan dari VPC, pilih Lepaskan gateway internet.

Menghapus gateway internet

Jika Anda tidak lagi memerlukan gateway internet, Anda dapat menghapusnya. Anda tidak dapat menghapus gateway internet jika masih terpasang ke VPC.

Untuk menghapus gateway internet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Gateway Internet.

  3. Pilih gateway internet dan pilih Tindakan, Hapus gateway internet.

  4. Di kotak dialog Hapus gateway internet, masukkan delete, dan pilih Hapus gateway internet.

Ikhtisar API dan perintah

Anda dapat melakukan tugas yang dideskripsikan di halaman ini menggunakan baris perintah atau API. Untuk informasi selengkapnya tentang antarmuka baris perintah dan daftar tindakan API yang tersedia, lihat Bekerja dengan Amazon VPC.

Membuat gateway internet

Pasangkan gateway internet ke VPC

Deskripsikan gateway internet

Lepaskan gateway internet dari VPC

Menghapus gateway internet