Instans NAT - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Instans NAT

penting

NAT AMI dibangun di Amazon Linux versi terakhir, 2018.03, yang mencapai akhir dukungan standar pada 31 Desember 2020. Untuk informasi selengkapnya, lihat postingan blog berikut: Akhir masa pakai Amazon Linux AMI. AMI ini hanya akan menerima pembaruan keamanan kritis (tidak akan ada update reguler).

Jika Anda menggunakan NAT AMI yang ada,AWSmerekomendasikan bahwa Andamigrasi ke gateway NAT. gateway NAT menyediakan ketersediaan yang lebih baik, bandwidth yang lebih tinggi, dan membutuhkan sedikit usaha administratif. Jika instance NAT adalah kecocokan yang lebih baik untuk kasus penggunaan Anda, Anda dapat membuat NAT AMI Anda sendiri. Untuk informasi selengkapnya, lihat Bandingkan gateway NAT dan instans NAT.

Anda dapat membuat AMI sendiri yang menyediakan terjemahan alamat jaringan dan menggunakan AMI Anda untuk meluncurkan instans EC2 sebagai instans NAT. Anda meluncurkan instans NAT di subnet publik untuk mengaktifkan instans di subnet pribadi untuk memulai lalu lintas IPv4 keluar ke internet atau lainnyaAWSlayanan, tetapi mencegah instance dari menerima lalu lintas masuk dimulai di internet.

Kuota instans NAT Anda tergantung pada kuota instans Anda untuk Wilayah. Untuk informasi selengkapnya, lihatKuota layanan Amazon EC2diPanduan Pengguna Amazon EC2 untuk Instans Linux.

Dasar-dasar instans NAT

Gambar berikut mengilustrasikan dasar-dasar NAT. Tabel rute utama dikaitkan dengan subnet privat dan mengirimkan lalu lintas dari instans di subnet privat untuk instans NAT di subnet publik. Instans NAT kemudian mengirim lalu lintas ke gateway internet untuk VPC. Lalu lintas dikaitkan dengan alamat IP Elastis instans NAT. Instans NAT menentukan nomor port yang tinggi untuk respon; jika respon datang kembali, instans NAT mengirimkannya ke sebuah instans di subnet privat berdasarkan nomor port untuk respon.

Lalu lintas Internet dari instans di subnet privat diarahkan ke instans NAT, yang kemudian berkomunikasi dengan internet. Oleh karena itu, instans NAT harus memiliki akses internet. Instans NAT harus dalam subnet publik (subnet yang memiliki tabel rute dengan rute ke gateway internet), dan harus memiliki alamat IP publik atau alamat IP Elastis.


        Pengaturan instans NAT

Mengatur instans NAT

Gunakan prosedur berikut untuk mengatur instans VPC dan NAT.

Persyaratan

Sebelum Anda mulai, buat AMI yang dikonfigurasi untuk menjalankan NAT di instans Anda. Perintah khusus untuk mengkonfigurasi NAT tergantung pada sistem operasi yang Anda gunakan. Misalnya, untuk Amazon Linux 2, gunakan perintah berikut:

sudo sysctl -w net.ipv4.ip_forward=1 sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo yum install iptables-services sudo service iptables save

Untuk mengatur instans NAT

  1. Buat VPC dengan dua subnet.

    1. Membuat VPC (lihatBuat VPC).

    2. Membuat dua subnet (lihatMembuat sebuah subnet).

    3. Lampirkan gateway internet ke VPC (lihatMembuat dan melampirkan gateway internet).

    4. Buat tabel rute kustom yang mengirimkan lalu lintas yang ditakdirkan di luar VPC ke gateway internet, dan kemudian kaitkan dengan satu subnet, menjadikannya subnet publik (lihatBuat tabel rute kustom).

  2. Buat grup keamanan NATSG (lihat Buat grup keamanan NATSG). Anda akan menentukan grup keamanan ini saat meluncurkan instans NAT.

  3. Luncurkan instans ke subnet publik Anda dari AMI yang telah dikonfigurasi untuk dijalankan sebagai instans NAT.

    1. Buka konsol Amazon EC2.

    2. Di dasbor, pilih tombol Luncurkan Instans, dan selesaikan wizard sebagai berikut:

      1. Di halaman Pilih Amazon Machine Image (AMI), atur filter ke Dimiliki oleh saya, lalu pilih AMI Anda.

      2. PadaPilih Jenis Instanshalaman, pilih jenis instance, lalu pilihSelanjutnya: Konfigurasi Rincian Instans.

      3. Di halaman Konfigurasi Detail Instans, pilih VPC yang Anda buat dari daftar Jaringan, dan pilih subnet publik Anda dari daftar Subnet.

      4. (Opsional) Pilih kotak centang IP Publik untuk meminta bahwa instans NAT Anda menerima alamat IP publik. Jika Anda memilih untuk tidak menetapkan alamat IP publik sekarang, Anda dapat mengalokasikan alamat IP Elastis dan menetapkannya ke instans Anda setelah diluncurkan. Pilih Berikutnya: Tambahkan Penyimpanan.

      5. Anda dapat memilih untuk menambahkan penyimpanan ke instans Anda, dan pada halaman berikutnya, Anda dapat menambahkan tag. Pilih Next: Configure Security Group setelah Anda selesai.

      6. Di halaman Konfigurasikan Grup Keamanan, pilih opsi Pilih grup keamanan yang sudah ada, dan pilih grup keamanan NATSG yang Anda buat. Pilih Tinjau dan Luncurkan.

      7. Tinjau pengaturan yang telah Anda pilih. Buat perubahan yang Anda butuhkan, lalu pilih Luncurkan untuk memilih pasangan kunci dan meluncurkan instans Anda.

  4. Nonaktifkan atribut SrcDestCheck untuk instans NAT (lihat Nonaktifkan pemberiksaan sumber/tujuan)

  5. Jika Anda tidak menetapkan alamat IP publik ke instans NAT Anda selama peluncuran (langkah 3), Anda perlu mengaitkan alamat IP Elastis dengannya.

    1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

    2. Di panel navigasi, pilih IP Elastis, lalu pilih Alokasikan alamat baru.

    3. Pilih Alokasikan.

    4. Pilih alamat IP Elastis dari daftar, dan kemudian pilih Tindakan, Kaitkan alamat.

    5. Pilih sumber daya antarmuka jaringan, lalu pilih antarmuka jaringan untuk instans NAT. Pilih alamat untuk mengaitkan IP Elastis dari daftar IP privat, dan kemudian pilih Kaitkan.

  6. Perbarui tabel rute utama untuk mengirim lalu lintas ke instans NAT. Untuk informasi selengkapnya, lihat Mengubah tabel rute utama.

:Luncurkan instans NAT menggunakan baris perintah

Untuk meluncurkan instans NAT ke subnet Anda, gunakan salah satu perintah berikut. Untuk informasi selengkapnya, lihat Bekerja dengan Amazon VPC. Anda dapat menggunakan ID AMI dari AMI yang dikonfigurasi untuk dijalankan sebagai instans NAT. Untuk informasi selengkapnya tentang cara membuat AMI di Amazon Linux 2, lihat Membuat AMI yang didukung Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Buat grup keamanan NATSG

Tentukan grup keamanan NATSG seperti yang dijelaskan dalam tabel berikut agar instans NAT Anda dapat menerima lalu lintas masuk internet dari instans di subnet privat, serta lalu lintas SSH dari jaringan Anda. Instans NAT juga dapat mengirim lalu lintas ke internet, yang membuat instans di subnet privat bisa mendapatkan pembaruan perangkat lunak.

Berikut ini adalah aturan yang direkomendasikan.

Ke dalam
Sumber Protokol Rentang Port Comments
Subnet pribadi TCP 80 Allow inbound HTTP traffic from servers in the private subnet
Subnet pribadi TCP 443 Allow inbound HTTPS traffic from servers in the private subnet
Rentang alamat IP publik jaringan Anda TCP 22 Allow inbound SSH access to the NAT instance from your network (over the internet gateway)
Ke luar
Tujuan Protokol Rentang Port Comments
0.0.0.0/0 TCP 80 Allow outbound HTTP access to the internet
0.0.0.0/0 TCP 443 Allow outbound HTTPS access to the internet

Buat grup keamanan NATSG

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Grup Keamanan, lalu pilih Buat Grup Keamanan.

  3. Di kotak dialog Buat Grup Keamanan, tentukan NATSG sebagai nama untuk grup keamanan, dan berikan deskripsi yang baru. Pilih ID VPC Anda dari menu VPC dan pilih Ya, Buat.

  4. Pilih grup keamanan NATSG yang baru saja Anda buat. Panel detail menampilkan detail untuk grup keamanan, dan tab untuk menggunakan aturan masuk dan keluarnya.

  5. Tambahkan aturan untuk lalu lintas masuk menggunakan tab Aturan Masuk sebagai berikut:

    1. Pilih Edit.

    2. Pilih Tambahkan aturan lain, dan pilih HTTP dari daftar Tipe. Di bidang Sumber, tentukan rentang alamat IP subnet privat Anda.

    3. Pilih Tambahkan aturan lain, dan pilih HTTPS dari daftar Tipe. Di bidang Sumber, tentukan rentang alamat IP subnet privat Anda.

    4. Pilih Tambahkan aturan lain, dan pilih SSH dari daftar Tipe. Di bidang Sumber, tentukan rentang alamat IP publik jaringan Anda.

    5. Pilih Simpan.

  6. Menambahkan aturan untuk lalu lintas keluar menggunakan tab Aturan keluar sebagai berikut:

    1. Pilih Edit.

    2. Pilih Tambahkan aturan lain, dan pilih HTTP dari daftar Tipe. Di bidang Tujuan, tentukan 0.0.0.0/0

    3. Pilih Tambahkan aturan lain, dan pilih HTTPS dari daftar Tipe. Di bidang Tujuan, tentukan 0.0.0.0/0

    4. Pilih Simpan.

Untuk informasi selengkapnya, lihat Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan.

Nonaktifkan pemberiksaan sumber/tujuan

Setiap instans EC2 melakukan pemeriksaan sumber/tujuan secara default. Ini berarti bahwa instans harus menjadi sumber atau tujuan dari setiap lalu lintas yang dikirim atau diterima. Namun, instans NAT harus dapat mengirim dan menerima lalu lintas ketika sumber atau tujuan bukan dirinya sendiri. Oleh karena itu, Anda harus menonaktifkan pemeriksaan sumber / tujuan pada instans NAT.

Anda dapat menonaktifkan atribut SrcDestCheck untuk instans NAT yang berjalan atau berhenti menggunakan konsol atau baris perintah.

Untuk menonaktifkan pemeriksaan sumber/tujuan menggunakan konsol tersebut

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih instans NAT, pilih Tindakan, Jaringan, Ubah pemeriksaan sumber/tujuan.

  4. Verifikasi bahwa pemeriksaan sumber/tujuan dihentikan. Jika tidak, pilih Hentikan.

  5. Pilih Simpan.

  6. Jika instans NAT memiliki antarmuka jaringan sekunder, pilih dari Antarmuka jaringan pada tab Jaringan. Pilih ID antarmuka untuk membuka halaman antarmuka jaringan. Pilih Tindakan, Ubah pemeriksaan sumber/tujuan, hapus Aktifkan, dan pilih Simpan.

Untuk menonaktifkan pemeriksaan sumber/tujuan menggunakan baris perintah

Anda dapat menggunakan salah satu dari perintah berikut. Untuk informasi selengkapnya, lihat Bekerja dengan Amazon VPC.

Mengubah tabel rute utama

Subnet privat di VPC Anda tidak terkait dengan tabel rute kustom, oleh karena itu menggunakan tabel rute utama. Secara default, tabel rute utama mengizinkan instans di VPC Anda untuk berkomunikasi satu sama lain. Anda harus menambahkan rute yang mengirimkan semua lalu lintas subnet lainnya ke instans NAT.

Untuk memperbarui tabel rute utama

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Tabel Rute.

  3. Pilih tabel rute utama untuk VPC Anda (Kolom Utama menampilkan Ya). Panel detail menampilkan tab untuk bekerja dengan rute, pengaitan, dan propagasi rute.

  4. PadaRutetab, lakukan hal berikut:

    1. PilihMengedit rutedan kemudian pilihTambahkan rute.

    2. Menentukan0.0.0.0/0untukTujuandan ID instance dari instance NAT untukTarget.

    3. Pilih Simpan perubahan.

  5. Pada tab Pengaitan subnet, pilih Sunting pengaitan subnet. Pilih kotak centang untuk subnet pribadi, dan kemudian pilihSimpan pengaitan.

Untuk informasi selengkapnya, lihat Mengkonfigurasi tabel rute.

Menguji konfigurasi instans NAT

Setelah Anda meluncurkan instans NAT dan menyelesaikan langkah-langkah konfigurasi di atas, Anda dapat melakukan tes untuk memeriksa apakah sebuah instans di subnet privat Anda dapat mengakses internet melalui instans NAT dengan menggunakan instans NAT sebagai server bastion. Untuk melakukannya, perbarui aturan grup keamanan NATSG untuk mengizinkan lalu lintas ICMP masuk dan keluar dan mengizinkan lalu lintas SSH keluar, meluncurkan instans ke subnet pribadi Anda, mengkonfigurasi SSH agent forwarding untuk mengakses instans di subnet pribadi Anda, terhubung ke instans Anda, dan kemudian menguji konektivitas internet.

Untuk memperbarui grup keamanan instans NAT

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, pilih Grup Keamanan.

  3. Pilih kotak centang untuk grup keamanan NAT Anda.

  4. Pilih Edit aturan masuk pada tab Aturan masuk.

  5. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Tipe. Pilih Kustom untuk Sumber dan masukkan rentang alamat IP dari subnet privat Anda (misalnya,10.0.1.0/24). Pilih Simpan aturan.

  6. Pilih Edit aturan keluar pada tab Aturan keluar.

  7. Pilih Tambahkan aturan. Pilih SSH untuk Tipe. Pilih Khusus untuk Tujuan dan masukkan rentang alamat IP dari subnet privat Anda (misalnya, 10.0.1.0/24).

  8. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Tipe. PilihDi mana saja - IPv4untukTujuan. Pilih Simpan aturan.

Untuk meluncurkan sebuah instans ke subnet privat Anda

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Luncurkan sebuah instans ke subnet privat Anda. Pastikan bahwa Anda mengkonfigurasi opsi berikut di launch wizard, dan kemudian pilih Luncurkan:

    • Pada halaman Pilih Amazon Machine Image (AMI), pilih Amazon Linux AMI dari kategori Quick Start.

    • Pada halaman Konfigurasi Detail Instans, pilih subnet privat Anda dari daftar Subnet, dan jangan tetapkan alamat IP publik untuk instans Anda.

    • Pada halaman Konfigurasi Grup Keamanan, pastikan bahwa grup keamanan Anda mencakup aturan masuk yang mengizinkan akses SSH dari instans NAT alamat IP privat Anda, atau dari rentang alamat IP subnet publik Anda, dan memastikan bahwa Anda memiliki aturan keluar yang mengizinkan lalu lintas ICMP keluar.

    • Di kotak dialog Pilih pasangan kunci yang sudah ada atau buat pasangan kunci baru, pilih pasangan kunci yang sama dengan yang Anda gunakan untuk meluncurkan instans NAT.

Untuk mengkonfigurasi SSH agent forwarding untuk Linux atau OS X

  1. Dari mesin lokal Anda, tambahkan kunci privat Anda ke agen autentikasi.

    Untuk Linux, gunakan perintah berikut:

    ssh-add -c mykeypair.pem

    Untuk OS X, gunakan perintah berikut:

    ssh-add -K mykeypair.pem
  2. Connect ke instans NAT Anda menggunakan -A untuk mengaktifkan SSH agent forwarding, misalnya:

    ssh -A ec2-user@54.0.0.123

Untuk mengkonfigurasi SSH forwarding untuk Windows (PuTTY)

  1. Unduh dan instal Pageant dari halaman pengunduhan PuTTY, jika belum diinstal.

  2. Untuk mengonversi kunci privat Anda ke format .ppk. Untuk informasi selengkapnya, lihat Mengonversi kunci privat Anda menggunakan PuTTYgen.

  3. Mulai Pageant, klik kanan ikon Pageant pada taskbar (mungkin tersembunyi), dan pilih Tambah Kunci. Pilih file .ppk yang Anda buat, masukkan frasa sandi jika perlu, dan pilih Buka.

  4. Mulai sesi PuTTY untuk terhubung ke instans NAT Anda. Di Kategori Autentikasi, pastikan bahwa Anda memilih pilihan Izinkan agent forwarding, dan biarkan bidang File kunci privat untuk autentikasi tetap kosong.

Untuk menguji koneksi internet

  1. Uji bahwa instans NAT Anda dapat berkomunikasi dengan internet dengan menjalankan perintah ping untuk situs web dengan ICMP yang diaktifkan; misalnya:

    ping ietf.org
    PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=48 time=74.9 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=48 time=75.1 ms ...

    Tekan Ctrl+C pada keyboard Anda untuk membatalkan perintah ping.

  2. Dari instans NAT Anda, hubungkan ke instans Anda di subnet privat Anda dengan menggunakan alamat IP privat, misalnya:

    ssh ec2-user@10.0.1.123
  3. Dari instans pribadi Anda, uji bahwa Anda dapat terhubung ke internet dengan menjalankan perintah ping:

    ping ietf.org
    PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms ...

    Tekan Ctrl+C pada keyboard Anda untuk membatalkan perintah ping.

    Jika perintah ping gagal, periksa informasi berikut:

    • Periksa bahwa aturan grup keamanan instans NAT mengizinkan lalu lintas ICMP masuk dari subnet privat Anda. Jika tidak, instans NAT Anda tidak dapat menerima perintah ping dari instans pribadi Anda.

    • Periksa apakah Anda telah mengonfigurasi tabel rute dengan benar. Untuk informasi selengkapnya, lihat Mengubah tabel rute utama.

    • Pastikan bahwa Anda telah menonaktifkan pemeriksaan sumber/tujuan untuk instans NAT Anda. Untuk informasi selengkapnya, lihat Nonaktifkan pemberiksaan sumber/tujuan.

    • Pastikan bahwa Anda mengirimkan ping ke situs web dengan ICMP yang diaktifkan. Jika tidak, Anda tidak akan menerima paket balasan. Untuk menguji ini, kirimkan perintah ping yang sama dari terminal baris perintah pada komputer Anda sendiri.

  4. (Opsional) Hentikan instans pribadi Anda jika Anda tidak lagi membutuhkannya. Untuk informasi lebih lanjut, lihat Akhiri Instans Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.