VPC dengan sebuah subnet publik tunggal - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

VPC dengan sebuah subnet publik tunggal

Konfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik tunggal, dan sebuah gateway internet untuk mengaktifkan komunikasi melalui internet. Kami merekomendasikan konfigurasi ini jika Anda perlu menjalankan aplikasi web single-tier yang menghadap publik, seperti blog atau situs web sederhana.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6. Instans-instans yang diluncurkan ke subnet publik dapat menerima alamat IPv6, dan berkomunikasi menggunakan IPv6. Untuk informasi selengkapnya tentang penetapan alamat IPv4 dan IPv6, lihat Pembuatan alamat IP.

Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak pada instance Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Gambaran Umum

Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini.


				Diagram untuk skenario 1: VPC dengan subnet publik

Konfigurasi untuk skenario ini mencakup hal berikut:

  • Sebuah virtual private cloud (VPC) dengan blok CIDR IPv4 ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan 65.536 alamat IPv4 pribadi.

  • Sebuah subnet dengan blok CIDR IPv4 ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi.

  • Gateway internet. Gateway internet ini menghubungkan VPC ke internet dan ke AWS layanan yang lain.

  • Instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.6), yang mengaktifkan instans untuk berkomunikasi dengan instans lain di VPC tersebut, dan sebuah alamat IPv4 elastis (contoh: 198.51.100.2), yang merupakan alamat IPv4 publik yang mengaktifkan instans untuk terhubung ke internet dan dapat dicapai dari internet.

  • Sebuah tabel rute kustom yang dikaitkan dengan subnet. Entri tabel rute mengaktifkan instans-instans di subnet untuk menggunakan IPv4 untuk berkomunikasi dengan instans-instans yang lainnya di VPC, dan untuk berkomunikasi secara langsung melalui internet. Subnet yang dikaitkan dengan tabel rute yang memiliki rute ke gateway internet dikenal sebagai subnet publik.

Untuk informasi selengkapnya, lihat Subnet. Untuk informasi selengkapnya tentang gateway internet, lihat Connect ke internet menggunakan gateway internet.

Gambaran umum untuk IPv6

Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut:

  • Blok CIDR IPv6 dengan ukuran /56 yang dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). Amazon secara otomatis menetapkan CIDR; Anda tidak dapat memilih rentang oleh Anda sendiri.

  • Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet publik (contoh: 2001:db8:1234:1a00::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran blok CIDR IPv6 subnet.

  • Sebuah alamat IPv6 ditetapkan ke instans dari rentang subnet (contoh: 2001:db8:1234:1a00::123).

  • Entri tabel rute dalam tabel rute kustom mengaktifkan instans-instans di VPC untuk menggunakan IPv6 untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.

Perutean

VPC Anda memiliki router tersirat (terlihat pada diagram konfigurasi di atas). Dalam skenario ini, Amazon VPC membuat tabel rute kustom yang mengarahkan semua lalu lintas yang ditujukan ke alamat di luar VPC ke gateway internet, dan mengaitkan tabel rute ini dengan subnet tersebut.

Tabel berikut menunjukkan tabel rute untuk contoh dalam diagram konfigurasi di atas. Entri pertama adalah entri default untuk perutean IPv4 lokal di VPC; entri ini mengaktifkan instans-instans di dalam VPC ini untuk berkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnya ke gateway internet (misalnya, igw-1a2b3c4d).

Tujuan Target

10.0.0/16

lokal

0.0.0.0/0

igw-id

Perutean untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, tabel rute Anda harus memasukkan rute-rute terpisah untuk lalu lintas IPv6. Tabel berikut ini menunjukkan tabel rute kustom untuk skenario ini jika Anda memilih untuk mengaktifkan komunikasi IPv6 di VPC Anda. Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet.

Tujuan Target

10.0.0/16

lokal

2001:db8:1234:1a00::/56

lokal

0.0.0.0/0

igw-id

::/0

igw-id

Keamanan

AWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grup keamanan dan ACL jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untuk instans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda. Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi selengkapnya, lihat Privasi lalu lintas antar jaringan di Amazon VPC.

Untuk skenario ini, Anda menggunakan grup keamanan tetapi bukan ACL jaringan. Jika Anda ingin menggunakan ACL jaringan, lihat Aturan-aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik tunggal.

VPC Anda dilengkapi dengan Grup keamanan default. Sebuah instans yang diluncurkan ke dalam VPC secara otomatis dikaitkan dengan grup keamanan default jika Anda tidak menentukan grup keamanan yang berbeda selama peluncuran. Anda dapat menambahkan aturan khusus ke grup keamanan default, tetapi aturan-aturan tersebut mungkin tidak cocok untuk instans-instasn lain yang Anda luncurkan ke dalam VPC. Sebaliknya, kami menyarankan Anda membuat grup keamanan kustom untuk server web Anda.

Untuk skenario ini, buat grup keamanan bernama WebServerSG. Ketika Anda membuat sebuah grup keamanan, terdapat aturan jalur keluar tunggal yang mengizinkan semua lalu lintas untuk meninggalkan instans-instans. Anda harus mengubah aturan untuk mengaktifkan lalu lintas jalur masuk dan membatasi lalu lintas jalur keluar seperlunya. Anda tentukan grup keamanan ini ketika Anda meluncurkan instans-instans ke dalam VPC.

Berikut ini adalah aturan jalur masuk dan keluar untuk lalu lintas IPv4 untuk grup keamanan WebServerSG.

Ke dalam
Sumber Protokol Rentang Port Komentar

0.0.0.0/0

TCP

80

Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv4 apa pun.

0.0.0.0/0

TCP

443

Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv4 apa pun

Rentang alamat IPv4 publik dari jaringan Anda

TCP

22

(Instans-instans Linux) Mengizinkan akses jalur masuk SSH dari jaringan Anda melalui IPv4. Anda bisa mendapatkan alamat IPv4 publik dari komputer lokal Anda menggunakan layanan seperti http://checkip.amazonaws.com atau https://checkip.amazonaws.com. Jika Anda terhubung melalui ISP atau dari belakang firewall Anda tanpa sebuah alamat IP statis, Anda perlu menemukan rentang alamat IP yang digunakan oleh komputer klien.

Rentang alamat IPv4 publik dari jaringan Anda

TCP

3389

(Instans Windows) Mengizinkan akses jalur masuk RDP dari jaringan Anda melalui IPv4.

The security group ID (sg-xxxxxxxx) All All (Optional) Allow inbound traffic from other instances associated with this security group. This rule is automatically added to the default security group for the VPC; for any custom security group you create, you must manually add the rule to allow this type of communication.
Jalur keluar (Opsional)
Tujuan Protokol Rentang Port Comments
0.0.0.0/0 All All Default rule to allow all outbound access to any IPv4 address. If you remove this rule, your web server can't initiate outbound traffic, for example, to get software updates. If you remove this rule, your web server can still send response traffic to requests, because security groups are stateful.

Aturan grup keamanan untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, Anda harus menambahkan aturan terpisah ke grup keamanan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untuk instans server web Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintas internet melalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6.

Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan yang sudah tercantum di atas).

Ke dalam
Sumber Protokol Rentang Port Comments

::/0

TCP

80

Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv6 apa pun.

::/0

TCP

443

Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv6 apa pun.

Rentang alamat IPv6 dari jaringan Anda

TCP

22

(Instans Linux) Mengizinkan akses jalur masuk SSH melalui IPv6 dari jaringan Anda.

Rentang alamat IPv6 dari jaringan Anda

TCP

3389

(Instans Windows) Mengizinkan akses jalur masuk RDP melalui IPv6 dari jaringan Anda

Jalur keluar (Opsional)
Tujuan Protokol Rentang Port Comments
::/0 All All Default rule to allow all outbound access to any IPv4 address. If you remove this rule, your web server can't initiate outbound traffic, for example, to get software updates. If you remove this rule, your web server can still send response traffic to requests, because security groups are stateful.

Aturan-aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik tunggal

Tabel berikut menunjukkan aturan-aturan yang kami sarankan. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan.

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

100

0.0.0.0/0

TCP

80

IZINKAN

Mengizinkan akses jalur masuk HTTP dari alamat IPv4 apa pun.

110

0.0.0.0/0

TCP

443

IZINKAN

Mengizinkan akses jalur masuk HTTPS dari alamat IPv4 apa pun.

120

Rentang alamat IPv4 publik dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH dari jaringan rumah Anda (melalui gateway internet).

130

Rentang alamat IPv4 publik dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP dari jaringan rumah Anda (melalui gateway internet).

140

0.0.0.0/0

TCP

32768-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

100

0.0.0.0/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

110

0.0.0.0/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet.

120

0.0.0.0/0

TCP

32768-65535

IZINKAN

Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Aturan ACL jaringan yang disarankan untuk IPv6

Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan, Anda harus menambahkan aturan terpisah untuk ACL jaringan Anda untuk mengendalikan lalu lintas IPv6 jalur masuk dan keluar.

Berikut ini adalah aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturan yang ada sebelumnya).

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

150

::/0

TCP

80

IZINKAN

Mengizinkan akses jalur masuk HTTP dari alamat IPv6 apa pun.

160

::/0

TCP

443

IZINKAN

Mengizinkan akses jalur masuk HTTPS dari alamat IPv6 apa pun.

170

Rentang alamat IPv6 dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH dari jaringan rumah Anda (melalui gateway internet).

180

Rentang alamat IPv6 dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP dari jaringan rumah Anda (melalui gateway internet).

190

::/0

TCP

32768-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

130

::/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

140

::/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet.

150

::/0

TCP

32768-65535

IZINKAN

Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).