VPC dengan subnet publik dan privat (NAT) - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

VPC dengan subnet publik dan privat (NAT)

Konfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik dan subnet privat. Kami merekomendasikan skenario ini jika Anda ingin menjalankan aplikasi web yang menghadap publik, sambil memelihara server back-end yang tidak dapat diakses oleh publik. Contoh umum adalah situs web multi-tier, dengan server web di subnet publik dan server basis data di subnet pribadi. Anda dapat mengatur keamanan dan perutean sehingga server web dapat berkomunikasi dengan server basis data.

Instans di subnet publik dapat mengirimkan lalu lintas jalur keluar langsung ke internet, sedangkan instans di subnet pribadi tidak dapat. Sebaliknya, instans-instans di subnet pribadi dapat mengakses internet dengan menggunakan gateway penerjemahan alamat jaringan (NAT) yang berada di subnet publik. Server basis data dapat terhubung ke internet untuk pembaruan perangkat lunak menggunakan gateway NAT, tetapi internet tidak dapat membuat koneksi ke server basis data.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6. Instans-instans yang diluncurkan ke subnet dapat menerima alamat IPv6, dan berkomunikasi menggunakan IPv6. Instans di subnet pribadi dapat menggunakan gateway internet khusus keluar untuk terhubung ke internet melalui IPv6, tetapi internet tidak dapat mengadakan sambungan ke instans-instans pribadi melalui IPv6. Untuk informasi selengkapnya tentang IPv4 dan IPv6, lihat Pembuatan alamat IP.

Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak pada instance Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Gambaran Umum

Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini.


				Diagram untuk skenario 2: VPC dengan subnet publik dan privat

Konfigurasi untuk skenario ini mencakup hal berikut:

  • VPC dengan blok CIDR IPv4 dengan ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan 65.536 alamat IPv4 pribadi.

  • Sebuah subnet publik blok CIDR IPv4 dengan ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi. Subnet publik adalah subnet yang dikaitkan dengan tabel rute yang memiliki rute ke gateway internet.

  • Sebuah subnet privat blok CIDR IPv4 dengan ukuran /24 (contoh: 10.0.1.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi.

  • Gateway internet. Gateway internet menghubungkan VPC ke internet dan ke layanan AWS lainnya.

  • Instans-instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.5, 10.0.1.5). Hal ini memungkinkan instans-instans Anda berkomunikasi satu sama lain dan berkomunikasi dengan instans-instans lain di VPC.

  • Instans-instans dalam subnet publik dengan alamat IPv4 Elastis (contoh: 198.51.100.1), yang merupakan alamat IPv4 publik yang membuatnya dapat dicapai dari internet. Instans-instans dapat memiliki alamat IP publik yang ditetapkan pada peluncuran sebagai ganti alamat IP Elastis. Instans-instans di subnet pribadi adalah server back-end yang tidak perlu menerima lalu lintas yang masuk dari internet dan oleh karenanya tidak memiliki alamat IP publik; namun, mereka dapat mengirim permintaan ke internet menggunakan gateway NAT (lihat berikutnya).

  • Sebuah gateway NAT dengan alamat IPv4 Elastis sendiri. Instans-instans di subnet pribadi dapat mengirimkan permintaan ke internet lewat gateway NAT melalui IPv4 (misalnya, untuk pembaruan perangkat lunak).

  • Tabel rute kustom yang dikaitkan dengan subnet publik. Tabel rute ini berisikan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC melalui IPv4, dan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi langsung dengan internet melalui IPv4.

  • Tabel rute utama yang dikaitkan dengan subnet pribadi. Tabel rute berisi sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC melalui IPv4, dan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan internet melalui gateway NAT melalui IPv4.

Untuk informasi selengkapnya, lihat Subnet. Untuk informasi selengkapnya tentang gateway internet, lihat Connect ke internet menggunakan gateway internet. Untuk informasi selengkapnya tentang gateway NAT, lihat Gateway NAT.

Gambaran umum untuk IPv6

Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut:

  • Blok CIDR IPv6 dengan ukuran /56 yang dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). Amazon secara otomatis menetapkan CIDR; Anda tidak dapat memilih rentang oleh Anda sendiri.

  • Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet publik (contoh: 2001:db8:1234:1a00::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran blok CIDR IPv6 VPC.

  • Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet pribadi (contoh: 2001:db8:1234:1a01::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran blok CIDR IPv6 subnet.

  • Alamat IPv6 ditugaskan ke instans-instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).

  • Gateway internet khusus keluar. Anda gunakan gateway untuk menangani permintaan ke internet dari instans-instans di subnet pribadi melalui IPv6 (misalnya, untuk pembaruan perangkat lunak). Sebuah gateway internet khusus keluar diperlukan jika Anda ingin instans berada di subnet pribadi untuk dapat memulai komunikasi dengan internet melalui IPv6. Untuk informasi selengkapnya, lihat Aktifkan lalu lintas IPv6 keluar menggunakan gateway internet egress-only.

  • Entri-entri rute tabel dalam tabel rute kustom mengaktifkan instans-instans di subnet publik untuk menggunakan IPv6 untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.

  • Entri tabel rute di tabel rute utama yang mengaktifkan instans di subnet pribadi untuk menggunakan IPv6 untuk berkomunikasi satu sama lain, dan untuk berkomunikasi dengan internet melalui gateway internet khusus keluar.


					VPC yang memiliki IPv6 aktif dengan subnet publik dan pribadi

Server web di subnet publik memiliki alamat berikut ini.

Server Alamat IPv4 Alamat IP elastis Alamat IPv6

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Server basis data di subnet pribadi memiliki alamat berikut.

Server Alamat IPv4 Alamat IPv6

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Perutean

Dalam skenario ini, Amazon VPC memperbarui tabel rute utama yang digunakan dengan subnet pribadi, dan menciptakan tabel rute kustom dan mengaitkannya dengan subnet publik.

Dalam skenario ini, semua lalu lintas dari setiap subnet yang terikat ke AWS (misalnya, ke titik akhir Amazon EC2 atau Amazon S3) masuk melalui gateway internet. Server-server basis data di subnet pribadi tidak dapat menerima lalu lintas dari internet secara langsung karena server-server tidak memiliki alamat IP elastis. Namun, server basis data dapat mengirim dan menerima lalu lintas internet melalui perangkat NAT di subnet publik.

Subnet tambahan yang Anda buat menggunakan tabel rute utama secara default, yang berarti bahwa subnet-subnet tersebut adalah subnet pribadi secara default. Jika Anda ingin membuat sebuah subnet menjadi subnet publik, Anda selalu dapat mengubah tabel rute yang dikaitkan dengannya.

Tabel berikut menjelaskan tabel rute untuk skenario ini.

Tabel rute utama

Tabel rute utama dikaitkan dengan subnet pribadi. Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC untuk berkomunikasi satu sama lain. Entri kedua mengirimkan semua lalu lintas subnet lainnya ke gateway NAT (misalnya, nat-12345678901234567).

Tujuan Target

10.0.0.0/16

lokal

0.0.0.0/0

nat-gateway-id

Tabel rute kustom

Tabel rute kustom dikaitkan dengan subnet publik. Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC ini untuk berkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet lainnya ke internet melalui gateway internet (misalnya, igw-1a2b3d4d).

Tujuan Target

10.0.0.0/16

lokal

0.0.0.0/0

igw-id

Perutean untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, Tabel rute Anda harus menyertakan rute terpisah untuk lalu lintas IPv6. Tabel berikut menunjukkan tabel rute untuk skenario ini jika Anda memilih untuk mengaktifkan komunikasi IPv6 di VPC Anda.

Tabel rute utama

Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet khusus keluar.

Tujuan Target

10.0.0.0/16

lokal

2001:db8:1234:1a00::/56

lokal

0.0.0.0/0

nat-gateway-id

::/0

egress-only-igw-id

Tabel rute kustom

Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet.

Tujuan Target

10.0.0.0/16

lokal

2001:db8:1234:1a00::/56

lokal

0.0.0.0/0

igw-id

::/0

igw-id

Keamanan

AWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grup keamanan dan ACL jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untuk instans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda. Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi selengkapnya, lihat Privasi lalu lintas antar jaringan di Amazon VPC.

Untuk skenario 2, Anda akan menggunakan grup keamanan tetapi bukan ACL jaringan. Jika Anda ingin menggunakan ACL jaringan, lihat Aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik dan privat (NAT).

VPC Anda dilengkapi dengan Grup keamanan default. Instans yang diluncurkan ke dalam VPC secara otomatis terkait dengan grup keamanan default jika Anda tidak menentukan grup keamanan yang berbeda selama peluncuran. Untuk skenario ini, kami menyarankan Anda membuat grup keamanan berikut dan bukannya menggunakan grup keamanan default:

  • WebServerSG: Tentukan grup keamanan ini ketika Anda meluncurkan server web di subnet publik.

  • DBServersG: Tentukan grup keamanan ini ketika Anda meluncurkan server basis data di subnet pribadi.

Instans-instans yang ditetapkan ke grup keamanan dapat berada di subnet yang berbeda-beda. Namun, dalam skenario ini, setiap grup keamanan menyesuaikan dengan jenis peran yang sebuah instans mainkan, dan setiap peran memerlukan instans untuk berada di subnet tertentu. Oleh karena itu, dalam skenario ini, semua instans yang ditetapkan ke grup keamanan berada di subnet yang sama.

Tabel berikut menjelaskan aturan yang direkomendasikan untuk grup keamanan WebServerSG, yang mengizinkan server web menerima lalu lintas internet, dan juga lalu lintas SSH dan RDP dari jaringan Anda. Web server juga bisa memulai membaca dan menulis permintaan ke server basis data di subnet privat, dan mengirimkan lalu lintas ke internet; misalnya, untuk mendapatkan pembaruan perangkat lunak. Karena web server tidak memulai komunikasi jalur keluar lainnya, aturan jalur keluar default dihapus.

catatan

Rekomendasi ini mencakup akses SSH dan RDP, dan Server Microsoft SQL dan akses MySQL. Untuk situasi Anda, Anda mungkin hanya memerlukan aturan untuk Linux (SSH dan MySQL) atau Windows (RDP dan Microsoft SQL Server).

Ke dalam
Sumber Protokol Rentang Port Komentar

0.0.0.0/0

TCP

80

Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv4 apa pun.

0.0.0.0/0

TCP

443

Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv4 apa pun.

Rentang alamat IPv4 publik dari jaringan rumah Anda

TCP

22

Mengizinkan akses jalur masuk SSH ke instans Linux dari jaringan rumah Anda (melalui gateway internet). Anda bisa mendapatkan alamat IPv4 publik pada komputer lokal Anda menggunakan layanan seperti http://checkip.amazonaws.com atau https://checkip.amazonaws.com. Jika Anda terhubung melalui ISP atau dari belakang firewall Anda tanpa sebuah alamat IP statis, Anda perlu menemukan rentang alamat IP yang digunakan oleh komputer klien.

Rentang alamat IPv4 publik dari jaringan rumah Anda

TCP

3389

Mengizinkan akses jalur masuk RDP ke instans-instans Windows dari jaringan rumah Anda (melalui gateway internet).

Ke luar

Tujuan Protokol Rentang Port Comments

ID dari grup-grup keamanan DBServerSG Anda

TCP

1433

Mengizinkan akses jalur keluar Server Microsoft SQL menuju server basis data yang ditetapkan ke grup keamanan DBServerSG.

ID dari grup-grup keamanan DBServerSG Anda

TCP

3306

Mengizinkan akses jalur keluar MySQL menuju server basis data yang ditetapkan ke grup keamanan DBServerSG.

0.0.0.0/0

TCP

80

Mengizinkan akses jalur keluar HTTP ke alamat IPv4 apa pun.

0.0.0.0/0

TCP

443

Mengizinkan akses jalur keluar HTTPS ke alamat IPv4 apa pun.

Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan DBServerSG, aturan-aturan yang memungkinkan membaca atau menulis permintaan basis data dari server web. Server basis data juga dapat memulai lalu lintas terikat untuk internet (tabel rute mengirimkan lalu lintas ke gateway NAT, yang kemudian meneruskannya ke internet melalui gateway internet).

Ke dalam
Sumber Protokol Rentang Port Comments

ID dari grup keamanan WebServerSG Anda

TCP

1433

Mengizinkan akses jalur masuk Server Microsoft SQL dari server web yang dikaitkan dengan grup keamanan WebServerSG.

ID dari grup keamanan WebServerSG Anda

TCP

3306

Mengizinkan akses jalur masuk Server MySQL dari server web yang dikaitkan dengan grup keamanan WebServerSG.

Ke luar

Tujuan Protokol Rentang Port Komentar

0.0.0.0/0

TCP

80

Mengizinkan akses jalur keluar HTTP ke internet melalui IPv4 (misalnya, untuk pembaruan perangkat lunak).

0.0.0.0/0

TCP

443

Mengizinkan akses jalur keluar HTTPS ke internet melalui IPv4 (misalnya, untuk pembaruan perangkat lunak).

(Opsional) Grup keamanan default untuk VPC memiliki aturan yang secara otomatis mengizinkan instans-instans yang ditugaskan untuk saling berkomunikasi. Untuk mengizinkan jenis komunikasi untuk grup keamanan kustom, Anda harus menambahkan aturan berikut:

Ke dalam
Sumber Protokol Rentang Port Comments

ID grup keamanan

Semua

Semua

Mengizinkan lalu lintas jalur masuk dari instans lain yang ditetapkan untuk grup keamanan ini.

Ke luar
Tujuan Protokol Rentang Port Comments
The ID of the security group All All Allow outbound traffic to other instances assigned to this security group.

(Opsional) Jika Anda meluncurkan host benteng di subnet publik Anda untuk digunakan sebagai proxy untuk lalu lintas SSH atau RDP dari jaringan rumah Anda ke subnet pribadi Anda, tambahkan aturan ke grup keamanan DBServerSG yang mengizinkan lalu lintas jalur masuk SSH atau RDP dari instans benteng atau grup keamanan yang dikaitkan dengannya.

Aturan grup keamanan untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisah untuk grup keamanan WebServerSG dan DBServerSG untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untuk instans Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintas internet melalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6. Mereka juga dapat memulai lalu lintas jalur keluar IPv6 ke internet. Server basis data dapat memulai lalu lintas jalur keluar IPv6 ke internet.

Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan-aturan yang sudah tercantum di atas).

Ke dalam
Sumber Protokol Rentang Port Comments

::/0

TCP

80

Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv6 apa pun.

::/0

TCP

443

Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv6 apa pun.

Rentang alamat IPv6 dari jaringan Anda

TCP

22

(Instans Linux) Mengizinkan akses jalur masuk SSH melalui IPv6 dari jaringan Anda.

Rentang alamat IPv6 dari jaringan Anda

TCP

3389

(Instans Windows) Mengizinkan akses jalur masuk RDP melalui IPv6 dari jaringan Anda

Ke luar
Tujuan Protokol Rentang Port Comments
::/0 TCP HTTP Allow outbound HTTP access to any IPv6 address.
::/0 TCP HTTPS Allow outbound HTTPS access to any IPv6 address.

Berikut ini adalah aturan-aturan khusus IPv6 untuk grup keamanan DBServerSG (sebagai tambahan aturan-aturan yang sudah tercantum di atas).

Ke luar

Tujuan Protokol Rentang Port Comments

::/0

TCP

80

Mengizinkan akses jalur keluar HTTP ke alamat IPv6 apa pun.

::/0

TCP

443

Mengizinkan akses jalur keluar HTTPS ke alamat IPv6 apa pun.

Melaksanakan skenario 2

Anda dapat menggunakan Amazon VPC untuk membuat VPC, subnet, gateway NAT, dan gateway internet khusus keluar. Anda harus menentukan alamat IP Elastis untuk gateway NAT Anda; jika Anda tidak memilikinya, Anda harus terlebih dahulu mengalokasikan satu alamat IP Elastis ke akun Anda. Jika Anda ingin menggunakan alamat IP elastis yang ada, pastikan bahwa alamat IP Elastis yang ada saat ini tidak terkait dengan instans atau antarmuka jaringan lain. Gateway NAT secara otomatis dibuat dalam subnet publik dari VPC Anda.

Aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik dan privat (NAT)

Untuk skenario ini, Anda memiliki ACL jaringan untuk subnet publik, dan ACL jaringan terpisah untuk subnet pribadi. Tabel berikut menunjukkan aturan-aturan yang kami sarankan untuk setiap ACL. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan. Aturan-aturan itu kebanyakan meniru aturan grup keamanan untuk skenario tersebut.

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

100

0.0.0.0/0

TCP

80

IZINKAN

Mengizinkan akses jalur masuk HTTP dari alamat IPv4 apa pun.

110

0.0.0.0/0

TCP

443

IZINKAN

Mengizinkan akses jalur masuk HTTPS dari alamat IPv4 apa pun.

120

Rentang alamat IP publik dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH dari jaringan rumah Anda (melalui gateway internet).

130

Rentang alamat IP publik dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP dari jaringan rumah Anda (melalui gateway internet).

140

0.0.0.0/0

TCP

1024-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

100

0.0.0.0/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

110

0.0.0.0/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet.

120

10.0.1.0/24

TCP

1433

IZINKAN

Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet pribadi.

Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

140

0.0.0.0/0

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

150

10.0.1.0/24

TCP

22

IZINKAN

Mengizinkan akses jalur keluar SSH ke instans di subnet pribadi Anda (dari bastion SSH, jika Anda memilikinya).

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

100

10.0.0.0/24

TCP

1433

IZINKAN

Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet pribadi.

Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

120

10.0.0.0/24

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH dari benteng SSH di subnet publik (jika Anda memilikinya).

130

10.0.0.0/24

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP dari gateway Microsoft Terminal Services di subnet publik.

140

0.0.0.0/0

TCP

1024-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari perangkat NAT di subnet publik atas permintaan yang berasal dari subnet pribadi.

Untuk informasi tentang penetapan port sementara yang benar, lihat catatan penting di awal topik ini.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

100

0.0.0.0/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

110

0.0.0.0/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet.

120

10.0.0.0/24

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar ke subnet publik (misalnya, respon ke server web di subnet publik yang berkomunikasi dengan server DB di subnet pribadi).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Aturan ACL jaringan yang disarankan untuk IPv6

Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan, Anda harus tambahkan aturan terpisah ke ACL jaringan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6.

Berikut ini adalah aturan-aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturan yang ada sebelumnya).

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

150

::/0

TCP

80

IZINKAN

Mengizinkan akses jalur masuk HTTP dari alamat IPv6 apa pun.

160

::/0

TCP

443

IZINKAN

Mengizinkan akses jalur masuk HTTPS dari alamat IPv6 apa pun.

170

Rentang alamat IPv6 dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH melalui IPv6 dari jaringan rumah Anda (melalui gateway internet).

180

Rentang alamat IPv6 dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP melalui IPv6 dari jaringan rumah Anda (melalui gateway internet).

190

::/0

TCP

1024-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

160

::/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

170

::/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet

180

2001:db8:1234:1a01::/64

TCP

1433

IZINKAN

Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet pribadi.

Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

200

::/0

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

210

2001:db8:1234:1a01::/64

TCP

22

IZINKAN

Mengizinkan akses jalur keluar SSH ke instans-instans di subnet pribadi Anda (dari bastion SSH, jika Anda memilikinya).

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

150

2001:db8:1234:1a00::/64

TCP

1433

IZINKAN

Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet pribadi.

Nomor port ini adalah contoh saja. Contoh-contoh lainnya termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

170

2001:db8:1234:1a00::/64

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH dari benteng SSH di subnet publik (jika berlaku).

180

2001:db8:1234:1a00::/64

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP dari gateway Microsoft Terminal Services di subnet publik, jika berlaku.

190

::/0

TCP

1024-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari gateway internet khusus keluar atas permintaan yang berasal dari subnet pribadi.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

130

::/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

140

::/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet.

150

2001:db8:1234:1a00::/64

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar ke subnet publik (misalnya, respon ke server web di subnet publik yang berkomunikasi dengan server DB di subnet pribadi).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).