Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
VPC dengan subnet publik dan privat (NAT)
Konfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik dan subnet privat. Kami merekomendasikan skenario ini jika Anda ingin menjalankan aplikasi web yang menghadap publik, sambil memelihara server back-end yang tidak dapat diakses oleh publik. Contoh umum adalah situs web multi-tier, dengan server web di subnet publik dan server basis data di subnet pribadi. Anda dapat mengatur keamanan dan perutean sehingga server web dapat berkomunikasi dengan server basis data.
Instans di subnet publik dapat mengirimkan lalu lintas jalur keluar langsung ke internet, sedangkan instans di subnet pribadi tidak dapat. Sebaliknya, instans-instans di subnet pribadi dapat mengakses internet dengan menggunakan gateway penerjemahan alamat jaringan (NAT) yang berada di subnet publik. Server basis data dapat terhubung ke internet untuk pembaruan perangkat lunak menggunakan gateway NAT, tetapi internet tidak dapat membuat koneksi ke server basis data.
Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6. Instans-instans yang diluncurkan ke subnet dapat menerima alamat IPv6, dan berkomunikasi menggunakan IPv6. Instans di subnet pribadi dapat menggunakan gateway internet khusus keluar untuk terhubung ke internet melalui IPv6, tetapi internet tidak dapat mengadakan sambungan ke instans-instans pribadi melalui IPv6. Untuk informasi selengkapnya tentang IPv4 dan IPv6, lihat Pembuatan alamat IP.
Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak pada instance Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.
Daftar Isi
Gambaran Umum
Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini.
Konfigurasi untuk skenario ini mencakup hal berikut:
-
VPC dengan blok CIDR IPv4 dengan ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan 65.536 alamat IPv4 pribadi.
-
Sebuah subnet publik blok CIDR IPv4 dengan ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi. Subnet publik adalah subnet yang dikaitkan dengan tabel rute yang memiliki rute ke gateway internet.
-
Sebuah subnet privat blok CIDR IPv4 dengan ukuran /24 (contoh: 10.0.1.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi.
-
Gateway internet. Gateway internet menghubungkan VPC ke internet dan ke layanan AWS lainnya.
-
Instans-instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.5, 10.0.1.5). Hal ini memungkinkan instans-instans Anda berkomunikasi satu sama lain dan berkomunikasi dengan instans-instans lain di VPC.
-
Instans-instans dalam subnet publik dengan alamat IPv4 Elastis (contoh: 198.51.100.1), yang merupakan alamat IPv4 publik yang membuatnya dapat dicapai dari internet. Instans-instans dapat memiliki alamat IP publik yang ditetapkan pada peluncuran sebagai ganti alamat IP Elastis. Instans-instans di subnet pribadi adalah server back-end yang tidak perlu menerima lalu lintas yang masuk dari internet dan oleh karenanya tidak memiliki alamat IP publik; namun, mereka dapat mengirim permintaan ke internet menggunakan gateway NAT (lihat berikutnya).
-
Sebuah gateway NAT dengan alamat IPv4 Elastis sendiri. Instans-instans di subnet pribadi dapat mengirimkan permintaan ke internet lewat gateway NAT melalui IPv4 (misalnya, untuk pembaruan perangkat lunak).
-
Tabel rute kustom yang dikaitkan dengan subnet publik. Tabel rute ini berisikan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC melalui IPv4, dan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi langsung dengan internet melalui IPv4.
-
Tabel rute utama yang dikaitkan dengan subnet pribadi. Tabel rute berisi sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC melalui IPv4, dan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan internet melalui gateway NAT melalui IPv4.
Untuk informasi selengkapnya, lihat Subnet. Untuk informasi selengkapnya tentang gateway internet, lihat Connect ke internet menggunakan gateway internet. Untuk informasi selengkapnya tentang gateway NAT, lihat Gateway NAT.
Gambaran umum untuk IPv6
Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut:
-
Blok CIDR IPv6 dengan ukuran /56 yang dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). Amazon secara otomatis menetapkan CIDR; Anda tidak dapat memilih rentang oleh Anda sendiri.
-
Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet publik (contoh: 2001:db8:1234:1a00::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran blok CIDR IPv6 VPC.
-
Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet pribadi (contoh: 2001:db8:1234:1a01::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran blok CIDR IPv6 subnet.
-
Alamat IPv6 ditugaskan ke instans-instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).
-
Gateway internet khusus keluar. Anda gunakan gateway untuk menangani permintaan ke internet dari instans-instans di subnet pribadi melalui IPv6 (misalnya, untuk pembaruan perangkat lunak). Sebuah gateway internet khusus keluar diperlukan jika Anda ingin instans berada di subnet pribadi untuk dapat memulai komunikasi dengan internet melalui IPv6. Untuk informasi selengkapnya, lihat Aktifkan lalu lintas IPv6 keluar menggunakan gateway internet egress-only.
-
Entri-entri rute tabel dalam tabel rute kustom mengaktifkan instans-instans di subnet publik untuk menggunakan IPv6 untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.
-
Entri tabel rute di tabel rute utama yang mengaktifkan instans di subnet pribadi untuk menggunakan IPv6 untuk berkomunikasi satu sama lain, dan untuk berkomunikasi dengan internet melalui gateway internet khusus keluar.
Server web di subnet publik memiliki alamat berikut ini.
| Server | Alamat IPv4 | Alamat IP elastis | Alamat IPv6 |
|---|---|---|---|
|
1 |
10.0.0.5 |
198.51.100.1 | 2001:db8:1234:1a00::1a |
|
2 |
10.0.0.6 |
198.51.100.2 | 2001:db8:1234:1a00::2b |
| 3 | 10.0.0.7 | 198.51.100.3 | 2001:db8:1234:1a00::3c |
Server basis data di subnet pribadi memiliki alamat berikut.
| Server | Alamat IPv4 | Alamat IPv6 |
|---|---|---|
|
1 |
10.0.1.5 |
2001:db8:1234:1a01::1a |
|
2 |
10.0.1.6 |
2001:db8:1234:1a01::2b |
| 3 | 10.0.1.7 | 2001:db8:1234:1a01::3c |
Perutean
Dalam skenario ini, Amazon VPC memperbarui tabel rute utama yang digunakan dengan subnet pribadi, dan menciptakan tabel rute kustom dan mengaitkannya dengan subnet publik.
Dalam skenario ini, semua lalu lintas dari setiap subnet yang terikat ke AWS (misalnya, ke titik akhir Amazon EC2 atau Amazon S3) masuk melalui gateway internet. Server-server basis data di subnet pribadi tidak dapat menerima lalu lintas dari internet secara langsung karena server-server tidak memiliki alamat IP elastis. Namun, server basis data dapat mengirim dan menerima lalu lintas internet melalui perangkat NAT di subnet publik.
Subnet tambahan yang Anda buat menggunakan tabel rute utama secara default, yang berarti bahwa subnet-subnet tersebut adalah subnet pribadi secara default. Jika Anda ingin membuat sebuah subnet menjadi subnet publik, Anda selalu dapat mengubah tabel rute yang dikaitkan dengannya.
Tabel berikut menjelaskan tabel rute untuk skenario ini.
Tabel rute utama
Tabel rute utama dikaitkan dengan subnet pribadi. Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC untuk berkomunikasi satu sama lain. Entri kedua mengirimkan semua lalu lintas subnet lainnya ke gateway NAT (misalnya, nat-12345678901234567).
| Tujuan | Target |
|---|---|
|
|
lokal |
|
|
nat-gateway-id |
Tabel rute kustom
Tabel rute kustom dikaitkan dengan subnet publik. Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC ini untuk berkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet lainnya ke internet melalui gateway internet (misalnya, igw-1a2b3d4d).
| Tujuan | Target |
|---|---|
|
|
lokal |
|
|
igw-id |
Perutean untuk IPv6
Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, Tabel rute Anda harus menyertakan rute terpisah untuk lalu lintas IPv6. Tabel berikut menunjukkan tabel rute untuk skenario ini jika Anda memilih untuk mengaktifkan komunikasi IPv6 di VPC Anda.
Tabel rute utama
Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet khusus keluar.
| Tujuan | Target |
|---|---|
|
10.0.0.0/16 |
lokal |
|
2001:db8:1234:1a00::/56 |
lokal |
|
0.0.0.0/0 |
nat-gateway-id |
|
::/0 |
egress-only-igw-id |
Tabel rute kustom
Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet.
| Tujuan | Target |
|---|---|
|
10.0.0.0/16 |
lokal |
|
2001:db8:1234:1a00::/56 |
lokal |
|
0.0.0.0/0 |
igw-id |
|
::/0 |
igw-id |
Keamanan
AWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grup keamanan dan ACL jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untuk instans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda. Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi selengkapnya, lihat Privasi lalu lintas antar jaringan di Amazon VPC.
Untuk skenario 2, Anda akan menggunakan grup keamanan tetapi bukan ACL jaringan. Jika Anda ingin menggunakan ACL jaringan, lihat Aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik dan privat (NAT).
VPC Anda dilengkapi dengan Grup keamanan default. Instans yang diluncurkan ke dalam VPC secara otomatis terkait dengan grup keamanan default jika Anda tidak menentukan grup keamanan yang berbeda selama peluncuran. Untuk skenario ini, kami menyarankan Anda membuat grup keamanan berikut dan bukannya menggunakan grup keamanan default:
-
WebServerSG: Tentukan grup keamanan ini ketika Anda meluncurkan server web di subnet publik.
-
DBServersG: Tentukan grup keamanan ini ketika Anda meluncurkan server basis data di subnet pribadi.
Instans-instans yang ditetapkan ke grup keamanan dapat berada di subnet yang berbeda-beda. Namun, dalam skenario ini, setiap grup keamanan menyesuaikan dengan jenis peran yang sebuah instans mainkan, dan setiap peran memerlukan instans untuk berada di subnet tertentu. Oleh karena itu, dalam skenario ini, semua instans yang ditetapkan ke grup keamanan berada di subnet yang sama.
Tabel berikut menjelaskan aturan yang direkomendasikan untuk grup keamanan WebServerSG, yang mengizinkan server web menerima lalu lintas internet, dan juga lalu lintas SSH dan RDP dari jaringan Anda. Web server juga bisa memulai membaca dan menulis permintaan ke server basis data di subnet privat, dan mengirimkan lalu lintas ke internet; misalnya, untuk mendapatkan pembaruan perangkat lunak. Karena web server tidak memulai komunikasi jalur keluar lainnya, aturan jalur keluar default dihapus.
Rekomendasi ini mencakup akses SSH dan RDP, dan Server Microsoft SQL dan akses MySQL. Untuk situasi Anda, Anda mungkin hanya memerlukan aturan untuk Linux (SSH dan MySQL) atau Windows (RDP dan Microsoft SQL Server).
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Komentar |
|
0.0.0.0/0 |
TCP |
80 |
Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv4 apa pun. |
|
0.0.0.0/0 |
TCP |
443 |
Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv4 apa pun. |
|
Rentang alamat IPv4 publik dari jaringan rumah Anda |
TCP |
22 |
Mengizinkan akses jalur masuk SSH ke instans Linux dari jaringan rumah Anda (melalui gateway internet). Anda bisa mendapatkan alamat IPv4 publik pada komputer lokal Anda menggunakan layanan seperti http://checkip.amazonaws.com |
|
Rentang alamat IPv4 publik dari jaringan rumah Anda |
TCP |
3389 |
Mengizinkan akses jalur masuk RDP ke instans-instans Windows dari jaringan rumah Anda (melalui gateway internet). |
|
Ke luar |
|||
| Tujuan | Protokol | Rentang Port | Comments |
|
ID dari grup-grup keamanan DBServerSG Anda |
TCP |
1433 |
Mengizinkan akses jalur keluar Server Microsoft SQL menuju server basis data yang ditetapkan ke grup keamanan DBServerSG. |
|
ID dari grup-grup keamanan DBServerSG Anda |
TCP |
3306 |
Mengizinkan akses jalur keluar MySQL menuju server basis data yang ditetapkan ke grup keamanan DBServerSG. |
|
0.0.0.0/0 |
TCP |
80 |
Mengizinkan akses jalur keluar HTTP ke alamat IPv4 apa pun. |
|
0.0.0.0/0 |
TCP |
443 |
Mengizinkan akses jalur keluar HTTPS ke alamat IPv4 apa pun. |
Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan DBServerSG, aturan-aturan yang memungkinkan membaca atau menulis permintaan basis data dari server web. Server basis data juga dapat memulai lalu lintas terikat untuk internet (tabel rute mengirimkan lalu lintas ke gateway NAT, yang kemudian meneruskannya ke internet melalui gateway internet).
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Comments |
|
ID dari grup keamanan WebServerSG Anda |
TCP |
1433 |
Mengizinkan akses jalur masuk Server Microsoft SQL dari server web yang dikaitkan dengan grup keamanan WebServerSG. |
|
ID dari grup keamanan WebServerSG Anda |
TCP |
3306 |
Mengizinkan akses jalur masuk Server MySQL dari server web yang dikaitkan dengan grup keamanan WebServerSG. |
|
Ke luar |
|||
| Tujuan | Protokol | Rentang Port | Komentar |
|
0.0.0.0/0 |
TCP |
80 |
Mengizinkan akses jalur keluar HTTP ke internet melalui IPv4 (misalnya, untuk pembaruan perangkat lunak). |
|
0.0.0.0/0 |
TCP |
443 |
Mengizinkan akses jalur keluar HTTPS ke internet melalui IPv4 (misalnya, untuk pembaruan perangkat lunak). |
(Opsional) Grup keamanan default untuk VPC memiliki aturan yang secara otomatis mengizinkan instans-instans yang ditugaskan untuk saling berkomunikasi. Untuk mengizinkan jenis komunikasi untuk grup keamanan kustom, Anda harus menambahkan aturan berikut:
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Comments |
|
ID grup keamanan |
Semua |
Semua |
Mengizinkan lalu lintas jalur masuk dari instans lain yang ditetapkan untuk grup keamanan ini. |
| Ke luar | |||
| Tujuan | Protokol | Rentang Port | Comments |
| The ID of the security group | All | All | Allow outbound traffic to other instances assigned to this security group. |
(Opsional) Jika Anda meluncurkan host benteng di subnet publik Anda untuk digunakan sebagai proxy untuk lalu lintas SSH atau RDP dari jaringan rumah Anda ke subnet pribadi Anda, tambahkan aturan ke grup keamanan DBServerSG yang mengizinkan lalu lintas jalur masuk SSH atau RDP dari instans benteng atau grup keamanan yang dikaitkan dengannya.
Aturan grup keamanan untuk IPv6
Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisah untuk grup keamanan WebServerSG dan DBServerSG untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untuk instans Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintas internet melalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6. Mereka juga dapat memulai lalu lintas jalur keluar IPv6 ke internet. Server basis data dapat memulai lalu lintas jalur keluar IPv6 ke internet.
Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan-aturan yang sudah tercantum di atas).
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Comments |
|
::/0 |
TCP |
80 |
Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv6 apa pun. |
|
::/0 |
TCP |
443 |
Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv6 apa pun. |
|
Rentang alamat IPv6 dari jaringan Anda |
TCP |
22 |
(Instans Linux) Mengizinkan akses jalur masuk SSH melalui IPv6 dari jaringan Anda. |
|
Rentang alamat IPv6 dari jaringan Anda |
TCP |
3389 |
(Instans Windows) Mengizinkan akses jalur masuk RDP melalui IPv6 dari jaringan Anda |
| Ke luar | |||
| Tujuan | Protokol | Rentang Port | Comments |
| ::/0 | TCP | HTTP | Allow outbound HTTP access to any IPv6 address. |
| ::/0 | TCP | HTTPS | Allow outbound HTTPS access to any IPv6 address. |
Berikut ini adalah aturan-aturan khusus IPv6 untuk grup keamanan DBServerSG (sebagai tambahan aturan-aturan yang sudah tercantum di atas).
|
Ke luar |
|||
|---|---|---|---|
| Tujuan | Protokol | Rentang Port | Comments |
|
::/0 |
TCP |
80 |
Mengizinkan akses jalur keluar HTTP ke alamat IPv6 apa pun. |
|
::/0 |
TCP |
443 |
Mengizinkan akses jalur keluar HTTPS ke alamat IPv6 apa pun. |
Melaksanakan skenario 2
Anda dapat menggunakan Amazon VPC untuk membuat VPC, subnet, gateway NAT, dan gateway internet khusus keluar. Anda harus menentukan alamat IP Elastis untuk gateway NAT Anda; jika Anda tidak memilikinya, Anda harus terlebih dahulu mengalokasikan satu alamat IP Elastis ke akun Anda. Jika Anda ingin menggunakan alamat IP elastis yang ada, pastikan bahwa alamat IP Elastis yang ada saat ini tidak terkait dengan instans atau antarmuka jaringan lain. Gateway NAT secara otomatis dibuat dalam subnet publik dari VPC Anda.
Aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik dan privat (NAT)
Untuk skenario ini, Anda memiliki ACL jaringan untuk subnet publik, dan ACL jaringan terpisah untuk subnet pribadi. Tabel berikut menunjukkan aturan-aturan yang kami sarankan untuk setiap ACL. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan. Aturan-aturan itu kebanyakan meniru aturan grup keamanan untuk skenario tersebut.
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
0.0.0.0/0 |
TCP |
80 |
IZINKAN |
Mengizinkan akses jalur masuk HTTP dari alamat IPv4 apa pun. |
|
110 |
0.0.0.0/0 |
TCP |
443 |
IZINKAN |
Mengizinkan akses jalur masuk HTTPS dari alamat IPv4 apa pun. |
|
120 |
Rentang alamat IP publik dari jaringan rumah Anda |
TCP |
22 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk SSH dari jaringan rumah Anda (melalui gateway internet). |
|
130 |
Rentang alamat IP publik dari jaringan rumah Anda |
TCP |
3389 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk RDP dari jaringan rumah Anda (melalui gateway internet). |
|
140 |
0.0.0.0/0 |
TCP |
1024-65535 |
IZINKAN |
Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet. Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
0.0.0.0/0 |
TCP |
80 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet. |
|
110 |
0.0.0.0/0 |
TCP |
443 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet. |
|
120 |
10.0.1.0/24 |
TCP |
1433 |
IZINKAN |
Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet pribadi. Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
140 |
0.0.0.0/0 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
150 |
10.0.1.0/24 |
TCP |
22 |
IZINKAN |
Mengizinkan akses jalur keluar SSH ke instans di subnet pribadi Anda (dari bastion SSH, jika Anda memilikinya). |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
10.0.0.0/24 |
TCP |
1433 |
IZINKAN |
Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet pribadi. Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
120 |
10.0.0.0/24 |
TCP |
22 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk SSH dari benteng SSH di subnet publik (jika Anda memilikinya). |
|
130 |
10.0.0.0/24 |
TCP |
3389 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk RDP dari gateway Microsoft Terminal Services di subnet publik. |
|
140 |
0.0.0.0/0 |
TCP |
1024-65535 |
IZINKAN |
Mengizinkan lalu lintas kembali jalur masuk dari perangkat NAT di subnet publik atas permintaan yang berasal dari subnet pribadi. Untuk informasi tentang penetapan port sementara yang benar, lihat catatan penting di awal topik ini. |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
0.0.0.0/0 |
TCP |
80 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet. |
|
110 |
0.0.0.0/0 |
TCP |
443 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet. |
|
120 |
10.0.0.0/24 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar ke subnet publik (misalnya, respon ke server web di subnet publik yang berkomunikasi dengan server DB di subnet pribadi). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
Aturan ACL jaringan yang disarankan untuk IPv6
Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan, Anda harus tambahkan aturan terpisah ke ACL jaringan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6.
Berikut ini adalah aturan-aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturan yang ada sebelumnya).
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
150 |
::/0 |
TCP |
80 |
IZINKAN |
Mengizinkan akses jalur masuk HTTP dari alamat IPv6 apa pun. |
|
160 |
::/0 |
TCP |
443 |
IZINKAN |
Mengizinkan akses jalur masuk HTTPS dari alamat IPv6 apa pun. |
|
170 |
Rentang alamat IPv6 dari jaringan rumah Anda |
TCP |
22 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk SSH melalui IPv6 dari jaringan rumah Anda (melalui gateway internet). |
|
180 |
Rentang alamat IPv6 dari jaringan rumah Anda |
TCP |
3389 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk RDP melalui IPv6 dari jaringan rumah Anda (melalui gateway internet). |
|
190 |
::/0 |
TCP |
1024-65535 |
IZINKAN |
Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet. Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
160 |
::/0 |
TCP |
80 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet. |
|
170 |
::/0 |
TCP |
443 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet |
|
180 |
2001:db8:1234:1a01::/64 |
TCP |
1433 |
IZINKAN |
Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet pribadi. Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
200 |
::/0 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
210 |
2001:db8:1234:1a01::/64 |
TCP |
22 |
IZINKAN |
Mengizinkan akses jalur keluar SSH ke instans-instans di subnet pribadi Anda (dari bastion SSH, jika Anda memilikinya). |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
150 |
2001:db8:1234:1a00::/64 |
TCP |
1433 |
IZINKAN |
Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet pribadi. Nomor port ini adalah contoh saja. Contoh-contoh lainnya termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
170 |
2001:db8:1234:1a00::/64 |
TCP |
22 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk SSH dari benteng SSH di subnet publik (jika berlaku). |
|
180 |
2001:db8:1234:1a00::/64 |
TCP |
3389 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk RDP dari gateway Microsoft Terminal Services di subnet publik, jika berlaku. |
|
190 |
::/0 |
TCP |
1024-65535 |
IZINKAN |
Mengizinkan lalu lintas kembali jalur masuk dari gateway internet khusus keluar atas permintaan yang berasal dari subnet pribadi. Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
130 |
::/0 |
TCP |
80 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet. |
|
140 |
::/0 |
TCP |
443 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet. |
|
150 |
2001:db8:1234:1a00::/64 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar ke subnet publik (misalnya, respon ke server web di subnet publik yang berkomunikasi dengan server DB di subnet pribadi). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
