Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
VPC dengan subnet publik dan privat dan akses AWS Site-to-Site VPN
Konfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik dan subnet privat, dan virtual private gateway untuk mengaktifkan komunikasi dengan jaringan Anda sendiri melalui terowongan IPsec VPN. Kami merekomendasikan skenario ini jika Anda ingin memperpanjang jaringan Anda ke cloud dan juga mengakses secara langsung internet dari VPC Anda. Skenario ini memungkinkan Anda untuk menjalankan aplikasi multi-tier dengan front end web yang dapat diperluas di subnet publik, dan mewadahi data Anda di subnet pribadi yang terhubung ke jaringan Anda menggunakan koneksi AWS Site-to-Site VPN IPsec.
Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6. Instans-instans yang diluncurkan ke dalam subnet dapat menerima alamat IPv6. Kami tidak men-support komunikasi IPv6 melalui koneksi Site-to-Site VPN pada virtual private gateway; Namun, instans-instans di VPC dapat berkomunikasi satu sama lain melalui IPv6, dan instans-instans di subnet publik dapat berkomunikasi melalui internet dengan perantara IPv6. Untuk informasi selengkapnya tentang penetapan alamat IPv4 dan IPv6, lihat Pembuatan alamat IP.
Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak pada instance Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.
Daftar Isi
Gambaran Umum
Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini.
Untuk skenario ini, lihat Perangkat gateway pelanggan Anda di Panduan Pengguna AWS Site-to-Site VPN untuk informasi tentang konfigurasi perangkat gateway pelanggan di sisi koneksi Site-to-Site VPN Anda.
Konfigurasi untuk skenario ini mencakup hal berikut:
-
Sebuah virtual private cloud (VPC) dengan CIDR IPv4 ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan 65.536 alamat IPv4 pribadi.
-
Sebuah subnet publik dengan CIDR IPv4 ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi. Subnet publik adalah subnet yang dikaitkan dengan tabel rute yang memiliki rute ke gateway internet.
-
Sebuah subnet khusus VPN dengan CIDR IPv4 ukuran /24 (contoh: 10.0.1.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi.
-
Gateway internet. Gateway internet menghubungkan VPC ke internet dan ke produk AWS yang lain.
-
Koneksi Site-to-Site VPN antara VPC Anda dan jaringan Anda. Koneksi Site-to-Site VPN terdiri dari virtual private gateway yang terletak di Amazon bagian koneksi Site-to-Site VPN dan gateway pelanggan yang terletak di bagian koneksi Site-to-Site VPN.
-
Instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.5 dan 10.0.1.5), yang memungkinkan instans untuk berkomunikasi satu sama lain dan instans lainnya di VPC.
-
Instans dalam subnet publik dengan alamat IP Elastis (contoh: 198.51.100.1), yakni alamat IPv4 publik yang memungkinkan alamat-alamat tersebut dijangkau dari internet. Instans-intans dapat memiliki alamat IPv4 publik yang ditetapkan pada peluncuran sebagai ganti alamat IP Elastis. Instans-instans di subnet khusus VPN adalah server back-end yang tidak perlu menerima lalu lintas masuk dari internet, tetapi dapat mengirim dan menerima lalu lintas dari jaringan Anda.
-
Tabel rute kustom yang dikaitkan dengan subnet publik. Tabel rute ini berisi sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC, dan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi secara langsung dengan internet.
-
Tabel rute utama yang dikaitkan dengan subnet khusus VPN. Tabel rute berisi entri yang mengizinkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC, dan entri yang mengizinkan instans-instan di subnet untuk berkomunikasi secara langsung dengan jaringan Anda.
Untuk informasi selengkapnya, lihat Subnet. Untuk informasi selengkapnya tentang gateway internet, lihat Connect ke internet menggunakan gateway internet. Untuk informasi lebih lanjut tentangAWS Site-to-Site VPNkoneksi, lihatAWS Site-to-Site VPNPanduan Pengguna.
Gambaran umum untuk IPv6
Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut ini:
-
Blok CIDR IPv6 ukuran /56 dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). AWS secara otomatis menetapkan CIDR; Anda tidak dapat memilih rentang sendiri.
-
Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet publik (contoh: 2001:db8:1234:1a00::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran CIDR IPv6.
-
Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet khusus VPN (contoh: 2001:db8:1234:1a01::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran CIDR IPv6.
-
Alamat IPv6 ditugaskan ke instans-instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).
-
Entri-entri tabel rute dalam tabel rute kustom memungkinkan instans-instans di subnet publik untuk menggunakan IPv6 untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.
-
Entri tabel rute dalam tabel rute utama memungkinkan instans-instans di subnet khusus VPN untuk menggunakan IPv6 untuk berkomunikasi dengan satu sama lain.
Server web di subnet publik memiliki alamat berikut.
| Server | Alamat IPv4 | Alamat IP elastis | Alamat IPv6 |
|---|---|---|---|
|
1 |
10.0.0.5 |
198.51.100.1 | 2001:db8:1234:1a00::1a |
|
2 |
10.0.0.6 |
198.51.100.2 | 2001:db8:1234:1a00::2b |
| 3 | 10.0.0.7 | 198.51.100.3 | 2001:db8:1234:1a00::3c |
Server basis data di subnet pribadi memiliki alamat berikut.
| Server | Alamat IPv4 | Alamat IPv6 |
|---|---|---|
|
1 |
10.0.1.5 |
2001:db8:1234:1a01::1a |
|
2 |
10.0.1.6 |
2001:db8:1234:1a01::2b |
| 3 | 10.0.1.7 | 2001:db8:1234:1a01::3c |
Perutean
VPC Anda memiliki router tersirat (ditampilkan dalam diagram konfigurasi untuk skenario ini). Dalam skenario ini, Amazon VPC memperbarui tabel rute utama yang digunakan dengan subnet khusus VPN, dan menciptakan tabel rute kustom dan mengaitkannya dengan subnet publik.
Instans-instans di subnet khusus VPN tidak dapat menjangkau internet secara langsung; setiap lalu lintas terikat internet harus terlebih dahulu melintasi virtual private gateway ke jaringan Anda, di mana lalu lintas tunduk pada kebijakan firewall dan keamanan perusahaan Anda. Jika instans mengirimkan lalu lintas terikat AWS (misalnya, permintaan ke Amazon S3 atau API Amazon EC2), permintaan harus pergi melalui virtual private gateway ke jaringan Anda dan kemudian keluar ke internet sebelum menjangkau AWS.
Setiap lalu lintas dari jaringan Anda berangkat menuju alamat IP Elastis karena instans di subnet publik berjalan melalui internet, dan tidak melalui virtual private gateway. Anda dapat sebaliknya mengatur sebuah rute dan grup keamanan yang mengaktifkan lalu lintas berasal dari jaringan Anda melalui virtual private gateway ke subnet publik.
Koneksi Site-to-Site VPN dikonfigurasi sebagai koneksi Site-to-Site VPN yang dirutekan secara statis atau koneksi Site-to-Site VPN yang dirutekan secara dinamis (menggunakan BGP). Jika Anda memilih perutean statis, Anda akan diminta untuk secara manual memasukkan prefiks IP untuk jaringan Anda saat membuat sambungan Site-to-Site VPN. Jika Anda memilih perutean dinamis, prefiks IP diedarkan secara otomatis ke virtual private gateway untuk VPC Anda menggunakan BGP.
Tabel berikut menjelaskan tabel rute untuk skenario ini.
Tabel rute utama
Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC untuk berkomunikasi dengan satu sama lain melalui IPv4. Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnya dari subnet privat ke jaringan Anda melalui virtual private gateway (misalnya, vgw-1a2b3c4d).
| Tujuan | Target |
|---|---|
|
|
lokal |
|
|
vgw-id |
Tabel rute kustom
Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC untuk berkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnya dari subnet publik ke internet melalui gateway internet (misalnya, igw-1a2b3c4d).
| Tujuan | Target |
|---|---|
|
|
lokal |
|
|
igw-id |
Perutean alternatif
Atau, jika Anda menginginkan instans-instans di subnet pribadi mengakses internet, Anda dapat membuat gateway atau instans penerjemahan alamat jaringan (NAT) di subnet publik, dan mengatur perutean sehingga lalu lintas yang terikat internet untuk subnet tersebut berangkat menuju perangkat NAT. Dengan melakukannya akan mengaktifkan instans di subnet khusus VPN untuk mengirimkan permintaan melalui gateway internet (misalnya, untuk pembaruan perangkat lunak).
Untuk informasi selengkapnya tentang mengatur perangkat NAT secara manual, lihat Connect ke internet atau jaringan lain menggunakan perangkat NAT.
Untuk mengaktifkan lalu lintas yang terikat internet milik subnet pribadi untuk menuju ke perangkat NAT, Anda harus memperbarui tabel rute utama sebagai berikut.
Entri pertama adalah entri default untuk perutean lokal di VPC. Entri kedua mengarahkan ikatan lalu lintas subnet untuk jaringan lokal Anda (pelanggan) ke virtual private gateway. Dalam contoh ini, asumsikan rentang alamat IP jaringan lokal Anda adalah 172.16.0.0/12. Entri ketiga mengirimkan semua lalu lintas subnet lainnya ke gateway NAT.
| Tujuan | Target |
|---|---|
|
|
lokal |
|
|
vgw-id |
|
|
nat-gateway-id |
Perutean untuk IPv6
Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, Tabel rute Anda harus menyertakan rute terpisah untuk lalu lintas IPv6. Tabel berikut menunjukkan tabel rute untuk skenario ini jika Anda memilih untuk mengaktifkan komunikasi IPv6 di VPC Anda.
Tabel rute utama
Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6.
| Tujuan | Target |
|---|---|
|
10.0.0.0/16 |
lokal |
|
2001:db8:1234:1a00::/56 |
lokal |
|
0.0.0.0/0 |
vgw-id |
Tabel rute kustom
Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet.
| Tujuan | Target |
|---|---|
|
10.0.0.0/16 |
lokal |
|
2001:db8:1234:1a00::/56 |
lokal |
|
0.0.0.0/0 |
igw-id |
|
::/0 |
igw-id |
Keamanan
AWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grup keamanan dan ACL jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untuk instans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda. Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi selengkapnya, lihat Privasi lalu lintas antar jaringan di Amazon VPC.
Untuk skenario 3, Anda akan menggunakan grup keamanan tetapi bukan jaringan ACL. Jika Anda ingin menggunakan ACL jaringan, lihat Aturan ACL jaringan yang direkomendasikan untuk sebuah VPC dengan subnet publik dan subnet privat dan akses AWS Site-to-Site VPN.
VPC Anda dilengkapi dengan Grup keamanan default. Instans yang diluncurkan ke dalam VPC secara otomatis terkait dengan grup keamanan default jika Anda tidak menentukan grup keamanan yang berbeda selama peluncuran. Untuk skenario ini, kami menyarankan Anda membuat grup keamanan berikut dan bukannya menggunakan grup keamanan default:
-
WebServerSG: Tentukan grup keamanan ini ketika Anda meluncurkan server web di subnet publik.
-
DBServersG: Tentukan grup keamanan ini ketika Anda meluncurkan server basis data di subnet khusus VPN.
Instans-instans yang ditetapkan ke grup keamanan dapat berada di subnet yang berbeda-beda. Namun, dalam skenario ini, setiap grup keamanan menyesuaikan dengan jenis peran yang sebuah instans mainkan, dan setiap peran memerlukan instans untuk berada di subnet tertentu. Oleh karena itu, dalam skenario ini, semua instans yang ditetapkan ke grup keamanan berada di subnet yang sama.
Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan WebServerSG, yang memungkinkan server web menerima lalu lintas internet, serta lalu lintas SSH dan RDP dari jaringan Anda. Web server juga dapat mulai membaca dan menulis permintaan ke server basis data di subnet khusus VPN, dan mengirimkan lalu lintas ke internet; misalnya, untuk mendapatkan pembaruan perangkat lunak. Karena server web tidak memulai komunikasi keluar lainnya, aturan jalur keluar default dihapus.
Grup ini termasuk akses SSH dan RDP, dan server Microsoft SQL Server dan akses MySQL. Untuk situasi Anda, Anda mungkin hanya memerlukan aturan untuk Linux (SSH dan MySQL) atau Windows (RDP dan Server Microsoft SQL).
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Komentar |
|
0.0.0.0/0 |
TCP |
80 |
Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv4 apa pun. |
|
0.0.0.0/0 |
TCP |
443 |
Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv4 apa pun. |
|
Rentang alamat IP publik dari jaringan Anda |
TCP |
22 |
Mengizinkan akses jalur masuk SSH ke instans Linux dari jaringan Anda (melalui gateway internet). |
|
Rentang alamat IP publik dari jaringan Anda |
TCP |
3389 |
Mengizinkan akses jalur masuk RDP ke instans Windows dari jaringan Anda (melalui gateway internet). |
|
Ke luar |
|||
|
ID dari grup keamanan DBServerSG Anda |
TCP |
1433 |
Mengizinkan akses jalur keluar Server Microsoft SQL ke server basis data yang ditetapkan untuk DBServerSG. |
|
ID dari grup keamanan DBServerSG Anda |
TCP |
3306 |
Mengizinkan akses jalur keluar MySQL ke server basis data yang ditetapkan untuk DBServerSG. |
|
0.0.0.0/0 |
TCP |
80 |
Mengizinkan akses jalur keluar HTTP ke internet. |
|
0.0.0.0/0 |
TCP |
443 |
Mengizinkan akses jalur keluar HTTPS ke internet. |
Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan DBServerSG, yang memungkinkan Server Microsoft SQL dan MySQL membaca dan menulis permintaan dari server web dan lalu lintas SSH dan RDP dari jaringan Anda. Server basis data juga dapat memulai lalu lintas terikat untuk internet (tabel rute Anda mengirimkan lalu lintas tersebut melalui virtual private gateway).
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Comments |
|
ID dari grup keamanan WebServerSG Anda |
TCP |
1433 |
Mengizinkan akses jalur masuk Server Microsoft SQL dari server web yang dikaitkan dengan grup keamanan WebServerSG. |
|
ID dari grup keamanan WebServerSG Anda |
TCP |
3306 |
Mengizinkan akses jalur masuk Server MySQL dari server web yang dikaitkan dengan grup keamanan WebServerSG. |
|
Rentang alamat IPv4 dari jaringan Anda |
TCP |
22 |
Mengizinkan lalu lintas jalur masuk SSH untuk instans Linux dari jaringan Anda (melalui virtual private gateway). |
|
Rentang alamat IPv4 dari jaringan Anda |
TCP |
3389 |
Mengizinkan lalu lintas jalur masuk RDP ke instans-instans Windows dari jaringan Anda (melalui virtual private gateway). |
|
Ke luar |
|||
| Tujuan | Protokol | Rentang Port | Komentar |
|
0.0.0.0/0 |
TCP |
80 |
Mengizinkan akses HTTP jalur keluar IPv4 ke internet (misalnya, untuk pembaruan perangkat lunak) melalui virtual private gateway. |
|
0.0.0.0/0 |
TCP |
443 |
Mengizinkan akses HTTPS jalur keluar IPv4 ke internet (misalnya, untuk pembaruan perangkat lunak) melalui virtual private gateway. |
(Opsional) Grup keamanan default untuk VPC memiliki aturan yang secara otomatis mengizinkan instans-intsnas ditetapkan untuk saling berkomunikasi. Untuk mengizinkan jenis komunikasi untuk grup keamanan kustom, Anda harus menambahkan aturan berikut:
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Comments |
|
ID grup keamanan |
Semua |
Semua |
Mengizinkan lalu lintas jalur masuk dari instans lain yang ditetapkan untuk grup keamanan ini. |
| Ke luar | |||
| Tujuan | Protokol | Rentang Port | Comments |
| The ID of the security group | All | All | Allow outbound traffic to other instances assigned to this security group. |
Aturan grup keamanan untuk IPv6
Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisah untuk grup keamanan WebServerSG dan DBServerSG untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untuk instans Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintas internet melalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6. Mereka juga dapat memulai lalu lintas jalur keluar IPv6 ke internet. Server basis data tidak dapat memulai lalu lintas jalur keluar IPv6 ke internet, sehingga tidak memerlukan aturan grup keamanan tambahan.
Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan-aturan yang tercantum di atas).
| Ke dalam | |||
|---|---|---|---|
| Sumber | Protokol | Rentang Port | Comments |
|
::/0 |
TCP |
80 |
Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv6 apa pun. |
|
::/0 |
TCP |
443 |
Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv6 apa pun. |
|
Rentang alamat IPv6 dari jaringan Anda |
TCP |
22 |
(Instans Linux) Mengizinkan akses jalur masuk SSH melalui IPv6 dari jaringan Anda. |
|
Rentang alamat IPv6 dari jaringan Anda |
TCP |
3389 |
(Instans Windows) Mengizinkan akses jalur masuk RDP melalui IPv6 dari jaringan Anda |
| Ke luar | |||
| Tujuan | Protokol | Rentang Port | Comments |
| ::/0 | TCP | HTTP | Allow outbound HTTP access to any IPv6 address. |
| ::/0 | TCP | HTTPS | Allow outbound HTTPS access to any IPv6 address. |
Melaksanakan skenario 3
Untuk melaksanakan skenario 3, dapatkan informasi tentang gateway pelanggan Anda dan buat VPC.
Prosedur ini mencakup langkah-langkah opsional untuk mengaktifkan dan mengkonfigurasi komunikasi IPv6 untuk VPC Anda. Anda tidak harus menerapkan langkah-langkah ini jika Anda tidak ingin menggunakan IPv6 di VPC Anda.
Untuk menyiapkan gateway pelanggan Anda
-
Tentukan perangkat yang akan Anda gunakan sebagai perangkat gateway pelanggan Anda. Untuk informasi selengkapnya, lihat Perangkat gateway pelanggan di Panduan Pengguna AWS Site-to-Site VPN .
-
Mendapatkan alamat IP yang dapat dirutekan internet untuk antarmuka eksternal dari perangkat gateway pelanggan. Alamat tersebut harus bersifat statis dan mungkin berada di belakang perangkat yang melakukan penerjemahan alamat jaringan (NAT).
-
Jika Anda ingin membuat koneksi Site-to-Site VPN yang diarahkan secara statis, carilah daftar rentang IP internal (dalam notasi CIDR) yang semestinya beredar di seluruh koneksi Site-to-Site VPN ke virtual private gateway. Untuk informasi selengkapnya, lihat Prioritas tabel rute dan rute VPN di AWS Site-to-Site VPN Panduan Pengguna.
Untuk informasi tentang cara menggunakan Amazon VPC dengan IPv6, lihatVPC yang mendukung pengalamatan IPv6.
Aturan ACL jaringan yang direkomendasikan untuk sebuah VPC dengan subnet publik dan subnet privat dan akses AWS Site-to-Site VPN
Untuk skenario ini Anda memiliki ACL jaringan untuk subnet publik, dan ACL jaringan terpisah untuk subnet khusus VPN. Tabel berikut menampilkan aturan-aturan yang kami sarankan untuk setiap ACL. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan.
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
0.0.0.0/0 |
TCP |
80 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk HTTP ke server web dari alamat IPv4 apa pun. |
|
110 |
0.0.0.0/0 |
TCP |
443 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk HTTPS ke server web dari alamat IPv4 apa pun. |
|
120 |
Rentang alamat IPv4 publik dari jaringan rumah Anda |
TCP |
22 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk SSH ke server web dari jaringan rumah Anda (melalui gateway internet). |
|
130 |
Rentang alamat IPv4 publik dari jaringan rumah Anda |
TCP |
3389 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk RDP ke server web dari jaringan rumah Anda (melalui gateway internet). |
|
140 |
0.0.0.0/0 |
TCP |
32765535 |
IZINKAN |
Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet. Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
0.0.0.0/0 |
TCP |
80 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet. |
|
110 |
0.0.0.0/0 |
TCP |
443 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet. |
|
120 |
10.0.1.0/24 |
TCP |
1433 |
IZINKAN |
Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet khusus VPN. Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
140 |
0.0.0.0/0 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar IPv4 untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
10.0.0.0/24 |
TCP |
1433 |
IZINKAN |
Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet khusus VPN. Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
120 |
Rentang alamat IPv4 pribadi dari jaringan rumah Anda |
TCP |
22 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk SSH dari jaringan rumah (melalui virtual private gateway). |
|
130 |
Rentang alamat IPv4 pribadi dari jaringan rumah Anda |
TCP |
3389 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk RDP dari jaringan rumah (melalui virtual private gateway). |
|
140 |
Rentang alamat IP pribadi dari jaringan rumah Anda |
TCP |
32765535 |
IZINKAN |
Mengizinkan lalu lintas kembali jalur masuk dari klien di jaringan rumah (melalui virtual private gateway). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
100 |
Rentang alamat IP pribadi dari jaringan rumah Anda |
Semua |
Semua |
IZINKAN |
Mengizinkan semua lalu lintas jalur keluar dari subnet ke jaringan rumah Anda (melalui virtual private gateway). Aturan ini juga mencakup aturan 120. Namun, Anda dapat membuat aturan ini lebih ketat dengan menggunakan jenis protokol dan nomor port tertentu. Jika Anda membuat aturan ini lebih ketat, Anda harus memasukkan aturan 120 di ACL jaringan Anda untuk memastikan bahwa respon keluar tidak diblokir. |
|
110 |
10.0.0.0/24 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar ke server web di subnet publik. Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
120 |
Rentang alamat IP pribadi dari jaringan rumah Anda |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar untuk klien di jaringan rumah (melalui virtual private gateway). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
0.0.0.0/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
Aturan ACL jaringan yang disarankan untuk IPv6
Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan, Anda harus tambahkan aturan terpisah ke ACL jaringan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6.
Berikut ini adalah aturan-aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturan yang ada sebelumnya).
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
150 |
::/0 |
TCP |
80 |
IZINKAN |
Mengizinkan akses jalur masuk HTTP dari alamat IPv6 apa pun. |
|
160 |
::/0 |
TCP |
443 |
IZINKAN |
Mengizinkan akses jalur masuk HTTPS dari alamat IPv6 apa pun. |
|
170 |
Rentang alamat IPv6 dari jaringan rumah Anda |
TCP |
22 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk SSH melalui IPv6 dari jaringan rumah Anda (melalui gateway internet). |
|
180 |
Rentang alamat IPv6 dari jaringan rumah Anda |
TCP |
3389 |
IZINKAN |
Mengizinkan lalu lintas jalur masuk RDP melalui IPv6 dari jaringan rumah Anda (melalui gateway internet). |
|
190 |
::/0 |
TCP |
1024-65535 |
IZINKAN |
Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet. Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
150 |
::/0 |
TCP |
80 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet. |
|
160 |
::/0 |
TCP |
443 |
IZINKAN |
Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet. |
|
170 |
2001:db8:1234:1a01::/64 |
TCP |
1433 |
IZINKAN |
Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet pribadi. Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
190 |
::/0 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Inbound | |||||
|---|---|---|---|---|---|
| Aturan | IP sumber | Protokol | Port | Izinkan/Tolak | Comments |
|
150 |
2001:db8:1234:1a00::/64 |
TCP |
1433 |
IZINKAN |
Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet pribadi. Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle. |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
| Outbound | |||||
| Aturan | IP Tujuan | Protokol | Port | Izinkan/Tolak | Comments |
|
130 |
2001:db8:1234:1a00::/64 |
TCP |
32765535 |
IZINKAN |
Mengizinkan respon jalur keluar ke subnet publik (misalnya, respon ke server web di subnet publik yang berkomunikasi dengan server DB di subnet pribadi). Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port. |
|
* |
::/0 |
Semua |
Semua |
MENOLAK |
Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi). |
