VPC dengan subnet publik dan privat dan akses AWS Site-to-Site VPN - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

VPC dengan subnet publik dan privat dan akses AWS Site-to-Site VPN

Konfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik dan subnet privat, dan virtual private gateway untuk mengaktifkan komunikasi dengan jaringan Anda sendiri melalui terowongan IPsec VPN. Kami merekomendasikan skenario ini jika Anda ingin memperpanjang jaringan Anda ke cloud dan juga mengakses secara langsung internet dari VPC Anda. Skenario ini memungkinkan Anda untuk menjalankan aplikasi multi-tier dengan front end web yang dapat diperluas di subnet publik, dan mewadahi data Anda di subnet pribadi yang terhubung ke jaringan Anda menggunakan koneksi AWS Site-to-Site VPN IPsec.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6. Instans-instans yang diluncurkan ke dalam subnet dapat menerima alamat IPv6. Kami tidak men-support komunikasi IPv6 melalui koneksi Site-to-Site VPN pada virtual private gateway; Namun, instans-instans di VPC dapat berkomunikasi satu sama lain melalui IPv6, dan instans-instans di subnet publik dapat berkomunikasi melalui internet dengan perantara IPv6. Untuk informasi selengkapnya tentang penetapan alamat IPv4 dan IPv6, lihat Pembuatan alamat IP.

Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak pada instance Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Gambaran Umum

Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini.


				Diagram untuk skenario 3: VPC dengan subnet publik dan privat dan akses VPN
penting

Untuk skenario ini, lihat Perangkat gateway pelanggan Anda di Panduan Pengguna AWS Site-to-Site VPN untuk informasi tentang konfigurasi perangkat gateway pelanggan di sisi koneksi Site-to-Site VPN Anda.

Konfigurasi untuk skenario ini mencakup hal berikut:

  • Sebuah virtual private cloud (VPC) dengan CIDR IPv4 ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan 65.536 alamat IPv4 pribadi.

  • Sebuah subnet publik dengan CIDR IPv4 ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi. Subnet publik adalah subnet yang dikaitkan dengan tabel rute yang memiliki rute ke gateway internet.

  • Sebuah subnet khusus VPN dengan CIDR IPv4 ukuran /24 (contoh: 10.0.1.0/24). Subnet ini menyediakan 256 alamat IPv4 pribadi.

  • Gateway internet. Gateway internet menghubungkan VPC ke internet dan ke produk AWS yang lain.

  • Koneksi Site-to-Site VPN antara VPC Anda dan jaringan Anda. Koneksi Site-to-Site VPN terdiri dari virtual private gateway yang terletak di Amazon bagian koneksi Site-to-Site VPN dan gateway pelanggan yang terletak di bagian koneksi Site-to-Site VPN.

  • Instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.5 dan 10.0.1.5), yang memungkinkan instans untuk berkomunikasi satu sama lain dan instans lainnya di VPC.

  • Instans dalam subnet publik dengan alamat IP Elastis (contoh: 198.51.100.1), yakni alamat IPv4 publik yang memungkinkan alamat-alamat tersebut dijangkau dari internet. Instans-intans dapat memiliki alamat IPv4 publik yang ditetapkan pada peluncuran sebagai ganti alamat IP Elastis. Instans-instans di subnet khusus VPN adalah server back-end yang tidak perlu menerima lalu lintas masuk dari internet, tetapi dapat mengirim dan menerima lalu lintas dari jaringan Anda.

  • Tabel rute kustom yang dikaitkan dengan subnet publik. Tabel rute ini berisi sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC, dan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi secara langsung dengan internet.

  • Tabel rute utama yang dikaitkan dengan subnet khusus VPN. Tabel rute berisi entri yang mengizinkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC, dan entri yang mengizinkan instans-instan di subnet untuk berkomunikasi secara langsung dengan jaringan Anda.

Untuk informasi selengkapnya, lihat Subnet. Untuk informasi selengkapnya tentang gateway internet, lihat Connect ke internet menggunakan gateway internet. Untuk informasi lebih lanjut tentangAWS Site-to-Site VPNkoneksi, lihatAWS Site-to-Site VPNPanduan Pengguna.

Gambaran umum untuk IPv6

Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut ini:

  • Blok CIDR IPv6 ukuran /56 dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). AWS secara otomatis menetapkan CIDR; Anda tidak dapat memilih rentang sendiri.

  • Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet publik (contoh: 2001:db8:1234:1a00::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran CIDR IPv6.

  • Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet khusus VPN (contoh: 2001:db8:1234:1a01::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran CIDR IPv6.

  • Alamat IPv6 ditugaskan ke instans-instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).

  • Entri-entri tabel rute dalam tabel rute kustom memungkinkan instans-instans di subnet publik untuk menggunakan IPv6 untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.

  • Entri tabel rute dalam tabel rute utama memungkinkan instans-instans di subnet khusus VPN untuk menggunakan IPv6 untuk berkomunikasi dengan satu sama lain.

Server web di subnet publik memiliki alamat berikut.

Server Alamat IPv4 Alamat IP elastis Alamat IPv6

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Server basis data di subnet pribadi memiliki alamat berikut.

Server Alamat IPv4 Alamat IPv6

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Perutean

VPC Anda memiliki router tersirat (ditampilkan dalam diagram konfigurasi untuk skenario ini). Dalam skenario ini, Amazon VPC memperbarui tabel rute utama yang digunakan dengan subnet khusus VPN, dan menciptakan tabel rute kustom dan mengaitkannya dengan subnet publik.

Instans-instans di subnet khusus VPN tidak dapat menjangkau internet secara langsung; setiap lalu lintas terikat internet harus terlebih dahulu melintasi virtual private gateway ke jaringan Anda, di mana lalu lintas tunduk pada kebijakan firewall dan keamanan perusahaan Anda. Jika instans mengirimkan lalu lintas terikat AWS (misalnya, permintaan ke Amazon S3 atau API Amazon EC2), permintaan harus pergi melalui virtual private gateway ke jaringan Anda dan kemudian keluar ke internet sebelum menjangkau AWS.

Tip

Setiap lalu lintas dari jaringan Anda berangkat menuju alamat IP Elastis karena instans di subnet publik berjalan melalui internet, dan tidak melalui virtual private gateway. Anda dapat sebaliknya mengatur sebuah rute dan grup keamanan yang mengaktifkan lalu lintas berasal dari jaringan Anda melalui virtual private gateway ke subnet publik.

Koneksi Site-to-Site VPN dikonfigurasi sebagai koneksi Site-to-Site VPN yang dirutekan secara statis atau koneksi Site-to-Site VPN yang dirutekan secara dinamis (menggunakan BGP). Jika Anda memilih perutean statis, Anda akan diminta untuk secara manual memasukkan prefiks IP untuk jaringan Anda saat membuat sambungan Site-to-Site VPN. Jika Anda memilih perutean dinamis, prefiks IP diedarkan secara otomatis ke virtual private gateway untuk VPC Anda menggunakan BGP.

Tabel berikut menjelaskan tabel rute untuk skenario ini.

Tabel rute utama

Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC untuk berkomunikasi dengan satu sama lain melalui IPv4. Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnya dari subnet privat ke jaringan Anda melalui virtual private gateway (misalnya, vgw-1a2b3c4d).

Tujuan Target

10.0.0.0/16

lokal

0.0.0.0/0

vgw-id

Tabel rute kustom

Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di VPC untuk berkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnya dari subnet publik ke internet melalui gateway internet (misalnya, igw-1a2b3c4d).

Tujuan Target

10.0.0.0/16

lokal

0.0.0.0/0

igw-id

Perutean alternatif

Atau, jika Anda menginginkan instans-instans di subnet pribadi mengakses internet, Anda dapat membuat gateway atau instans penerjemahan alamat jaringan (NAT) di subnet publik, dan mengatur perutean sehingga lalu lintas yang terikat internet untuk subnet tersebut berangkat menuju perangkat NAT. Dengan melakukannya akan mengaktifkan instans di subnet khusus VPN untuk mengirimkan permintaan melalui gateway internet (misalnya, untuk pembaruan perangkat lunak).

Untuk informasi selengkapnya tentang mengatur perangkat NAT secara manual, lihat Connect ke internet atau jaringan lain menggunakan perangkat NAT.

Untuk mengaktifkan lalu lintas yang terikat internet milik subnet pribadi untuk menuju ke perangkat NAT, Anda harus memperbarui tabel rute utama sebagai berikut.

Entri pertama adalah entri default untuk perutean lokal di VPC. Entri kedua mengarahkan ikatan lalu lintas subnet untuk jaringan lokal Anda (pelanggan) ke virtual private gateway. Dalam contoh ini, asumsikan rentang alamat IP jaringan lokal Anda adalah 172.16.0.0/12. Entri ketiga mengirimkan semua lalu lintas subnet lainnya ke gateway NAT.

Tujuan Target

10.0.0.0/16

lokal

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

Perutean untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, Tabel rute Anda harus menyertakan rute terpisah untuk lalu lintas IPv6. Tabel berikut menunjukkan tabel rute untuk skenario ini jika Anda memilih untuk mengaktifkan komunikasi IPv6 di VPC Anda.

Tabel rute utama

Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6.

Tujuan Target

10.0.0.0/16

lokal

2001:db8:1234:1a00::/56

lokal

0.0.0.0/0

vgw-id

Tabel rute kustom

Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet.

Tujuan Target

10.0.0.0/16

lokal

2001:db8:1234:1a00::/56

lokal

0.0.0.0/0

igw-id

::/0

igw-id

Keamanan

AWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grup keamanan dan ACL jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untuk instans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda. Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi selengkapnya, lihat Privasi lalu lintas antar jaringan di Amazon VPC.

Untuk skenario 3, Anda akan menggunakan grup keamanan tetapi bukan jaringan ACL. Jika Anda ingin menggunakan ACL jaringan, lihat Aturan ACL jaringan yang direkomendasikan untuk sebuah VPC dengan subnet publik dan subnet privat dan akses AWS Site-to-Site VPN.

VPC Anda dilengkapi dengan Grup keamanan default. Instans yang diluncurkan ke dalam VPC secara otomatis terkait dengan grup keamanan default jika Anda tidak menentukan grup keamanan yang berbeda selama peluncuran. Untuk skenario ini, kami menyarankan Anda membuat grup keamanan berikut dan bukannya menggunakan grup keamanan default:

  • WebServerSG: Tentukan grup keamanan ini ketika Anda meluncurkan server web di subnet publik.

  • DBServersG: Tentukan grup keamanan ini ketika Anda meluncurkan server basis data di subnet khusus VPN.

Instans-instans yang ditetapkan ke grup keamanan dapat berada di subnet yang berbeda-beda. Namun, dalam skenario ini, setiap grup keamanan menyesuaikan dengan jenis peran yang sebuah instans mainkan, dan setiap peran memerlukan instans untuk berada di subnet tertentu. Oleh karena itu, dalam skenario ini, semua instans yang ditetapkan ke grup keamanan berada di subnet yang sama.

Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan WebServerSG, yang memungkinkan server web menerima lalu lintas internet, serta lalu lintas SSH dan RDP dari jaringan Anda. Web server juga dapat mulai membaca dan menulis permintaan ke server basis data di subnet khusus VPN, dan mengirimkan lalu lintas ke internet; misalnya, untuk mendapatkan pembaruan perangkat lunak. Karena server web tidak memulai komunikasi keluar lainnya, aturan jalur keluar default dihapus.

catatan

Grup ini termasuk akses SSH dan RDP, dan server Microsoft SQL Server dan akses MySQL. Untuk situasi Anda, Anda mungkin hanya memerlukan aturan untuk Linux (SSH dan MySQL) atau Windows (RDP dan Server Microsoft SQL).

Ke dalam
Sumber Protokol Rentang Port Komentar

0.0.0.0/0

TCP

80

Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv4 apa pun.

0.0.0.0/0

TCP

443

Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv4 apa pun.

Rentang alamat IP publik dari jaringan Anda

TCP

22

Mengizinkan akses jalur masuk SSH ke instans Linux dari jaringan Anda (melalui gateway internet).

Rentang alamat IP publik dari jaringan Anda

TCP

3389

Mengizinkan akses jalur masuk RDP ke instans Windows dari jaringan Anda (melalui gateway internet).

Ke luar

ID dari grup keamanan DBServerSG Anda

TCP

1433

Mengizinkan akses jalur keluar Server Microsoft SQL ke server basis data yang ditetapkan untuk DBServerSG.

ID dari grup keamanan DBServerSG Anda

TCP

3306

Mengizinkan akses jalur keluar MySQL ke server basis data yang ditetapkan untuk DBServerSG.

0.0.0.0/0

TCP

80

Mengizinkan akses jalur keluar HTTP ke internet.

0.0.0.0/0

TCP

443

Mengizinkan akses jalur keluar HTTPS ke internet.

Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan DBServerSG, yang memungkinkan Server Microsoft SQL dan MySQL membaca dan menulis permintaan dari server web dan lalu lintas SSH dan RDP dari jaringan Anda. Server basis data juga dapat memulai lalu lintas terikat untuk internet (tabel rute Anda mengirimkan lalu lintas tersebut melalui virtual private gateway).

Ke dalam
Sumber Protokol Rentang Port Comments

ID dari grup keamanan WebServerSG Anda

TCP

1433

Mengizinkan akses jalur masuk Server Microsoft SQL dari server web yang dikaitkan dengan grup keamanan WebServerSG.

ID dari grup keamanan WebServerSG Anda

TCP

3306

Mengizinkan akses jalur masuk Server MySQL dari server web yang dikaitkan dengan grup keamanan WebServerSG.

Rentang alamat IPv4 dari jaringan Anda

TCP

22

Mengizinkan lalu lintas jalur masuk SSH untuk instans Linux dari jaringan Anda (melalui virtual private gateway).

Rentang alamat IPv4 dari jaringan Anda

TCP

3389

Mengizinkan lalu lintas jalur masuk RDP ke instans-instans Windows dari jaringan Anda (melalui virtual private gateway).

Ke luar

Tujuan Protokol Rentang Port Komentar

0.0.0.0/0

TCP

80

Mengizinkan akses HTTP jalur keluar IPv4 ke internet (misalnya, untuk pembaruan perangkat lunak) melalui virtual private gateway.

0.0.0.0/0

TCP

443

Mengizinkan akses HTTPS jalur keluar IPv4 ke internet (misalnya, untuk pembaruan perangkat lunak) melalui virtual private gateway.

(Opsional) Grup keamanan default untuk VPC memiliki aturan yang secara otomatis mengizinkan instans-intsnas ditetapkan untuk saling berkomunikasi. Untuk mengizinkan jenis komunikasi untuk grup keamanan kustom, Anda harus menambahkan aturan berikut:

Ke dalam
Sumber Protokol Rentang Port Comments

ID grup keamanan

Semua

Semua

Mengizinkan lalu lintas jalur masuk dari instans lain yang ditetapkan untuk grup keamanan ini.

Ke luar
Tujuan Protokol Rentang Port Comments
The ID of the security group All All Allow outbound traffic to other instances assigned to this security group.

Aturan grup keamanan untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisah untuk grup keamanan WebServerSG dan DBServerSG untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untuk instans Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintas internet melalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6. Mereka juga dapat memulai lalu lintas jalur keluar IPv6 ke internet. Server basis data tidak dapat memulai lalu lintas jalur keluar IPv6 ke internet, sehingga tidak memerlukan aturan grup keamanan tambahan.

Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan-aturan yang tercantum di atas).

Ke dalam
Sumber Protokol Rentang Port Comments

::/0

TCP

80

Mengizinkan akses jalur masuk HTTP ke server web dari alamat IPv6 apa pun.

::/0

TCP

443

Mengizinkan akses jalur masuk HTTPS ke server web dari alamat IPv6 apa pun.

Rentang alamat IPv6 dari jaringan Anda

TCP

22

(Instans Linux) Mengizinkan akses jalur masuk SSH melalui IPv6 dari jaringan Anda.

Rentang alamat IPv6 dari jaringan Anda

TCP

3389

(Instans Windows) Mengizinkan akses jalur masuk RDP melalui IPv6 dari jaringan Anda

Ke luar
Tujuan Protokol Rentang Port Comments
::/0 TCP HTTP Allow outbound HTTP access to any IPv6 address.
::/0 TCP HTTPS Allow outbound HTTPS access to any IPv6 address.

Melaksanakan skenario 3

Untuk melaksanakan skenario 3, dapatkan informasi tentang gateway pelanggan Anda dan buat VPC.

Prosedur ini mencakup langkah-langkah opsional untuk mengaktifkan dan mengkonfigurasi komunikasi IPv6 untuk VPC Anda. Anda tidak harus menerapkan langkah-langkah ini jika Anda tidak ingin menggunakan IPv6 di VPC Anda.

Untuk menyiapkan gateway pelanggan Anda

  1. Tentukan perangkat yang akan Anda gunakan sebagai perangkat gateway pelanggan Anda. Untuk informasi selengkapnya, lihat Perangkat gateway pelanggan di Panduan Pengguna AWS Site-to-Site VPN .

  2. Mendapatkan alamat IP yang dapat dirutekan internet untuk antarmuka eksternal dari perangkat gateway pelanggan. Alamat tersebut harus bersifat statis dan mungkin berada di belakang perangkat yang melakukan penerjemahan alamat jaringan (NAT).

  3. Jika Anda ingin membuat koneksi Site-to-Site VPN yang diarahkan secara statis, carilah daftar rentang IP internal (dalam notasi CIDR) yang semestinya beredar di seluruh koneksi Site-to-Site VPN ke virtual private gateway. Untuk informasi selengkapnya, lihat Prioritas tabel rute dan rute VPN di AWS Site-to-Site VPN Panduan Pengguna.

Untuk informasi tentang cara menggunakan Amazon VPC dengan IPv6, lihatVPC yang mendukung pengalamatan IPv6.

Aturan ACL jaringan yang direkomendasikan untuk sebuah VPC dengan subnet publik dan subnet privat dan akses AWS Site-to-Site VPN

Untuk skenario ini Anda memiliki ACL jaringan untuk subnet publik, dan ACL jaringan terpisah untuk subnet khusus VPN. Tabel berikut menampilkan aturan-aturan yang kami sarankan untuk setiap ACL. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan.

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

100

0.0.0.0/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur masuk HTTP ke server web dari alamat IPv4 apa pun.

110

0.0.0.0/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur masuk HTTPS ke server web dari alamat IPv4 apa pun.

120

Rentang alamat IPv4 publik dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH ke server web dari jaringan rumah Anda (melalui gateway internet).

130

Rentang alamat IPv4 publik dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP ke server web dari jaringan rumah Anda (melalui gateway internet).

140

0.0.0.0/0

TCP

32765535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv4 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

100

0.0.0.0/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

110

0.0.0.0/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet.

120

10.0.1.0/24

TCP

1433

IZINKAN

Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet khusus VPN.

Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

140

0.0.0.0/0

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar IPv4 untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

100

10.0.0.0/24

TCP

1433

IZINKAN

Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet khusus VPN.

Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

120

Rentang alamat IPv4 pribadi dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH dari jaringan rumah (melalui virtual private gateway).

130

Rentang alamat IPv4 pribadi dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP dari jaringan rumah (melalui virtual private gateway).

140

Rentang alamat IP pribadi dari jaringan rumah Anda

TCP

32765535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari klien di jaringan rumah (melalui virtual private gateway).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

100

Rentang alamat IP pribadi dari jaringan rumah Anda

Semua

Semua

IZINKAN

Mengizinkan semua lalu lintas jalur keluar dari subnet ke jaringan rumah Anda (melalui virtual private gateway). Aturan ini juga mencakup aturan 120. Namun, Anda dapat membuat aturan ini lebih ketat dengan menggunakan jenis protokol dan nomor port tertentu. Jika Anda membuat aturan ini lebih ketat, Anda harus memasukkan aturan 120 di ACL jaringan Anda untuk memastikan bahwa respon keluar tidak diblokir.

110

10.0.0.0/24

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar ke server web di subnet publik.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

120

Rentang alamat IP pribadi dari jaringan rumah Anda

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar untuk klien di jaringan rumah (melalui virtual private gateway).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Aturan ACL jaringan yang disarankan untuk IPv6

Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan, Anda harus tambahkan aturan terpisah ke ACL jaringan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6.

Berikut ini adalah aturan-aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturan yang ada sebelumnya).

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

150

::/0

TCP

80

IZINKAN

Mengizinkan akses jalur masuk HTTP dari alamat IPv6 apa pun.

160

::/0

TCP

443

IZINKAN

Mengizinkan akses jalur masuk HTTPS dari alamat IPv6 apa pun.

170

Rentang alamat IPv6 dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH melalui IPv6 dari jaringan rumah Anda (melalui gateway internet).

180

Rentang alamat IPv6 dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP melalui IPv6 dari jaringan rumah Anda (melalui gateway internet).

190

::/0

TCP

1024-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari host di internet yang merespon ke permintaan yang berasal dari subnet.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

150

::/0

TCP

80

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTP dari subnet ke internet.

160

::/0

TCP

443

IZINKAN

Mengizinkan lalu lintas jalur keluar HTTPS dari subnet ke internet.

170

2001:db8:1234:1a01::/64

TCP

1433

IZINKAN

Mengizinkan akses jalur keluar MS SQL ke server basis data di subnet pribadi.

Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

190

::/0

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

150

2001:db8:1234:1a00::/64

TCP

1433

IZINKAN

Mengizinkan server web di subnet publik untuk membaca dan menulis ke server MS SQL di subnet pribadi.

Nomor port ini adalah contoh saja. Contoh lain termasuk 3306 untuk akses MySQL/Aurora, 5432 untuk akses PostgreSQL, 5439 untuk akses Amazon Redshift, dan 1521 untuk akses Oracle.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

130

2001:db8:1234:1a00::/64

TCP

32765535

IZINKAN

Mengizinkan respon jalur keluar ke subnet publik (misalnya, respon ke server web di subnet publik yang berkomunikasi dengan server DB di subnet pribadi).

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).