VPC dengan subnet khusus privat dan akses AWS Site-to-Site VPN - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

VPC dengan subnet khusus privat dan akses AWS Site-to-Site VPN

Konfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet privat tunggal, dan virtual private gateway untuk mengaktifkan komunikasi dengan jaringan Anda sendiri melalui terowongan IPsec VPN. Tidak ada gateway internet untuk mengaktifkan komunikasi melalui internet. Kami merekomendasikan skenario ini jika Anda ingin memperluas jaringan Anda ke cloud menggunakan infrastruktur Amazon tanpa mengekspos jaringan Anda ke internet.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6. Instans-instans yang diluncurkan ke dalam subnet dapat menerima alamat IPv6. Kami tidak men-support komunikasi IPv6 melalui koneksi AWS Site-to-Site VPN pada virtual private gateway; Namun, instans-instas di VPC dapat berkomunikasi satu sama lain dengan perantara IPv6. Untuk informasi selengkapnya tentang penetapan alamat IPv4 dan IPv6, lihat Pembuatan alamat IP.

Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak pada instans Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Gambaran Umum

Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini.


	      Diagram untuk skenario 4: VPC dengan gateway privat virtual
penting

Untuk skenario ini, lihat Perangkat gateway pelanggan untuk mengonfigurasi perangkat gateway pelanggan di sisi koneksi Site-to-Site VPN Anda.

Konfigurasi untuk skenario ini mencakup hal berikut:

  • Sebuah virtual private cloud (VPC) dengan CIDR ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan 65.536 alamat IP pribadi.

  • Sebuah subnet khusus VPN dengan CIDR ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256 alamat IP pribadi.

  • Koneksi Site-to-Site VPN antara VPC dan jaringan Anda. Koneksi Site-to-Site VPN terdiri dari virtual private gateway yang terletak di Amazon bagian koneksi Site-to-Site VPN dan gateway pelanggan yang terletak di bagian koneksi Site-to-Site VPN.

  • Instans-instans dengan alamat-alamat IP pribadi di rentang subnet (contoh: 10.0.0.5, 10.0.0.6, dan 10.0.0.7), yang memungkinkan instans-instans untuk berkomunikasi satu sama lain dan instans-instans lain di VPC tersebut.

  • Tabel rute utama berisi rute yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC. Propagasi rute diaktifkan, sehingga rute yang mengaktifkan instans-instans di subnet untuk berkomunikasi secara langsung dengan jaringan Anda muncul sebagai rute yang disebar di tabel rute utama.

Untuk informasi selengkapnya, lihat Subnet. Untuk informasi lebih lanjut tentang koneksi Site-to-Site VPN, lihatAWS Site-to-Site VPNPanduan Pengguna. Untuk informasi selengkapnya tentang konfigurasi perangkat gateway pelanggan, lihat perangkat gateway pelanggan.

Gambaran umum untuk IPv6

Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut ini:

  • Blok CIDR IPv6 ukuran /56 dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). AWS secara otomatis menetapkan CIDR; Anda tidak dapat memilih rentang Anda sendiri.

  • Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet khusus VPN (contoh: 2001:db8:1234:1a00::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapat memilih ukuran CIDR IPv6.

  • Alamat IPv6 ditetapkan ke instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).

  • Entri tabel rute di tabel rute utama mengaktifkan instans-instans di subnet pribadi untuk menggunakan IPv6 untuk berkomunikasi satu sama lain.

Perutean

VPC Anda memiliki router tersirat (ditampilkan dalam diagram konfigurasi untuk skenario ini). Dalam skenario ini, Amazon VPC membuat tabel rute yang ditujukan ke alamat di luar VPCAWS Site-to-Site VPNkoneksi, dan mengaitkan tabel rute dengan subnet.

Berikut ini menjelaskan tabel rute untuk skenario ini. Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans di dalam VPC ini untuk berkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet lainnya ke virtual private gateway (misalnya, vgw-1a2b3c4d).

Tujuan Target

10.0.0.0/16

lokal

0.0.0.0/0

vgw-id

Koneksi AWS Site-to-Site VPN dikonfigurasi sebagai koneksi Site-toSite VPN yang diarahkan secara statis atau sebagai koneksi Site-to-Site VPN yang diarahkan secara dinamis (menggunakan BGP). Jika Anda memilih perutean statis, Anda akan diminta untuk secara manual memasukkan prefiks IP untuk jaringan Anda ketika Anda membuat sambungan Site-to-Site VPN. Jika Anda memilih perutean dinamis, prefiks IP diedarkan secara otomatis ke VPC Anda melalui BGP.

Instans-instans di VPC Anda tidak dapat menjangkau internet secara langsung; lalu lintas yang terikat internet harus terlebih dahulu melintasi virtual private gateway ke jaringan Anda, tempat lalu lintas harus tunduk pada firewall dan kebijakan keamanan perusahaan Anda. Jika instans-instans mengirimkan lalu lintas terkait AWS (misalnya, permintaan ke Amazon S3 atau Amazon EC2), permintaan harus melalui virtual private gateway ke jaringan Anda dan kemudian ke internet sebelum mencapai AWS.

Perutean untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, tabel rute Anda memasukkan rute terpisah untuk lalu lintas IPv6. Hal berikut ini menjelaskan tabel rute kustom untuk skenario ini. Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6.

Tujuan Target

10.0.0.0/16

lokal

2001:db8:1234:1a00::/56

lokal

0.0.0.0/0

vgw-id

Keamanan

AWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grup keamanan dan ACL jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untuk instans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda. Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi selengkapnya, lihat Privasi lalu lintas antar jaringan di Amazon VPC.

Untuk skenario 4, Anda akan menggunakan grup keamanan default untuk VPC Anda tetapi bukan ACL jaringan. Jika Anda ingin menggunakan ACL jaringan, lihat Aturan ACL jaringan yang disarankan untuk VPC dengan subnet privat saja dan akses AWS Site-to-Site VPN.

VPC Anda dilengkapi dengan grup keamanan default yang pengaturan awalnya menolak semua lalu lintas jalur masuk, mengizinkan semua lalu lintas jalur keluar, dan mengizinkan semua lalu lintas antar instans yang ditetapkan ke grup keamanan. Untuk skenario ini, kami menyarankan Anda menambahkan aturan jalur masuk ke grup keamanan default untuk mengizinkan lalu lintas SSH (Linux) dan lalu lintas Desktop jarak jauh (Windows) dari jaringan Anda.

penting

Grup keamanan default secara otomatis mengizinkan instans yang ditetapkan untuk berkomunikasi satu sama lain, sehingga Anda tidak perlu menambahkan aturan untuk mengizinkannya. Jika Anda menggunakan grup keamanan yang berbeda, Anda harus menambahkan aturan untuk mengizinkannya.

Tabel berikut ini menjelaskan aturan jalur masuk yang Anda harus tambahkan ke grup keamanan default untuk VPC Anda.

Ke dalam
Sumber Protokol Rentang Port Comments

Rentang alamat IPv4 pribadi dari jaringan Anda

TCP

22

(Instans Linux) Mengizinkan lalu lintas jalur masuk SSH dari jaringan Anda.

Rentang alamat IPv4 pribadi dari jaringan Anda

TCP

3389

(Instans Windows) Mengizinkan lalu lintas jalur masuk RDP dari jaringan Anda.

Aturan grup keamanan untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisah ke grup keamanan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untuk instans Anda. Dalam skenario ini, server basis data tidak dapat dicapai melalui koneksi Site-to-Site VPN menggunakan IPv6; oleh karena itu, tidak ada aturan grup keamanan tambahan yang diperlukan.

Aturan ACL jaringan yang disarankan untuk VPC dengan subnet privat saja dan akses AWS Site-to-Site VPN

Tabel berikut menampilkan aturan-aturan yang kami sarankan. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan.

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

100

Rentang alamat IP pribadi dari jaringan rumah Anda

TCP

22

IZINKAN

Mengizinkan lalu lintas jalur masuk SSH ke subnet dari jaringan rumah Anda.

110

Rentang alamat IP pribadi dari jaringan rumah Anda

TCP

3389

IZINKAN

Mengizinkan lalu lintas jalur masuk RDP ke subnet dari jaringan rumah Anda.

120

Rentang alamat IP pribadi dari jaringan rumah Anda

TCP

32768-65535

IZINKAN

Mengizinkan lalu lintas kembali jalur masuk dari permintaan yang berasal dari subnet.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

100

Rentang alamat IP pribadi dari jaringan rumah Anda

Semua

Semua

IZINKAN

Mengizinkan semua lalu lintas jalur keluar dari subnet ke jaringan rumah Anda. Aturan ini juga mencakup aturan 120. Namun, Anda dapat membuat aturan ini lebih ketat dengan menggunakan jenis protokol dan nomor port tertentu. Jika Anda membuat aturan ini lebih ketat, Anda harus memasukkan aturan 120 di ACL jaringan Anda untuk memastikan bahwa respon jalur keluar tidak diblokir.

120

Rentang alamat IP pribadi dari jaringan rumah Anda

TCP

32768-65535

IZINKAN

Mengizinkan respon jalur keluar untuk klien di jaringan rumah.

Rentang ini adalah contoh saja. Untuk informasi tentang pemilihan port sementara yang benar untuk konfigurasi Anda, lihat Ephemeral port.

*

0.0.0.0/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Aturan ACL jaringan yang disarankan untuk IPv6

Jika Anda menerapkan skenario 4 dengan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan, Anda harus menambahkan aturan terpisah ke ACL jaringan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6.

Dalam skenario ini, server basis data tidak dapat dicapai melalui komunikasi VPN dengan perantara IPv6, oleh karena itu tidak ada aturan ACL jaringan tambahan yang diperlukan. Berikut ini adalah aturan-aturan default yang menolak lalu lintas IPv6 yang menuju dan berasal dari subnet.

Inbound
Aturan IP sumber Protokol Port Izinkan/Tolak Comments

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur masuk IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).

Outbound
Aturan IP Tujuan Protokol Port Izinkan/Tolak Comments

*

::/0

Semua

Semua

MENOLAK

Menolak semua lalu lintas jalur keluar IPv6 yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).