Subnet untuk VPC Anda - Amazon Virtual Private Cloud
Dasar-dasar subnetKeamanan subnet

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Subnet untuk VPC Anda

Sebuah subnet adalah rentang alamat IP di VPC Anda. Anda dapat membuat AWS sumber daya, seperti instans EC2, di subnet tertentu.

Daftar Isi

Dasar-dasar subnet

Setiap subnet harus berada sepenuhnya dalam satu Availability Zone dan tidak dapat memperluas zona. Dengan meluncurkan AWS sumber daya di Availability Zone terpisah, Anda dapat melindungi aplikasi Anda dari kegagalan satu Availability Zone.

Rentang alamat IP subnet

Saat Anda membuat subnet, Anda menentukan alamat IP-nya, tergantung pada konfigurasi VPC:

  • Hanya IPv4 - Subnet memiliki blok CIDR IPv4 tetapi tidak memiliki blok CIDR IPv6. Sumber daya dalam subnet khusus IPv4 harus berkomunikasi melalui IPv4.

  • Dual stack — Subnet memiliki blok IPv4 CIDR dan blok IPv6 CIDR. VPC harus memiliki blok IPv4 CIDR dan blok IPv6 CIDR. Sumber daya dalam subnet dual-stack dapat berkomunikasi melalui IPv4 dan IPv6.

  • Hanya IPv6 - Subnet memiliki blok CIDR IPv6 tetapi tidak memiliki blok CIDR IPv4. VPC harus memiliki blok CIDR IPv6. Sumber daya dalam subnet khusus IPv6 harus berkomunikasi melalui IPv6.

    catatan

    Sumber daya dalam subnet khusus IPv6 diberikan alamat link-lokal IPv4 dari blok CIDR. 169.254.0.0/16 Alamat ini digunakan untuk berkomunikasi dengan layanan VPC seperti Instance Metadata Service (IMDS).

Untuk informasi selengkapnya, lihat Pengalamatan IP untuk VPC dan subnet Anda.

Jenis subnet

Jenis subnet ditentukan oleh bagaimana Anda mengkonfigurasi routing untuk subnet Anda. Sebagai contoh:

  • Subnet publik — Subnet memiliki rute langsung ke gateway internet. Sumber daya dalam subnet publik dapat mengakses internet publik.

  • Subnet pribadi — Subnet tidak memiliki rute langsung ke gateway internet. Sumber daya dalam subnet pribadi memerlukan perangkat NAT untuk mengakses internet publik.

  • Subnet khusus VPN — Subnet memiliki rute ke koneksi VPN Site-to-Site melalui gateway pribadi virtual. Subnet tidak memiliki rute ke gateway internet.

  • Subnet terisolasi — Subnet tidak memiliki rute ke tujuan di luar VPC-nya. Sumber daya dalam subnet terisolasi hanya dapat mengakses atau diakses oleh sumber daya lain dalam VPC yang sama.

Diagram subnet

Diagram berikut menunjukkan dua VPC di Wilayah. Setiap VPC memiliki subnet publik dan pribadi dan gateway internet. Anda dapat menambahkan subnet secara opsional di Zona Lokal, seperti yang ditunjukkan pada diagram. Local Zone adalah penyebaran AWS infrastruktur yang menempatkan komputasi, penyimpanan, dan layanan database lebih dekat ke pengguna akhir Anda. Saat Anda menggunakan Zona Lokal, pengguna akhir dapat menjalankan aplikasi yang memerlukan latensi milidetik satu digit. Untuk informasi selengkapnya, lihat Zona Lokal AWS.

VPC dengan subnet di Availability Zones dan Local Zone.

Perutean subnet

Setiap subnet harus dikaitkan dengan sebuah tabel rute, yang menentukan rute yang diizinkan untuk lalu lintas outbound meninggalkan subnet. Setiap subnet yang Anda buat secara otomatis dikaitkan dengan tabel rute utama untuk VPC. Anda dapat mengubah pengaitan, dan Anda dapat mengubah isi dari tabel rute utama. Untuk informasi selengkapnya, lihat Konfigurasikan tabel rute.

Pengaturan subnet

Semua subnet memiliki atribut yang dapat dimodifikasi yang menentukan apakah antarmuka jaringan yang dibuat di subnet tersebut ditetapkan sebagai alamat IPv4 publik dan, jika berlaku, alamat IPv6. Ini termasuk antarmuka jaringan primer (eth0) yang dibuat untuk sebuah instans saat Anda meluncurkan sebuah instans di subnet tersebut. Terlepas dari atribut subnet, Anda masih dapat mengganti pengaturan ini untuk instans tertentu selama peluncuran.

Setelah Anda membuat subnet, Anda dapat mengubah pengaturan berikut untuk subnet:

  • Pengaturan IP tetapkan otomatis: Memungkinkan Anda mengonfigurasi pengaturan IP penetapan otomatis untuk secara otomatis meminta alamat IPv4 atau IPv6 publik untuk antarmuka jaringan baru di subnet ini.

  • Pengaturan Nama Berbasis Sumber Daya (RBN): Memungkinkan Anda menentukan jenis nama host untuk instans EC2 di subnet ini dan mengonfigurasi bagaimana kueri catatan DNS A dan AAAA ditangani. Untuk informasi selengkapnya, lihat jenis nama host instans Amazon EC2 di Panduan Pengguna Amazon EC2.

Keamanan subnet

Untuk melindungi AWS sumber daya Anda, kami sarankan Anda menggunakan subnet pribadi. Gunakan host bastion atau perangkat NAT untuk menyediakan akses internet ke sumber daya, seperti instans EC2, di subnet pribadi.

AWS menyediakan fitur yang dapat Anda gunakan untuk meningkatkan keamanan sumber daya di VPC Anda. Grup keamanan memungkinkan lalu lintas masuk dan keluar untuk sumber daya terkait, seperti instans EC2. ACL jaringan memungkinkan atau menolak lalu lintas masuk dan keluar di tingkat subnet. Dalam kebanyakan kasus, kelompok keamanan dapat memenuhi kebutuhan Anda. Namun, Anda dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan. Untuk informasi selengkapnya, lihat Membandingkan grup keamanan dan ACL jaringan.

Berdasarkan desain, setiap subnet harus dikaitkan dengan ACL jaringan. Setiap subnet yang Anda buat secara otomatis dikaitkan dengan ACL jaringan default untuk VPC. ACL jaringan default memungkinkan semua lalu lintas masuk dan keluar. Anda dapat memperbarui ACL jaringan default, atau membuat ACL jaringan khusus dan mengaitkannya dengan subnet Anda. Untuk informasi selengkapnya, lihat Kontrol lalu lintas ke subnet menggunakan ACL jaringan.

Anda dapat membuat log alur pada VPC atau subnet Anda untuk menangkap lalu lintas yang mengalir ke dan dari antarmuka jaringan di VPC atau subnet Anda. Anda juga dapat membuat log alur pada antarmuka jaringan individu. Untuk informasi selengkapnya, lihat Mencatat lalu lintas IP menggunakan VPC Flow Logs.