Kasus penggunaan gateway NAT - Amazon Virtual Private Cloud
Mengakses internet dari subnet privatAkses jaringan Anda menggunakan alamat IP yang diizinkanAktifkan komunikasi antara jaringan yang tumpang tindih

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kasus penggunaan gateway NAT

Berikut ini adalah contoh kasus penggunaan untuk gateway NAT publik dan privat.

Mengakses internet dari subnet privat

Anda dapat menggunakan gateway NAT publik untuk mengaktifkan instans di subnet privat untuk mengirim lalu lintas keluar ke internet, sekaligus mencegah internet membuat koneksi ke instans.

Gambaran Umum

Diagram berikut mengilustrasikan kasus penggunaan ini. Ada dua Availability Zone, dengan dua subnet di setiap Availability Zone. Tabel rute untuk setiap subnet menentukan bagaimana lalu lintas dialihkan. Di Availability Zone A, instance di subnet publik dapat menjangkau internet melalui rute ke gateway internet, sementara instance di subnet pribadi tidak memiliki rute ke internet. Di Availability Zone B, subnet publik berisi gateway NAT, dan instance di subnet pribadi dapat menjangkau internet melalui rute ke gateway NAT di subnet publik. Gateway NAT mengirimkan lalu lintas ke gateway internet, menggunakan alamat IP Elastiss-nya sebagai alamat IP sumber.

VPC dengan subnet publik dan privat, gateway NAT, dan gateway internet.

Perhatikan bahwa jika instance di subnet pribadi di Availability Zone A juga perlu menjangkau internet, Anda dapat membuat rute dari subnet ini ke gateway NAT di Availability Zone B. Atau, Anda dapat meningkatkan ketahanan dengan membuat gateway NAT di setiap Availability Zone yang berisi sumber daya yang memerlukan akses internet. Untuk diagram contoh, lihatContoh: VPC dengan server di subnet pribadi dan NAT.

Perutean

Berikut ini adalah tabel rute yang terkait dengan subnet publik di Availability Zone A. Entri pertama adalah rute lokal; mengizinkan instans di subnet untuk berkomunikasi dengan instans lain di VPC menggunakan alamat IP privat. Entri kedua mengirimkan semua lalu lintas subnet lainnya ke gateway internet, yang mengizinkan instans di subnet untuk mengakses internet.

Tujuan Target
VPC lokal
0.0.0.0/0 internet-gateway-id

Berikut ini adalah tabel rute yang terkait dengan subnet privat di Availability Zone A. Entri adalah rute lokal, yang mengizinkan instans di subnet untuk berkomunikasi dengan instans lain di VPC menggunakan alamat IP privat. Instans di subnet ini tidak memiliki akses ke internet.

Tujuan Target
VPC lokal

Berikut ini adalah tabel rute yang terkait dengan subnet publik di Availability Zone B. Entri pertama adalah rute lokal, yang mengizinkan instans di subnet untuk berkomunikasi dengan instans lain di VPC menggunakan alamat IP privat. Entri kedua mengirimkan semua lalu lintas subnet lainnya ke gateway internet, yang mengaktifkan gateway NAT di subnet untuk mengakses internet.

Tujuan Target
VPC lokal
0.0.0.0/0 internet-gateway-id

Berikut ini adalah tabel rute yang terkait dengan subnet privat di Availability Zone B. Entri pertama adalah rute lokal; mengizinkan instans di subnet untuk berkomunikasi dengan instans lain di VPC menggunakan alamat IP privat. Entri kedua mengirimkan semua lalu lintas subnet lainnya ke gateway NAT.

Tujuan Target
VPC lokal
0.0.0.0/0 nat-gateway-id

Untuk informasi selengkapnya, lihat Cara menggunakan tabel rute.

Uji gateway NAT publik

Setelah Anda membuat gateway NAT dan memperbarui tabel rute, Anda dapat mengirimkan ping alamat jarak jauh di internet dari sebuah instans di subnet privat untuk menguji apakah perangkat tersebut dapat tersambung ke internet. Untuk contoh cara melakukannya, lihat Menguji koneksi internet.

Jika Anda dapat terhubung ke internet, Anda juga dapat menguji apakah lalu lintas internet dirutekan melalui gateway NAT:

  • Melacak rute lalu lintas dari sebuah instans di subnet privat Anda. Untuk melakukannya, jalankan perintah traceroute dari instans Linux di subnet privat Anda. Dalam output, Anda harus melihat alamat IP privat gateway NAT di salah satu hop (biasanya hop pertama).

  • Gunakan situs web atau alat pihak ke tiga yang menampilkan alamat IP sumber saat Anda tersambung dari instans di subnet privat Anda. Alamat IP sumber harus menjadi alamat IP elastis gateway NAT.

Jika percobaan ini gagal, lihat Memecahkan masalah gateway NAT.

Menguji koneksi internet

Contoh berikut menunjukkan cara untuk menguji apakah sebuah instans di subnet privat dapat terhubung ke internet.

  1. Luncurkan sebuah instans di subnet publik Anda (gunakan ini sebagai host bastion). Pada lauch wizard, pastikan bahwa Anda memilih Amazon Linux AMI, dan menetapkan alamat IP publik untuk instans Anda. Pastikan bahwa aturan grup keamanan Anda mengizinkan lalu lintas SSH masuk dari rentang alamat IP untuk jaringan on-premise Anda, dan lalu lintas SSH keluar ke rentang alamat IP dari subnet privat Anda (Anda juga dapat menggunakan 0.0.0.0/0 untuk lalu lintas SSH masuk dan keluar untuk tes ini).

  2. Luncurkan sebuah instans di subnet privat Anda. Dalam launch wizard, pastikan bahwa Anda memilih Amazon Linux AMI. Jangan menetapkan alamat IP publik ke instans Anda. Pastikan bahwa aturan grup keamanan Anda mengizinkan lalu lintas SSH masuk dari alamat IP privat instans Anda yang diluncurkan di subnet publik, dan semua lalu lintas ICMP keluar. Anda harus memilih pasangan kunci yang sama yang Anda gunakan untuk meluncurkan instans Anda di subnet publik.

  3. Mengkonfigurasi SSH agent forwarding pada komputer lokal Anda, dan terhubung ke host bastion Anda di subnet publik. Untuk informasi lebih lanjut, lihat Untuk mengkonfigurasi SSH agent forwarding untuk Linux atau macOS atau Untuk mengkonfigurasi SSH forwarding untuk Windows (PuTTY).

  4. Dari host bastion Anda, terhubung ke instans Anda di subnet privat, dan kemudian menguji koneksi internet dari instans Anda di subnet privat. Untuk informasi selengkapnya, lihat Untuk menguji koneksi internet.

Untuk mengkonfigurasi SSH agent forwarding untuk Linux atau macOS

  1. Dari mesin lokal Anda, tambahkan kunci privat Anda ke agen autentikasi.

    Untuk Linux, gunakan perintah berikut.

    ssh-add -c mykeypair.pem

    Untuk macOS, gunakan perintah berikut.

    ssh-add -K mykeypair.pem

  2. Connect ke instans Anda di subnet publik menggunakan pilihan -A untuk mengaktifkan SSH agent forwarding, dan menggunakan alamat publik instans, seperti yang ditunjukkan dalam contoh berikut.

    ssh -A ec2-user@54.0.0.123
Untuk mengkonfigurasi SSH forwarding untuk Windows (PuTTY)

  1. Unduh dan instal Pageant dari halaman pengunduhan PuTTY, jika belum diinstal.

  2. Ubah kunci privat Anda ke format .ppk. Untuk informasi selengkapnya, lihat Mengubah kunci privat Anda menggunakan PuTTYgen dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

  3. Mulai Pageant, klik kanan ikon Pageant pada taskbar (mungkin tersembunyi), dan pilih Tambah Kunci. Pilih file .ppk yang Anda buat, masukkan frasa sandi jika perlu, dan pilih Buka.

  4. Mulai sesi PuTTY dan hubungkan ke instans Anda di subnet publik menggunakan alamat IP publiknya. Untuk informasi selengkapnya, lihat Menghubungkan ke instans Linux Anda. Di Kategori Autentikasi, pastikan bahwa Anda memilih pilihan Izinkan agent forwarding, dan biarkan kotak File kunci privat untuk autentikasi tetap kosong.

Untuk menguji koneksi internet

  1. Dari instans Anda di subnet publik, hubungkan ke instans Anda di subnet privat Anda dengan menggunakan alamat IP privat seperti yang ditunjukkan dalam instans berikut.

    ssh ec2-user@10.0.1.123

  2. Dari instans pribadi Anda, uji bahwa Anda dapat terhubung ke internet dengan menjalankan perintah ping untuk situs web yang memiliki ICMP diaktifkan.

    ping ietf.org
    PING ietf.org (4.31.198.44) 56(84) bytes of data.
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
...

    Tekan Ctrl+C pada keyboard Anda untuk membatalkan perintah ping. Jika perintah ping gagal, lihat Instans tidak dapat mengakses internet.

  3. (Opsioonal) Jika Anda tidak lagi memerlukan instans Anda, hentikan. Untuk informasi lebih lanjut, lihat Akhiri Instans Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Akses jaringan Anda menggunakan alamat IP yang diizinkan

Anda dapat menggunakan gateway NAT privat untuk mengaktifkan komunikasi dari VPC Anda ke jaringan on-premise Anda menggunakan kumpulan alamat yang diizinkan. Alih-alih menetapkan alamat IP terpisah untuk setiap instans dari rentang alamat IP yang diizinkan, Anda dapat merutekan lalu lintas dari subnet yang ditujukan untuk Anda jaringan on-premis Anda melalui gateway NAT privat dengan alamat IP dari rentang alamat IP yang tersedia.

Gambaran Umum

Diagram berikut menunjukkan bagaimana instance dapat mengakses sumber daya lokal melaluiAWS VPN. Lalu lintas dari instans dirutekan ke gateway pribadi virtual, melalui koneksi VPN, ke gateway pelanggan, dan kemudian ke tujuan di jaringan lokal. Namun, anggaplah bahwa tujuan memungkinkan lalu lintas hanya dari rentang alamat IP tertentu, seperti 100.64.1.0/28. Ini akan mencegah lalu lintas dari instans ini mencapai jaringan lokal.

Akses ke jaringan on-premise menggunakanAWS VPN sambungan.

Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. VPC memiliki rentang alamat IP aslinya ditambah rentang alamat IP yang diizinkan. VPC memiliki subnet dari rentang alamat IP yang diizinkan dengan gateway NAT privat. Lalu lintas dari instans yang ditujukan untuk jaringan lokal dikirim ke gateway NAT sebelum dirutekan ke koneksi VPN. Jaringan lokal menerima lalu lintas dari instans dengan alamat IP sumber gateway NAT, yang berasal dari rentang alamat IP yang diizinkan.

Lalu lintas dari subnet VPC dialihkan melalui gateway NAT pribadi menggunakan alamat IP gateway NAT sebagai alamat sumbernya.

Sumber daya

Buat atau perbarui sumber daya sebagai berikut:

  • Kaitkan rentang alamat IP yang diizinkan dengan VPC.

  • Buat subnet di VPC dari rentang alamat IP yang diizinkan.

  • Buat gateway NAT pribadi di subnet baru.

  • Perbarui tabel rute untuk subnet dengan instans untuk mengirim lalu lintas yang ditujukan untuk jaringan lokal ke gateway NAT. Menambahkan rute ke tabel rute untuk subnet dengan gateway NAT privat yang mengirimkan lalu lintas yang ditujukan untuk jaringan on-premise ke gateway privat virtual.

Perutean

Berikut ini adalah tabel rute yang dikaitkan dengan subnet pertama. Ada rute lokal untuk setiap VPC CIDR. Rute lokal mengaktifkan sumber daya di subnet untuk berkomunikasi dengan sumber daya lain di VPC menggunakan alamat IP privat. Entri ketiga mengirimkan lalu lintas yang ditujukan untuk jaringan lokal ke gateway NAT pribadi.

Tujuan Target
10.0.0.0/16 lokal
100.64.1.0/24 lokal
192.168.0.0/16 nat-gateway-id

Berikut ini adalah tabel rute yang dikaitkan dengan subnet kedua. Ada rute lokal untuk setiap VPC CIDR. Rute lokal mengaktifkan sumber daya di subnet untuk berkomunikasi dengan sumber daya lain di VPC menggunakan alamat IP privat. Entri ketiga mengirimkan lalu lintas yang ditujukan untuk jaringan on-premise ke gateway privat virtual.

Tujuan Target
10.0.0.0/16 lokal
100.64.1.0/24 lokal
192.168.0.0/16 vgw-id

Aktifkan komunikasi antara jaringan yang tumpang tindih

Anda dapat menggunakan gateway NAT pribadi untuk mengaktifkan komunikasi antar jaringan meskipun mereka memiliki rentang CIDR yang tumpang tindih. Misalnya, contoh di VPC A perlu mengakses layanan yang disediakan oleh instans di VPC B.

Dua VPC dengan rentang CIDR yang tumpang tindih.

Gambaran Umum

Diagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Pertama, tim manajemen IP Anda menentukan rentang alamat mana yang dapat tumpang tindih (rentang alamat yang tidak dapat dirutekan) dan mana yang tidak dapat (rentang alamat yang dapat dirutekan). Tim manajemen IP mengalokasikan rentang alamat dari kumpulan rentang alamat yang dapat dirutekan hingga proyek berdasarkan permintaan.

Setiap VPC memiliki rentang alamat IP aslinya, yang tidak dapat dirutekan, ditambah rentang alamat IP yang dapat dirutekan oleh tim manajemen IP. VPC A memiliki subnet dari jangkauan routable dengan gateway NAT pribadi. Gateway NAT pribadi mendapatkan alamat IP-nya dari subnetnya. VPC B memiliki subnet dari jangkauan routable dengan Application Load Balancer. Application Load Balancer mendapatkan alamat IP-nya dari subnetnya.

Lalu lintas dari sebuah instance di subnet non-routable dari VPC A yang ditujukan untuk instance dalam subnet non-routable dari VPC B dikirim melalui gateway NAT pribadi dan kemudian dialihkan ke gateway transit. Gateway transit mengirimkan lalu lintas ke Application Load Balancer, yang merutekan lalu lintas ke salah satu instance target di subnet non-routable VPC B. lalu lintas dari gateway transit ke Application Load Balancer memiliki alamat IP sumber gateway NAT pribadi. Oleh karena itu, lalu lintas respons dari load balancer menggunakan alamat gateway NAT pribadi sebagai tujuannya. Lalu lintas respons dikirim ke gateway transit dan kemudian dialihkan ke gateway NAT pribadi, yang menerjemahkan tujuan ke instance dalam subnet non-routable VPC A.

VPC dengan gateway NAT pribadi dan gateway transit untuk memungkinkan komunikasi antara VPC dengan CIDR yang tumpang tindih.

Sumber daya

Buat atau perbarui sumber daya sebagai berikut:

  • Kaitkan rentang alamat IP yang dapat dirutekan dengan VPC masing-masing.

  • Buat subnet di VPC A dari rentang alamat IP yang dapat dirutekan, dan buat gateway NAT pribadi di subnet baru ini.

  • Buat subnet di VPC B dari rentang alamat IP yang dapat dirutekan, dan buat Application Load Balancer di subnet baru ini. Daftarkan instans di subnet yang tidak dapat dirutekan dengan grup target untuk penyeimbang beban.

  • Buat gateway transit untuk menghubungkan VPC. Pastikan untuk menonaktifkan propagasi rute. Saat Anda melampirkan setiap VPC ke gateway transit, gunakan rentang alamat yang dapat dirutekan dari VPC.

  • Perbarui tabel rute subnet yang tidak dapat dirutekan di VPC A untuk mengirim semua lalu lintas yang ditujukan untuk rentang alamat VPC B yang dapat dirutekan ke gateway NAT pribadi. Perbarui tabel rute subnet yang dapat dirutekan di VPC A untuk mengirim semua lalu lintas yang ditujukan untuk rentang alamat VPC B yang dapat dirutekan ke gateway transit.

  • Perbarui tabel rute subnet yang dapat dirutekan di VPC B untuk mengirim semua lalu lintas yang ditujukan untuk rentang alamat VPC A yang dapat dirutekan ke gateway transit.

Perutean

Berikut ini adalah tabel rute untuk subnet non-routable di VPC A.

Tujuan Target
10.0.0.0/16 lokal
100.64.1.0/24 lokal
100.64.2.0/24 nat-gateway-id

Berikut ini adalah tabel rute untuk subnet routable di VPC A.

Tujuan Target
10.0.0.0/16 lokal
100.64.1.0/24 lokal
100.64.2.0/24 transit-gateway-id

Berikut ini adalah tabel rute untuk subnet non-routable di VPC B.

Tujuan Target
10.0.0.0/16 lokal
100.64.2.0/24 lokal

Berikut ini adalah tabel rute untuk subnet routable di VPC B.

Tujuan Target
10.0.0.0/16 lokal
100.64.2.0/24 lokal
100.64.1.0/24 transit-gateway-id

Berikut ini adalah tabel rute transit gateway.

CIDR Lampiran Jenis rute
100.64.1.0/24 Lampiran untuk VPC A Statis
100.64.2.0/24 Lampiran untuk VPC B Statis