Opsi perutean contoh - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Opsi perutean contoh

Topik berikut menjelaskan perutean untuk gateway atau koneksi tertentu di VPC Anda.

Perutean ke gateway internet

Anda dapat membuat sebuah subnet menjadi subnet publik dengan menambahkan sebuah rute di tabel rute subnet Anda ke gateway internet. Untuk melakukannya, buat dan lampirkan gateway internet untuk VPC Anda, dan kemudian tambahkan rute dengan tujuan 0.0.0.0/0 untuk lalu lintas IPv4 atau lalu lintas IPv6 ::/0, dan target ID gateway internet (igw-xxxxxxxxxxxxxxxxx).

Tujuan Target
0.0.0.0/0 igw-id
::/0 igw-id

Untuk informasi selengkapnya, lihat Connect ke internet menggunakan gateway internet.

Perutean ke perangkat NAT

Untuk mengaktifkan instans di subnet pribadi agar terhubung ke internet, Anda dapat membuat gateway NAT atau meluncurkan instans NAT di subnet publik. Kemudian tambahkan rute untuk tabel rute subnet pribadi yang mengarahkan lalu lintas internet IPv4 (0.0.0.0/0) ke perangkat NAT.

Tujuan Target
0.0.0.0/0 nat-gateway-id

Anda juga dapat membuat rute yang lebih spesifik ke target lain untuk menghindari biaya pemrosesan data yang tidak perlu untuk menggunakan gateway NAT, atau untuk mengarahkan lalu lintas tertentu secara pribadi. Dalam contoh berikut, lalu lintas Amazon S3 (pl-xxxxxxxx; kisaran alamat IP tertentu untuk Amazon S3) diarahkan ke gateway VPC endpoint, dan lalu lintas 10.25.0.0/16 diarahkan ke koneksi peering VPC. Kisaran alamat IP pl-xxxxxxxx dan 10.25.0.0/16 lebih spesifik daripada 0.0.0.0/0. Ketika instans-instans mengirimkan lalu lintas ke Amazon S3 atau ke VPC rekan, lalu lintas dikirim ke VPC endpoint gateway atau koneksi peering VPC. Semua lalu lintas lainnya dikirim ke gateway NAT.

Tujuan Target
0.0.0.0/0 nat-gateway-id
pl-xxxxxxxx vpce-id
10.0.0/16 pcx-id

Untuk informasi selengkapnya, lihat Gateway NAT dan Instans NAT. Perangkat NAT tidak dapat digunakan untuk lalu lintas IPv6.

Perutean ke virtual private gateway

Anda dapat menggunakan koneksi AWS Site-to-Site VPN untuk mengaktifkan instans di VPC Anda untuk berkomunikasi dengan jaringan Anda sendiri. Untuk melakukannya, buat dan lampirkan virtual private gateway ke VPC Anda. Kemudian tambahkan rute di tabel rute subnet Anda dengan tujuan jaringan Anda dan target virtual private gateway (vgw-xxxxxxxxxxxxxxxxx).

Tujuan Target
10.0.0/16 vgw-id

Anda kemudian dapat membuat dan mengonfigurasi koneksi Site-to-Site VPN. Untuk informasi selengkapnya, lihat Apa itu AWS Site-to-Site VPN? dan Tabel rute dan prioritas rute VPN di Panduan Pengguna AWS Site-to-Site VPN.

Koneksi Site-to-Site VPN di virtual private gateway tidak men-support lalu lintas IPv6. Namun, kami men-support lalu lintas IPv6 diarahkan melalui virtual private gateway ke koneksi AWS Direct Connect. Untuk informasi selengkapnya, lihat Panduan Pengguna AWS Direct Connect.

Perutean ke gateway lokal AWS Outposts

Subnet yang ada di VPC yang dikaitkan dengan AWS Outposts dapat memiliki target tambahan jenis gateway lokal. Pertimbangkan kasus di mana Anda ingin memiliki lalu lintas rute gateway lokal dengan alamat tujuan 192.168.10.0/24 ke jaringan pelanggan. Untuk melakukannya, tambahkan rute berikut dengan jaringan tujuan dan target gateway lokal (lgw-xxxx).

Tujuan Target
192.168.0.00.024 lgw-id

Perutean ke koneksi peering VPC

Koneksi peering VPC adalah koneksi jaringan antara dua VPC yang memungkinkan Anda mengarahkan lalu lintas di antara keduanya menggunakan alamat IPv4 pribadi. Instans-instans di VPC yang manapun dapat berkomunikasi satu sama lain seolah-olah mereka berada di jaringan yang sama.

Untuk mengaktifkan perutean lalu lintas antar VPC dalam koneksi peering VPC, Anda harus menambahkan rute ke satu atau lebih tabel rute subnet yang mengarah ke koneksi peering VPC. Ini memungkinkan Anda mengakses semua atau sebagian blok CIDR dari VPC yang lain dalam koneksi peering. Demikian pula, pemilik VPC yang lain harus menambahkan rute ke tabel rute subnet mereka untuk mengarahkan lalu lintas kembali ke VPC Anda.

Misalnya, Anda memiliki koneksi peering VPC (pcx-11223344556677889) di antara dua VPC, dengan informasi berikut:

  • VPC: Blok CIDR adalah 10.0.0.0/16

  • VPC: Blok CIDR adalah 172.31.0.0/16

Untuk mengaktifkan lalu lintas antar VPC dan mengizinkan akses ke seluruh blok CIDR IPv4 dari VPC manapun, tabel rute VPC A dikonfigurasi sebagai berikut.

Tujuan Target
10.0.0/16 Lokal
172.31.0.0/16 pcx-11223344556677889

Tabel rute VPC B dikonfigurasi sebagai berikut.

Tujuan Target
172.31.0.0/16 Lokal
10.0.0/16 pcx-11223344556677889

Koneksi peering VPC Anda juga dapat men-support komunikasi IPv6 antar instans di VPC, jika VPC dan instans diaktifkan untuk komunikasi IPv6. Untuk mengaktifkan perutean lalu lintas IPv6 antar VPC, Anda harus menambahkan rute ke tabel rute Anda yang mengarah ke koneksi peering VPC untuk mengakses semua atau sebagian blok CIDR IPv6 dari VPC rekan.

Misalnya, menggunakan koneksi peering VPC yang sama (pcx-11223344556677889) di atas, asumsikan VPC-VPC tersebut memiliki informasi berikut:

  • VPC: Blok CIDR IPv62001:db8:1234:1a00::/56

  • VPC: Blok CIDR IPv62001:db8:5678:2b00::/56

Untuk mengaktifkan komunikasi IPv6 melalui koneksi peering VPC, tambahkan rute berikut ke tabel rute subnet untuk VPC A.

Tujuan Target
10.0.0/16 Lokal
172.31.0.0/16 pcx-11223344556677889
2001:db8:5678:2b00::/56 pcx-11223344556677889

Tambahkan rute berikut ke tabel rute untuk VPC B.

Tujuan Target
172.31.0.0/16 Lokal
10.0.0/16 pcx-11223344556677889
2001:db8:1234:1a00::/56 pcx-11223344556677889

Untuk informasi selengkapnya tentang koneksi peering VPC, lihat Panduan Peering Amazon VPC.

Perutean ke VPC endpoint gateway

Sebuah VPC endpoint gateway memungkinkan Anda untuk membuat koneksi pribadi antara VPC Anda dan layanan AWS lainnya. Ketika Anda membuat titik akhir gateway, Anda menentukan tabel rute subnet di VPC Anda yang digunakan oleh titik akhir gateway. Sebuah rute secara otomatis ditambahkan ke masing-masing tabel rute dengan tujuan yang menentukan ID layanan daftar prefiks (pl-xxxxxxxx), dan target dengan ID titik akhir (vpce-xxxxxxxxxxxxxxxxx). Anda tidak dapat secara eksplisit menghapus atau memodifikasi rute titik akhir, tetapi Anda dapat mengubah tabel rute yang digunakan oleh titik akhir.

Untuk informasi lebih lanjut tentang perutean untuk titik akhir, dan implikasi untuk rute ke layanan AWS, lihat Perutean untuk titik akhir gateway.

Perutean ke gateway internet egress-only

Anda dapat membuat gateway internet egress-only untuk VPC Anda untuk mengaktifkan instans di subnet pribadi untuk mulai berkomunikasi outbound ke internet, tetapi mencegah internet untuk terhubung dengan instans. Gateway internet egress-only digunakan untuk lalu lintas IPv6 saja. Untuk mengonfigurasi perutean untuk gateway internet egress-only, tambahkan sebuah rute dalam tabel rute subnet pribadi yang mengarahkan lalu lintas internet IPv6 (::/0) ke gateway internet egress-only.

Tujuan Target
::/0 eigw-id

Untuk informasi selengkapnya, lihat Aktifkan lalu lintas IPv6 keluar menggunakan gateway internet egress-only.

Perutean untuk Transit Gateway

Ketika Anda melampirkan sebuah VPC ke Transit Gateway, Anda perlu menambahkan rute ke tabel rute subnet Anda agar lalu lintas dapat terarahkan melalui Transit Gateway.

Pertimbangkan skenario berikut di mana Anda memiliki tiga VPC yang dipasangkan ke Transit Gateway. Dalam skenario ini, semua lampiran dikaitkan dengan tabel rute transit gateway dan mempropagasi tabel rute transit gateway. Oleh karena itu, semua lampiran dapat mengarahkan paket satu sama lain, dengan Transit Gateway yang berfungsi sebagai pusat IP 3 lapis sederhana.

Misalnya, Anda memiliki dua VPC, dengan informasi berikut:

  • VPC A: 10.1.0.0/16, ID lampiran tgw-attach-11111111111111111

  • VPC B: 10.2.0.0/16, ID lampiran tgw-attach-22222222222222222

Untuk mengaktifkan lalu lintas antar VPC dan mengizinkan akses ke Transit Gateway, tabel rute VPC A dikonfigurasi sebagai berikut.

Tujuan Target
10.0.0/16 Lokal
10.0.0/8 tgw-id

Berikut ini adalah contoh entri tabel rute Transit Gateway untuk pelampiran VPC.

Tujuan Target
10.0.0/16 tgw-attach-11111111111111111
10.0.0/16 tgw-attach-22222222222222222

Untuk informasi selengkapnya tabel rute Transit Gateway, lihat Perutean di Transit Gateway Amazon VPC.

Perutean untuk perangkat middlebox

Anda dapat menambahkan peralatan middlebox ke jalur routing untuk VPC Anda. Berikut ini adalah kemungkinan kasus penggunaan:

  • Putus lalu lintas yang memasuki VPC Anda melalui gateway internet atau virtual private gateway dengan mengarahkannya ke perangkat middlebox di VPC Anda. Anda dapat menggunakan wizard perutean middlebox untuk memilikiAWSsecara otomatis mengkonfigurasi tabel rute yang sesuai untuk gateway, middlebox, dan subnet tujuan Anda. Untuk informasi selengkapnya, lihat Bekerja dengan wizard perutean middlebox.

  • Lalu lintas langsung antara dua subnet ke alat middlebox. Anda dapat melakukannya dengan membuat rute untuk satu tabel rute subnet yang cocok dengan subnet CIDR dari subnet lain dan menentukan titik akhir Gateway Load Balancer, gateway NAT, endpoint Network Firewall, atau antarmuka jaringan untuk alat sebagai target. Atau, untuk mengarahkan semua lalu lintas dari subnet ke subnet lain, ganti target rute lokal dengan titik akhir Gateway Load Balancer, gateway NAT, atau antarmuka jaringan.

Anda dapat mengonfigurasi perangkat menyesuaikan kebutuhan Anda. Misalnya, Anda dapat mengonfigurasi perangkat keamanan yang menyaring semua lalu lintas, atau perangkat akselerasi WAN. Perangkat ini digunakan sebagai instans Amazon EC2 di subnet di VPC Anda, dan diwakili oleh antarmuka jaringan elastis (antarmuka jaringan) di subnet Anda.

Jika Anda mengaktifkan propagasi rute untuk tabel rute subnet tujuan, perhatikan prioritas rute. Kami memprioritaskan rute yang paling spesifik, dan jika rute cocok, kami memprioritaskan rute statis atas rute yang disebarkan. Tinjau rute Anda untuk memastikan lalu lintas diarahkan dengan benar dan ada tidak ada konsekuensi yang tidak diinginkan jika Anda mengaktifkan atau menonaktifkan propagasi rute (misalnya, propagasi rute diperlukan untuk koneksi AWS Direct Connect yang men-support frame jumbo).

Untuk mengarahkan lalu lintas VPC inbound ke sebuah perangkat, Anda kaitkan sebuah tabel rute dengan gateway internet atau virtual private gateway, dan tentukan antarmuka jaringan dari perangkat Anda sebagai target untuk lalu lintas VPC. Untuk informasi selengkapnya, lihat Tabel rute gateway. Anda juga dapat mengarahkan lalu lintas outbound dari subnet Anda ke sebuah perangkat middlebox di subnet lain.

Untuk contoh perutean middlebox, lihatSkenario perutean Middlebox.

Pertimbangan perangkat

Anda dapat memilih perangkat pihak ketiga dari AWS Marketplace, atau Anda dapat mengonfigurasi perangkat Anda sendiri. Saat Anda membuat atau mengonfigurasi sebuah perangkat, perhatikan hal berikut:

  • Perangkat harus dikonfigurasi di subnet terpisah ke lalu lintas sumber atau tujuan.

  • Anda harus menonaktifkan pemeriksaan sumber/tujuan pada perangkat. Untuk informasi selengkapnya, lihat Mengubah Pemeriksaan Sumber atau Tujuan di Panduan Pengguna Amazon EC2 untuk Instans Linux.

  • Anda tidak dapat mengarahkan lalu lintas antar host di subnet yang sama melalui sebuah perangkat.

  • Alat tidak harus melakukan penerjemahan alamat jaringan (NAT).

  • Anda dapat menambahkan rute ke tabel rute Anda yang lebih spesifik daripada rute lokal. Anda dapat menggunakan rute yang lebih spesifik untuk mengarahkan lalu lintas antar subnet dalam VPC (lalu lintas Timur-Barat) ke alat middlebox. Tujuan rute harus sesuai dengan seluruh blok CIDR IPv4 atau IPv6 dari subnet di VPC Anda.

  • Untuk mencegat lalu lintas IPv6, pastikan Anda mengkonfigurasi VPC, subnet, dan perangkat Anda untuk IPv6. Untuk informasi selengkapnya, lihat Bekerja dengan VPC. Gateway privat virtual tidak men-support lalu lintas IPv6.

Routing lalu lintas antara gateway dan alat

Untuk mengarahkan lalu lintas VPC inbound ke sebuah perangkat, Anda kaitkan sebuah tabel rute dengan gateway internet atau virtual private gateway, dan tentukan antarmuka jaringan dari perangkat Anda sebagai target untuk lalu lintas VPC. Pada contoh berikut, VPC memiliki gateway internet, alat, dan subnet dengan instance. Lalu lintas dari internet dialihkan melalui alat.


                    Routing lalu lintas masuk melalui alat

Kaitkan tabel rute ini dengan gateway internet atau virtual private gateway Anda. Entri pertama adalah rute lokal. Entri kedua mengirimkan lalu lintas IPv4 yang ditujukan untuk subnet ke antarmuka jaringan untuk perangkat. Rute ini lebih spesifik daripada rute lokal.

Tujuan Target
VPC CIDR Lokal:
subnet ID antara muka jaringan perangkat

Sebagai gantinya, Anda dapat mengganti target untuk rute lokal dengan antarmuka jaringan perangkat. Anda dapat melakukan ini untuk memastikan semua lalu lintas secara otomatis diarahkan ke perangkat, termasuk lalu lintas yang ditujukan untuk subnet yang Anda tambahkan ke VPC di masa future.

Tujuan Target
VPC CIDR ID antara muka jaringan perangkat

Untuk mengarahkan lalu lintas dari subnet Anda ke perangkat di subnet lain, tambahkan rute ke tabel rute subnet Anda yang mengarahkan lalu lintas ke antarmuka jaringan perangkat. Tujuan seharusnya tidak lebih spesifik dibandingkan tujuan untuk rute lokal. Misalnya, untuk lalu lintas yang ditujukan untuk internet, tentukan 0.0.0.0/0 (semua alamat IPv4) untuk tujuan tersebut.

Tujuan Target
VPC CIDR Lokal:
0.0.0.0/0 ID antara muka jaringan perangkat

Kemudian, pada tabel rute yang dikaitkan dengan subnet perangkat, tambahkan rute yang mengirimkan lalu lintas kembali ke gateway internet atau virtual private gateway.

Tujuan Target
VPC CIDR Lokal:
0.0.0.0/0 igw-id

Routing lalu lintas antar-subnet ke alat

Anda dapat merutekan lalu lintas yang ditujukan untuk subnet tertentu ke antarmuka jaringan alat. Pada contoh berikut, VPC berisi dua subnet dan alat. Lalu lintas antara subnet dialihkan melalui alat.


                    Perutean lalu lintas antar subnet melalui sebuah perangkat

Grup keamanan

Ketika Anda mengarahkan lalu lintas antar instans di subnet yang berbeda melalui perangkat middlebox, grup keamanan untuk kedua instans harus mengizinkan lalu lintas mengalir antar instans. Grup keamanan untuk setiap instans harus mereferensikan alamat IP privat instans lain, atau rentang CIDR dari subnet yang berisi instans yang lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

Perutean

Berikut ini adalah tabel rute subnet A. entri pertama mengaktifkan instans di VPC untuk berkomunikasi dengan satu sama lain. Entri kedua merutekan semua lalu lintas dari subnet A ke subnet B ke antarmuka jaringan alat.

Tujuan Target
VPC CIDR Lokal:
Subnet B ID antara muka jaringan perangkat

Berikut ini adalah tabel rute subnet B. entri pertama mengaktifkan instans di VPC untuk berkomunikasi dengan satu sama lain. Entri kedua merutekan semua lalu lintas dari subnet B ke subnet A ke antarmuka jaringan alat.

Tujuan Target
VPC CIDR Lokal:
Subnet ID antara muka jaringan perangkat

Sebagai gantinya, Anda dapat mengganti target untuk rute lokal dengan antarmuka jaringan perangkat. Anda dapat melakukan ini untuk memastikan semua lalu lintas secara otomatis diarahkan ke perangkat, termasuk lalu lintas yang ditujukan untuk subnet yang Anda tambahkan ke VPC di masa future.

Tujuan Target
VPC CIDR ID antara muka jaringan perangkat

Perutean menggunakan daftar prefiks

Jika Anda sering mereferensikan set blok CIDR yang sama di seluruh sumber daya AWS Anda, Anda dapat membuat daftar prefiks yang dikelola pelanggan untuk mengelompokkan mereka bersama-sama. Anda kemudian dapat menentukan daftar prefiks sebagai tujuan dalam entri tabel rute Anda. Anda kemudian dapat menambah atau menghapus entri di daftar prefiks tanpa perlu memperbarui tabel rute Anda.

Misalnya, Anda memiliki Transit Gateway dengan beberapa lampiran VPC. VPC harus dapat berkomunikasi dengan dua lampiran VPC tertentu yang memiliki blok CIDR berikut:

  • 10.0.0/16

  • 10.0.0/16

Anda buat daftar prefiks dengan kedua entri. Dalam tabel rute subnet Anda, Anda membuat rute dan menentukan daftar prefiks sebagai tujuan, dan Transit Gateway sebagai target.

Tujuan Target
172.31.0.0/16 Lokal
pl-123abc123abc123ab tgw-id

Jumlah entri maksimal untuk daftar prefiks sama dengan jumlah entri dalam tabel rute.

Perutean ke titik akhir Penyeimbang Beban Gateway

Sebuah Penyeimbang Beban Gateway memungkinkan Anda untuk mendistribusikan lalu lintas ke sebuah armada perangkat virtual, seperti firewall. Anda dapat mengonfigurasi penyeimbang beban sebagai layanan dengan membuat konfigurasi layanan VPC endpoint. Anda kemudian membuat Titik akhir Penyeimbang Beban Gateway di VPC Anda untuk meng-connect VPC Anda ke layanan.

Untuk mengarahkan lalu lintas Anda ke Penyeimbang Beban Gateway (misalnya, untuk pemeriksaan keamanan), tentukan titik akhir Penyeimbang Beban Gateway sebagai target di tabel rute Anda.

Untuk contoh peralatan keamanan di belakang Gateway Load Balancer, lihatPerangkat keamanan di belakang Load Balancer Gateway di VPC keamanan .

Untuk menentukan titik akhir Penyeimbang Beban Gateway dalam tabel rute, gunakan ID pada VPC endpoint. Misalnya untuk merutekan lalu lintas untuk 10.0.1.0/24 ke titik akhir Gateway Load Balancer, tambahkan rute berikut.

Tujuan Target
10.0.1.0/24 vpc-endpoint-id

Untuk informasi selengkapnya, lihatPenyeimbang Beban Gateway.