View a markdown version of this page

Subnet untuk VPC Anda - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Subnet untuk VPC Anda

Sebuah subnet adalah rentang alamat IP di VPC Anda. Anda dapat membuat AWS sumber daya, seperti instans EC2, di subnet tertentu.

Dasar-Dasar Subnet

Setiap subnet harus berada sepenuhnya dalam satu Availability Zone dan tidak dapat memperluas zona. Dengan meluncurkan AWS sumber daya di Availability Zone terpisah, Anda dapat melindungi aplikasi Anda dari kegagalan satu Availability Zone.

Rentang alamat IP subnet

Saat Anda membuat subnet, Anda menentukan alamat IP-nya, tergantung pada konfigurasi VPC:

  • Hanya IPv4 - Subnet memiliki blok CIDR IPv4 tetapi tidak memiliki blok CIDR IPv6. Sumber daya dalam IPv4-only subnet harus berkomunikasi melalui IPv4.

  • Dual stack — Subnet memiliki blok IPv4 CIDR dan blok IPv6 CIDR. VPC harus memiliki blok IPv4 CIDR dan blok IPv6 CIDR. Sumber daya dalam subnet dual-stack dapat berkomunikasi melalui IPv4 dan IPv6.

  • Hanya IPv6 - Subnet memiliki blok CIDR IPv6 tetapi tidak memiliki blok CIDR IPv4. VPC harus memiliki blok CIDR IPv6. Sumber daya dalam IPv6-only subnet harus berkomunikasi melalui IPv6.

    catatan

    Sumber daya dalam IPv6-only subnet diberi alamat link-lokal IPv4 dari blok CIDR. 169.254.0.0/16 Alamat ini digunakan untuk berkomunikasi dengan layanan yang hanya tersedia di VPC. Sebagai contoh, lihat Link-local alamat di Panduan Pengguna Amazon EC2.

Untuk informasi selengkapnya, lihat Pengalamatan IP untuk VPC dan subnet Anda.

Jenis subnet

Jenis subnet ditentukan oleh bagaimana Anda mengkonfigurasi routing untuk subnet Anda. Contoh:

  • Subnet publik — Subnet memiliki rute langsung ke gateway internet. Sumber daya dalam subnet publik dapat mengakses internet publik.

  • Subnet pribadi — Subnet tidak memiliki rute langsung ke gateway internet. Sumber daya dalam subnet pribadi memerlukan perangkat NAT untuk mengakses internet publik.

  • VPN-only subnet — Subnet memiliki rute ke koneksi Site-to-Site VPN melalui gateway pribadi virtual. Subnet tidak memiliki rute ke gateway internet.

  • Subnet terisolasi — Subnet tidak memiliki rute ke tujuan di luar VPC-nya. Sumber daya dalam subnet terisolasi hanya dapat mengakses atau diakses oleh sumber daya lain dalam VPC yang sama.

  • Subnet EVS - Jenis subnet ini dibuat menggunakan Amazon EVS. Untuk informasi selengkapnya, lihat subnet VLAN di Panduan Pengguna Amazon EVS.

Diagram subnet

Diagram berikut menunjukkan VPC dengan subnet di dua Availability Zones dan gateway internet. Setiap Availability Zone memiliki subnet publik dan subnet pribadi.

VPC dengan subnet di dua Availability Zone.

Untuk diagram yang menampilkan subnet di Local Zones dan Wavelength Zones, lihat Cara Kerja Local Zones dan Cara AWS Kerja. AWS Wavelength

Perutean subnet

Setiap subnet harus dikaitkan dengan sebuah tabel rute, yang menentukan rute yang diizinkan untuk lalu lintas outbound meninggalkan subnet. Setiap subnet yang Anda buat secara otomatis dikaitkan dengan tabel rute utama untuk VPC. Anda dapat mengubah pengaitan, dan Anda dapat mengubah isi dari tabel rute utama. Untuk informasi selengkapnya, lihat Konfigurasikan tabel rute.

Pengaturan subnet

Semua subnet memiliki atribut yang dapat dimodifikasi yang menentukan apakah antarmuka jaringan yang dibuat di subnet tersebut ditetapkan sebagai alamat IPv4 publik dan, jika berlaku, alamat IPv6. Ini termasuk antarmuka jaringan utama (misalnya, eth0) yang dibuat untuk sebuah instance saat Anda meluncurkan instance di subnet tersebut. Terlepas dari atribut subnet, Anda masih dapat mengganti pengaturan ini untuk instans tertentu selama peluncuran.

Setelah Anda membuat subnet, Anda dapat mengubah pengaturan berikut untuk subnet:

  • Auto-assign Pengaturan IP: Memungkinkan Anda mengonfigurasi pengaturan IP penetapan otomatis untuk secara otomatis meminta alamat IPv4 atau IPv6 publik untuk antarmuka jaringan baru di subnet ini.

  • Resource-based Pengaturan nama (RBN): Memungkinkan Anda menentukan jenis nama host untuk instans EC2 di subnet ini dan mengonfigurasi bagaimana kueri catatan DNS A dan AAAA ditangani. Untuk informasi selengkapnya, lihat jenis nama host instans Amazon EC2 di Panduan Pengguna Amazon EC2.

Keamanan subnet

Untuk melindungi AWS sumber daya Anda, kami sarankan Anda menggunakan subnet pribadi. Gunakan host bastion atau perangkat NAT untuk menyediakan akses internet ke sumber daya, seperti instans EC2, di subnet pribadi.

AWS menyediakan fitur yang dapat Anda gunakan untuk meningkatkan keamanan sumber daya di VPC Anda. Grup keamanan memungkinkan lalu lintas masuk dan keluar untuk sumber daya terkait, seperti instans EC2. ACL jaringan memungkinkan atau menolak lalu lintas masuk dan keluar di tingkat subnet. Dalam kebanyakan kasus, kelompok keamanan dapat memenuhi kebutuhan Anda. Namun, Anda dapat menggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan. Untuk informasi selengkapnya, lihat Membandingkan grup keamanan dan ACL jaringan.

Berdasarkan desain, setiap subnet harus dikaitkan dengan ACL jaringan. Setiap subnet yang Anda buat secara otomatis dikaitkan dengan ACL jaringan default untuk VPC. ACL jaringan default memungkinkan semua lalu lintas masuk dan keluar. Anda dapat memperbarui ACL jaringan default, atau membuat ACL jaringan khusus dan mengaitkannya dengan subnet Anda. Untuk informasi selengkapnya, lihat Kontrol lalu lintas subnet dengan daftar kontrol akses jaringan.

Anda dapat membuat log alur pada VPC atau subnet Anda untuk menangkap lalu lintas yang mengalir ke dan dari antarmuka jaringan di VPC atau subnet Anda. Anda juga dapat membuat log alur pada antarmuka jaringan individu. Lihat informasi yang lebih lengkap di Mencatat lalu lintas IP menggunakan VPC Flow Logs.