Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Memungkinkan sumber daya pribadi untuk berkomunikasi di luar VPC

PDF
RSS
Mode fokus
Memungkinkan sumber daya pribadi untuk berkomunikasi di luar VPC - Amazon Virtual Private Cloud
1. Buat VPC untuk instance NAT2. Buat grup keamanan untuk instance NAT3. Buat NAT AMI4. Luncurkan instance NAT5. Nonaktifkan pemberiksaan sumber/tujuan6. Perbarui tabel rute7. Uji instans NAT Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagian ini menjelaskan cara membuat dan bekerja dengan instans NAT untuk mengaktifkan sumber daya di subnet pribadi untuk berkomunikasi di luar cloud pribadi virtual.

1. Buat VPC untuk instance NAT

Gunakan prosedur berikut untuk membuat VPC dengan subnet publik dan subnet pribadi.

Untuk membuat VPC

  1. Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/

  2. Pilih Buat VPC.

  3. Agar Sumber Daya dapat dibuat, pilih VPC dan lainnya.

  4. Untuk Pembuatan otomatis tanda nama, masukkan nama untuk VPC.

  5. Untuk mengkonfigurasi subnet, lakukan hal berikut:

    1. Untuk Jumlah Availability Zone, pilih 1 atau 2, tergantung kebutuhan Anda.

    2. Untuk Jumlah subnet publik, pastikan Anda memiliki satu subnet publik per Availability Zone.

    3. Untuk Jumlah subnet pribadi, pastikan Anda memiliki satu subnet pribadi per Availability Zone.

  6. Pilih Buat VPC.

2. Buat grup keamanan untuk instance NAT

Buat grup keamanan dengan aturan yang dijelaskan dalam tabel berikut. Aturan ini memungkinkan instans NAT Anda menerima lalu lintas internet dari instans di subnet pribadi, serta lalu lintas SSH dari jaringan Anda. Instans NAT juga dapat mengirim lalu lintas ke internet, yang membuat instans di subnet privat bisa mendapatkan pembaruan perangkat lunak.

Berikut ini adalah aturan yang direkomendasikan masuk.

Sumber Protokol Rentang Port Komentar
Private subnet CIDR TCP 80 Izinkan lalu lintas HTTP masuk dari server di subnet privat
Private subnet CIDR TCP 443 Izinkan lalu lintas HTTPS masuk dari server di subnet privat
Public IP address range of your network TCP 22 Izinkan akses SSH masuk ke instans NAT dari jaringan Anda (melalui gateway internet)

Berikut ini adalah aturan keluar yang direkomendasikan.

Tujuan Protokol Rentang Port Komentar
0.0.0.0/0 TCP 80 Izinkan akses HTTP keluar ke internet
0.0.0.0/0 TCP 443 Izinkan akses HTTPS keluar ke internet
Untuk membuat grup keamanan

  1. Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Grup keamanan.

  3. Pilih Buat grup keamanan.

  4. Masukkan nama dan deskripsi untuk grup keamanan tersebut.

  5. Untuk VPC, pilih ID VPC untuk instans NAT Anda.

  6. Tambahkan aturan untuk lalu lintas masuk di bawah aturan Inbound sebagai berikut:

    1. Pilih Tambahkan aturan. Pilih HTTP untuk Jenis dan masukkan rentang alamat IP subnet pribadi Anda untuk Sumber.

    2. Pilih Tambahkan aturan. Pilih HTTPS untuk Jenis dan masukkan rentang alamat IP subnet pribadi Anda untuk Sumber.

    3. Pilih Tambahkan aturan. Pilih SSH untuk Jenis dan masukkan rentang alamat IP jaringan Anda untuk Sumber.

  7. Tambahkan aturan untuk lalu lintas keluar di bawah aturan Outbound sebagai berikut:

    1. Pilih Tambahkan aturan. Pilih HTTP untuk Type dan masukkan 0.0.0.0/0 untuk Tujuan.

    2. Pilih Tambahkan aturan. Pilih HTTPS untuk Type dan masukkan 0.0.0.0/0 untuk Tujuan.

  8. Pilih Buat grup keamanan.

Untuk informasi selengkapnya, lihat Grup keamanan.

3. Buat NAT AMI

NAT AMI dikonfigurasi untuk menjalankan NAT pada sebuah EC2 instance. Anda harus membuat NAT AMI dan kemudian meluncurkan instans NAT Anda menggunakan NAT AMI Anda.

Jika Anda berencana untuk menggunakan sistem operasi selain Amazon Linux untuk NAT AMI Anda, lihat dokumentasi untuk sistem operasi ini untuk mempelajari cara mengkonfigurasi NAT. Pastikan untuk menyimpan pengaturan ini sehingga tetap ada bahkan setelah instance reboot.

Untuk membuat NAT AMI untuk Amazon Linux

  1. Luncurkan EC2 instance yang menjalankan AL2 023 atau Amazon Linux 2. Pastikan untuk menentukan grup keamanan yang Anda buat untuk instance NAT.

  2. Connect ke instance Anda dan jalankan perintah berikut pada instance untuk mengaktifkan iptables.

    sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo systemctl start iptables

  3. Lakukan hal berikut pada instance untuk mengaktifkan penerusan IP sedemikian rupa sehingga tetap ada setelah reboot:

    1. Menggunakan editor teks, seperti nano atauvim, buat file konfigurasi berikut:/etc/sysctl.d/custom-ip-forwarding.conf.

    2. Tambahkan baris berikut ke file konfigurasi.

      net.ipv4.ip_forward=1

    3. Simpan file konfigurasi dan keluar dari editor teks.

    4. Jalankan perintah berikut untuk menerapkan file konfigurasi.

      sudo sysctl -p /etc/sysctl.d/custom-ip-forwarding.conf

  4. Jalankan perintah berikut pada instance, dan perhatikan nama antarmuka jaringan utama. Anda akan memerlukan informasi ini untuk langkah selanjutnya.

    netstat -i

    Dalam contoh output berikut, docker0 adalah antarmuka jaringan yang dibuat oleh docker, eth0 adalah antarmuka jaringan utama, dan lo merupakan antarmuka loopback.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
docker0   1500        0      0      0 0             0      0      0      0 BMU
eth0      9001  7276052      0      0 0       5364991      0      0      0 BMRU
lo       65536   538857      0      0 0        538857      0      0      0 LRU

    Dalam contoh output berikut, antarmuka jaringan utama adalahenX0.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
enX0      9001     1076      0      0 0          1247      0      0      0 BMRU
lo       65536       24      0      0 0            24      0      0      0 LRU

    Dalam contoh output berikut, antarmuka jaringan utama adalahens5.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
ens5      9001    14036      0      0 0          2116      0      0      0 BMRU
lo       65536       12      0      0 0            12      0      0      0 LRU

  5. Jalankan perintah berikut pada instance untuk mengkonfigurasi NAT. Jika antarmuka jaringan utama tidaketh0, ganti eth0 dengan antarmuka jaringan utama yang Anda catat pada langkah sebelumnya.

    sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo /sbin/iptables -F FORWARD
sudo service iptables save

  6. Buat NAT AMI dari EC2 instance. Untuk informasi selengkapnya, lihat Membuat AMI Linux dari instans di Panduan EC2 Pengguna Amazon.

4. Luncurkan instance NAT

Gunakan prosedur berikut untuk meluncurkan instans NAT menggunakan VPC, grup keamanan, dan NAT AMI yang Anda buat.

Untuk meluncurkan instance NAT

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada dasbor, pilih Luncurkan instans.

  3. Untuk Nama, masukkan nama untuk instance NAT Anda.

  4. Untuk Gambar Aplikasi dan OS, pilih NAT AMI Anda (pilih Browse more AMIs, My AMIs).

  5. Untuk tipe Instance, pilih jenis instans yang menyediakan sumber daya komputasi, memori, dan penyimpanan yang dibutuhkan instans NAT Anda.

  6. Untuk Key pair, pilih key pair yang ada atau pilih Create new key pair.

  7. Untuk pengaturan Jaringan, lakukan hal berikut:

    1. Pilih Edit.

    2. Untuk VPC, pilih VPC yang Anda buat.

    3. Untuk Subnet, pilih subnet publik yang Anda buat.

    4. Untuk Auto-assign IP publik, pilih Aktifkan. Atau, setelah Anda meluncurkan instance NAT, alokasikan alamat IP Elastis dan tetapkan ke instance NAT.

    5. Untuk Firewall, pilih Pilih grup keamanan yang ada, lalu pilih grup keamanan yang Anda buat.

  8. Pilih Luncurkan instans. Pilih ID instance untuk membuka halaman detail instance. Tunggu status instance berubah menjadi Running dan agar pemeriksaan status berhasil.

  9. Nonaktifkan pemeriksaan sumber/tujuan untuk instance NAT (lihat). 5. Nonaktifkan pemberiksaan sumber/tujuan

  10. Perbarui tabel rute untuk mengirim lalu lintas ke instance NAT (lihat6. Perbarui tabel rute).

5. Nonaktifkan pemberiksaan sumber/tujuan

Setiap EC2 instance melakukan source/destination checks by default. This means that the instance must be the source or destination of any traffic it sends or receives. However, a NAT instance must be able to send and receive traffic when the source or destination is not itself. Therefore, you must disable source/destination pemeriksaan pada instance NAT.

Untuk menonaktifkan pemeriksaan sumber/tujuan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih contoh NAT.

  4. Pilih Tindakan, Jaringan, Ubah pemeriksaan sumber/tujuan.

  5. Untuk pemeriksaan sumber/tujuan, pilih Stop.

  6. Pilih Simpan.

  7. Jika instans NAT memiliki antarmuka jaringan sekunder, pilih dari Antarmuka jaringan pada tab Jaringan. Pilih ID antarmuka untuk membuka halaman antarmuka jaringan. Pilih Tindakan, Ubah pemeriksaan sumber/tujuan, hapus Aktifkan, dan pilih Simpan.

6. Perbarui tabel rute

Tabel rute untuk subnet pribadi harus memiliki rute yang mengirimkan lalu lintas internet ke instance NAT.

Untuk memperbarui tabel rute

  1. Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Tabel rute.

  3. Pilih tabel rute untuk subnet pribadi.

  4. Pada tab Rute, pilih Edit rute dan kemudian pilih Tambah rute.

  5. Masukkan 0.0.0.0/0 untuk Destination dan ID instance dari instance NAT untuk Target.

  6. Pilih Simpan perubahan.

Untuk informasi selengkapnya, lihat Konfigurasikan tabel rute.

7. Uji instans NAT Anda

Setelah Anda meluncurkan instans NAT dan menyelesaikan langkah-langkah konfigurasi di atas, Anda dapat menguji apakah sebuah instance di subnet pribadi Anda dapat mengakses internet melalui instance NAT dengan menggunakan instance NAT sebagai server bastion.

Langkah 1: Perbarui grup keamanan instans NAT

Untuk mengizinkan instance di subnet pribadi Anda mengirim lalu lintas ping ke instans NAT, tambahkan aturan untuk mengizinkan lalu lintas ICMP masuk dan keluar. Untuk memungkinkan instance NAT berfungsi sebagai server bastion, tambahkan aturan untuk mengizinkan lalu lintas SSH keluar ke subnet pribadi.

Untuk memperbarui grup keamanan instans NAT Anda

  1. Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Grup keamanan.

  3. Pilih kotak centang untuk grup keamanan yang terkait dengan instans NAT Anda.

  4. Pada tab Inbound rules (Aturan ke dalam), pilih Edit inbound rules (Edit aturan ke dalam).

  5. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Jenis. Pilih Custom for Source dan masukkan rentang alamat IP subnet pribadi Anda. Pilih Simpan aturan.

  6. Pada tab Aturan keluar, pilih Edit aturan keluar.

  7. Pilih Tambahkan aturan. Pilih SSH untuk Tipe. Pilih Custom for Destination dan masukkan rentang alamat IP subnet pribadi Anda.

  8. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Jenis. Pilih Di Mana Saja - IPv4 untuk Tujuan. Pilih Simpan aturan.

Langkah 2: Luncurkan instance pengujian di subnet pribadi

Luncurkan sebuah instans ke subnet privat Anda. Anda harus mengizinkan akses SSH dari instance NAT, dan Anda harus menggunakan key pair yang sama dengan yang Anda gunakan untuk instance NAT.

Untuk meluncurkan instance pengujian di subnet pribadi

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada dasbor, pilih Luncurkan instans.

  3. Pilih subnet pribadi Anda.

  4. Jangan menetapkan alamat IP publik untuk contoh ini.

  5. Pastikan bahwa grup keamanan untuk contoh ini memungkinkan akses SSH masuk dari instans NAT Anda, atau dari rentang alamat IP subnet publik Anda, dan lalu lintas ICMP keluar.

  6. Pilih key pair yang sama yang Anda gunakan untuk instance NAT.

Langkah 3: Ping situs web berkemampuan ICMP

Untuk memverifikasi bahwa instance pengujian di subnet pribadi Anda dapat menggunakan instance NAT Anda untuk berkomunikasi dengan internet, jalankan perintah. ping

Untuk menguji koneksi internet dari instans pribadi Anda

  1. Dari komputer lokal Anda, konfigurasikan penerusan agen SSH, sehingga Anda dapat menggunakan instance NAT sebagai server bastion.

    Linux and macOS
    ssh-add key.pem
    Windows

    Unduh dan instal Pageant, jika belum diinstal.

    Konversikan kunci pribadi Anda menggunakan Pu TTYgen.

    Mulai Pageant, klik kanan ikon Pageant di taskbar (mungkin disembunyikan), dan pilih Add Key. Pilih file.ppk yang Anda buat, masukkan frasa sandi jika diperlukan, dan pilih Buka.

    anchoranchor
    ssh-add key.pem

  2. Dari komputer lokal Anda, sambungkan ke instans NAT Anda.

    Linux and macOS
    ssh -A ec2-user@nat-instance-public-ip-address
    Windows

    Connect ke instans NAT Anda menggunakan PuTTY. Untuk Auth, Anda harus memilih Izinkan penerusan agen dan biarkan file kunci pribadi untuk otentikasi kosong.

    anchoranchor
    ssh -A ec2-user@nat-instance-public-ip-address

  3. Dari instance NAT, jalankan ping perintah, tentukan situs web yang diaktifkan untuk ICMP.

    [ec2-user@ip-10-0-4-184]$ ping ietf.org

    Untuk mengonfirmasi bahwa instans NAT Anda memiliki akses internet, verifikasi bahwa Anda menerima output seperti berikut ini, lalu tekan Ctrl+C untuk membatalkan ping perintah. Jika tidak, verifikasi bahwa instance NAT berada di subnet publik (tabel rutenya memiliki rute ke gateway internet).

    PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=7.88 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.09 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=7.97 ms
...

  4. Dari instans NAT Anda, sambungkan ke instans Anda di subnet pribadi Anda dengan menggunakan alamat IP pribadinya.

    [ec2-user@ip-10-0-4-184]$ ssh ec2-user@private-server-private-ip-address

  5. Dari instance pribadi Anda, uji apakah Anda dapat terhubung ke internet dengan menjalankan ping perintah.

    [ec2-user@ip-10-0-135-25]$ ping ietf.org

    Untuk mengonfirmasi bahwa instans pribadi Anda memiliki akses internet melalui instans NAT, verifikasi bahwa Anda menerima output seperti berikut ini, lalu tekan Ctrl+C untuk membatalkan ping perintah.

    PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=8.76 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.26 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=8.27 ms
...
Pemecahan Masalah

Jika ping perintah gagal dari server di subnet pribadi, gunakan langkah-langkah berikut untuk memecahkan masalah:

  • Verifikasi bahwa Anda melakukan ping ke situs web yang mengaktifkan ICMP. Jika tidak, server Anda tidak dapat menerima paket balasan. Untuk menguji ini, jalankan ping perintah yang sama dari terminal baris perintah di komputer Anda sendiri.

  • Verifikasi bahwa grup keamanan untuk instans NAT Anda memungkinkan lalu lintas ICMP masuk dari subnet pribadi Anda. Jika tidak, instans NAT Anda tidak dapat menerima ping perintah dari instance pribadi Anda.

  • Verifikasi bahwa Anda menonaktifkan pemeriksaan sumber/tujuan untuk instans NAT Anda. Untuk informasi selengkapnya, lihat 5. Nonaktifkan pemberiksaan sumber/tujuan.

  • Verifikasi bahwa Anda mengonfigurasi tabel rute dengan benar. Untuk informasi selengkapnya, lihat 6. Perbarui tabel rute.

Langkah 4: Membersihkan

Jika Anda tidak lagi memerlukan server pengujian di subnet pribadi, hentikan instance sehingga Anda tidak lagi ditagih untuk itu. Untuk informasi selengkapnya, lihat Menghentikan instans Anda di Panduan EC2 Pengguna Amazon.

Jika Anda tidak lagi memerlukan instans NAT, Anda dapat menghentikan atau menghentikannya, sehingga Anda tidak lagi ditagih untuk itu. Jika Anda membuat NAT AMI, Anda dapat membuat instance NAT baru kapan pun Anda membutuhkannya.

Di halaman ini

Related resources

Panduan Peering VPC
Gateway Transit Amazon VPC
Panduan EC2 Pengembang Amazon

Related resources

Panduan Peering VPC
Gateway Transit Amazon VPC
Panduan EC2 Pengembang Amazon
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.