Memungkinkan sumber daya pribadi untuk berkomunikasi di luar VPC - Amazon Virtual Private Cloud
1. Buat VPC untuk NAT contoh2. Buat grup keamanan untuk NAT instance3. Buat NAT AMI4. Luncurkan NAT instance5. Nonaktifkan pemberiksaan sumber/tujuan6. Perbarui tabel rute7. Uji NAT contoh Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memungkinkan sumber daya pribadi untuk berkomunikasi di luar VPC

Bagian ini menjelaskan cara membuat dan bekerja dengan NAT instance untuk mengaktifkan sumber daya di subnet pribadi untuk berkomunikasi di luar cloud pribadi virtual.

1. Buat VPC untuk NAT contoh

Gunakan prosedur berikut untuk membuat VPC subnet publik dan subnet pribadi.

Untuk membuat VPC

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Pilih Buat VPC.

  3. Agar Sumber Daya dapat dibuat, pilih, VPCdan lainnya.

  4. Untuk pembuatan otomatis tag Nama, masukkan nama untuk. VPC

  5. Untuk mengkonfigurasi subnet, lakukan hal berikut:

    1. Untuk Jumlah Availability Zone, pilih 1 atau 2, tergantung kebutuhan Anda.

    2. Untuk Jumlah subnet publik, pastikan Anda memiliki satu subnet publik per Availability Zone.

    3. Untuk Jumlah subnet pribadi, pastikan Anda memiliki satu subnet pribadi per Availability Zone.

  6. Pilih Buat VPC.

2. Buat grup keamanan untuk NAT instance

Buat grup keamanan dengan aturan yang dijelaskan dalam tabel berikut. Aturan ini memungkinkan NAT instans Anda menerima lalu lintas internet dari instans di subnet pribadi, serta SSH lalu lintas dari jaringan Anda. NATInstans juga dapat mengirim lalu lintas ke internet, yang memungkinkan instance di subnet pribadi untuk mendapatkan pembaruan perangkat lunak.

Berikut ini adalah aturan yang direkomendasikan masuk.

Sumber Protokol Rentang Port Komentar
Private subnet CIDR TCP 80 Izinkan HTTP lalu lintas masuk dari server di subnet pribadi
Private subnet CIDR TCP 443 Izinkan HTTPS lalu lintas masuk dari server di subnet pribadi
Public IP address range of your network TCP 22 Izinkan SSH akses masuk ke NAT instance dari jaringan Anda (melalui gateway internet)

Berikut ini adalah aturan keluar yang direkomendasikan.

Tujuan Protokol Rentang Port Komentar
0.0.0.0/0 TCP 80 Izinkan HTTP akses keluar ke internet
0.0.0.0/0 TCP 443 Izinkan HTTPS akses keluar ke internet
Untuk membuat grup keamanan

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Grup keamanan.

  3. Pilih Buat grup keamanan.

  4. Masukkan nama dan deskripsi untuk grup keamanan tersebut.

  5. Untuk VPC, pilih ID untuk VPC NAT contoh Anda.

  6. Tambahkan aturan untuk lalu lintas masuk di bawah aturan Inbound sebagai berikut:

    1. Pilih Tambahkan aturan. Pilih HTTPJenis dan masukkan rentang alamat IP subnet pribadi Anda untuk Sumber.

    2. Pilih Tambahkan aturan. Pilih HTTPSJenis dan masukkan rentang alamat IP subnet pribadi Anda untuk Sumber.

    3. Pilih Tambahkan aturan. Pilih SSHJenis dan masukkan rentang alamat IP jaringan Anda untuk Sumber.

  7. Tambahkan aturan untuk lalu lintas keluar di bawah aturan Outbound sebagai berikut:

    1. Pilih Tambahkan aturan. Pilih HTTPType dan masukkan 0.0.0.0/0 untuk Destination.

    2. Pilih Tambahkan aturan. Pilih HTTPSType dan masukkan 0.0.0.0/0 untuk Destination.

  8. Pilih Buat grup keamanan.

Untuk informasi selengkapnya, lihat Grup keamanan.

3. Buat NAT AMI

A NAT AMI dikonfigurasi untuk berjalan NAT pada sebuah EC2 instance. Anda harus membuat NAT AMI dan kemudian meluncurkan NAT instance Anda menggunakan NATAMI.

Jika Anda berencana untuk menggunakan sistem operasi selain Amazon Linux untuk Anda NATAMI, lihat dokumentasi untuk sistem operasi ini untuk mempelajari cara mengkonfigurasiNAT. Pastikan untuk menyimpan pengaturan ini sehingga mereka tetap ada bahkan setelah instance reboot.

Untuk membuat NAT AMI untuk Amazon Linux

  1. Luncurkan EC2 instance yang menjalankan AL2 023 atau Amazon Linux 2. Pastikan untuk menentukan grup keamanan yang Anda buat untuk NAT instance tersebut.

  2. Connect ke instance Anda dan jalankan perintah berikut pada instance untuk mengaktifkan iptables.

    sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo systemctl start iptables

  3. Lakukan hal berikut pada instance untuk mengaktifkan penerusan IP sedemikian rupa sehingga tetap ada setelah reboot:

    1. Menggunakan editor teks, seperti nano atauvim, buat file konfigurasi berikut:/etc/sysctl.d/custom-ip-forwarding.conf.

    2. Tambahkan baris berikut ke file konfigurasi.

      net.ipv4.ip_forward=1

    3. Simpan file konfigurasi dan keluar dari editor teks.

    4. Jalankan perintah berikut untuk menerapkan file konfigurasi.

      sudo sysctl -p /etc/sysctl.d/custom-ip-forwarding.conf

  4. Jalankan perintah berikut pada instance, dan perhatikan nama antarmuka jaringan utama. Anda akan memerlukan informasi ini untuk langkah selanjutnya.

    netstat -i

    Dalam contoh output berikut, docker0 adalah antarmuka jaringan yang dibuat oleh docker, eth0 adalah antarmuka jaringan utama, dan lo merupakan antarmuka loopback.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
docker0   1500        0      0      0 0             0      0      0      0 BMU
eth0      9001  7276052      0      0 0       5364991      0      0      0 BMRU
lo       65536   538857      0      0 0        538857      0      0      0 LRU

    Dalam contoh output berikut, antarmuka jaringan utama adalahenX0.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
enX0      9001     1076      0      0 0          1247      0      0      0 BMRU
lo       65536       24      0      0 0            24      0      0      0 LRU

    Dalam contoh output berikut, antarmuka jaringan utama adalahens5.

    Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
ens5      9001    14036      0      0 0          2116      0      0      0 BMRU
lo       65536       12      0      0 0            12      0      0      0 LRU

  5. Jalankan perintah berikut pada instance untuk mengkonfigurasiNAT. Jika antarmuka jaringan utama tidaketh0, ganti eth0 dengan antarmuka jaringan utama yang Anda catat pada langkah sebelumnya.

    sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo /sbin/iptables -F FORWARD
sudo service iptables save

  6. Buat NAT AMI dari EC2 instance. Untuk informasi selengkapnya, lihat Membuat Linux AMI dari instance di Panduan EC2 Pengguna Amazon.

4. Luncurkan NAT instance

Gunakan prosedur berikut untuk meluncurkan NAT instance menggunakanVPC, grup keamanan, dan NAT AMI yang Anda buat.

Untuk meluncurkan sebuah NAT instance

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada dasbor, pilih Luncurkan instans.

  3. Untuk Nama, masukkan nama untuk NAT instance Anda.

  4. Untuk Application dan OS Images, pilih NAT AMI (pilih Browse more AMIs, My AMIs).

  5. Untuk tipe Instance, pilih jenis instans yang menyediakan sumber daya komputasi, memori, dan penyimpanan yang dibutuhkan NAT instans Anda.

  6. Untuk Key pair, pilih key pair yang ada atau pilih Create new key pair.

  7. Untuk pengaturan Jaringan, lakukan hal berikut:

    1. Pilih Edit.

    2. Untuk VPC, pilih VPC yang Anda buat.

    3. Untuk Subnet, pilih subnet publik yang Anda buat.

    4. Untuk Auto-assign IP publik, pilih Aktifkan. Atau, setelah Anda meluncurkan NAT instance, alokasikan alamat IP Elastis dan tetapkan ke instance. NAT

    5. Untuk Firewall, pilih Pilih grup keamanan yang ada, lalu pilih grup keamanan yang Anda buat.

  8. Pilih Luncurkan instans. Pilih ID instance untuk membuka halaman detail instance. Tunggu status instance berubah menjadi Running dan agar pemeriksaan status berhasil.

  9. Nonaktifkan pemeriksaan sumber/tujuan untuk NAT instance (lihat). 5. Nonaktifkan pemberiksaan sumber/tujuan

  10. Perbarui tabel rute untuk mengirim lalu lintas ke NAT instance (lihat6. Perbarui tabel rute).

5. Nonaktifkan pemberiksaan sumber/tujuan

Setiap EC2 instance melakukan pemeriksaan sumber/tujuan secara default. Ini berarti bahwa instans harus menjadi sumber atau tujuan dari setiap lalu lintas yang dikirim atau diterima. Namun, sebuah NAT instans harus dapat mengirim dan menerima lalu lintas ketika sumber atau tujuan tidak itu sendiri. Oleh karena itu, Anda harus menonaktifkan pemeriksaan sumber/tujuan pada instance. NAT

Untuk menonaktifkan pemeriksaan sumber/tujuan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih NAT instance.

  4. Pilih Tindakan, Jaringan, Ubah pemeriksaan sumber/tujuan.

  5. Untuk pemeriksaan sumber/tujuan, pilih Stop.

  6. Pilih Simpan.

  7. Jika NAT instance memiliki antarmuka jaringan sekunder, pilih dari Network interface pada tab Networking. Pilih ID antarmuka untuk membuka halaman antarmuka jaringan. Pilih Tindakan, Ubah pemeriksaan sumber/tujuan, hapus Aktifkan, dan pilih Simpan.

6. Perbarui tabel rute

Tabel rute untuk subnet pribadi harus memiliki rute yang mengirimkan lalu lintas internet ke NAT instance.

Untuk memperbarui tabel rute

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Tabel rute.

  3. Pilih tabel rute untuk subnet pribadi.

  4. Pada tab Rute, pilih Edit rute dan kemudian pilih Tambah rute.

  5. Masukkan 0.0.0.0/0 untuk Destination dan ID instance instance untuk Target. NAT

  6. Pilih Simpan perubahan.

Untuk informasi selengkapnya, lihat Konfigurasikan tabel rute.

7. Uji NAT contoh Anda

Setelah meluncurkan NAT instance dan menyelesaikan langkah-langkah konfigurasi di atas, Anda dapat menguji apakah instance di subnet pribadi Anda dapat mengakses internet melalui NAT instance dengan menggunakan NAT instance sebagai server bastion.

Langkah 1: Perbarui grup keamanan NAT instans

Untuk mengizinkan instance di subnet pribadi Anda mengirim lalu lintas ping ke NAT instance, tambahkan aturan untuk mengizinkan lalu lintas masuk dan keluar. ICMP Untuk memungkinkan NAT instance berfungsi sebagai server bastion, tambahkan aturan untuk mengizinkan SSH lalu lintas keluar ke subnet pribadi.

Untuk memperbarui grup keamanan NAT instans Anda

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Grup keamanan.

  3. Pilih kotak centang untuk grup keamanan yang terkait dengan NAT instans Anda.

  4. Pada tab Inbound rules (Aturan ke dalam), pilih Edit inbound rules (Edit aturan ke dalam).

  5. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Jenis. Pilih Custom for Source dan masukkan rentang alamat IP subnet pribadi Anda. Pilih Simpan aturan.

  6. Pada tab Aturan keluar, pilih Edit aturan keluar.

  7. Pilih Tambahkan aturan. Pilih SSHuntuk Tipe. Pilih Custom for Destination dan masukkan rentang alamat IP subnet pribadi Anda.

  8. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Jenis. Pilih Di Mana Saja - IPv4 untuk Tujuan. Pilih Simpan aturan.

Langkah 2: Luncurkan instance pengujian di subnet pribadi

Luncurkan sebuah instans ke subnet privat Anda. Anda harus mengizinkan SSH akses dari NAT instance, dan Anda harus menggunakan key pair yang sama dengan yang Anda gunakan untuk NAT instance tersebut.

Untuk meluncurkan instance pengujian di subnet pribadi

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada dasbor, pilih Luncurkan instans.

  3. Pilih subnet pribadi Anda.

  4. Jangan menetapkan alamat IP publik untuk contoh ini.

  5. Pastikan bahwa grup keamanan untuk contoh ini memungkinkan SSH akses masuk dari NAT instans Anda, atau dari rentang alamat IP subnet publik Anda, dan lalu lintas keluarICMP.

  6. Pilih key pair yang sama yang Anda gunakan untuk NAT instance.

Langkah 3: Ping situs web ICMP yang diaktifkan

Untuk memverifikasi bahwa instance pengujian di subnet pribadi Anda dapat menggunakan NAT instance Anda untuk berkomunikasi dengan internet, jalankan ping perintah.

Untuk menguji koneksi internet dari instans pribadi Anda

  1. Dari komputer lokal Anda, konfigurasikan penerusan SSH agen, sehingga Anda dapat menggunakan NAT instance sebagai server bastion.

    Linux and macOS
    ssh-add key.pem
    Windows

    Unduh dan instal Pageant, jika belum diinstal.

    Konversikan kunci pribadi Anda ke format.ppk menggunakan P. uTTYgen

    Mulai Pageant, klik kanan ikon Pageant di taskbar (mungkin disembunyikan), dan pilih Add Key. Pilih file.ppk yang Anda buat, masukkan frasa sandi jika diperlukan, dan pilih Buka.

  2. Dari komputer lokal Anda, sambungkan ke NAT instans Anda.

    Linux and macOS
    ssh -A ec2-user@nat-instance-public-ip-address
    Windows

    Connect ke NAT instans Anda menggunakan PuTTY. Untuk Auth, Anda harus memilih Izinkan penerusan agen dan biarkan file kunci pribadi untuk otentikasi kosong.

  3. Dari NAT contoh, jalankan ping perintah, tentukan situs web yang diaktifkan untukICMP.

    [ec2-user@ip-10-0-4-184]$ ping ietf.org

    Untuk mengonfirmasi bahwa NAT instans Anda memiliki akses internet, verifikasi bahwa Anda menerima output seperti berikut ini, lalu tekan Ctrl+C untuk membatalkan ping perintah. Jika tidak, verifikasi bahwa NAT instance berada di subnet publik (tabel rutenya memiliki rute ke gateway internet).

    PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=7.88 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.09 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=7.97 ms
...

  4. Dari NAT instans Anda, sambungkan ke instans Anda di subnet pribadi Anda dengan menggunakan alamat IP pribadinya.

    [ec2-user@ip-10-0-4-184]$ ssh ec2-user@private-server-private-ip-address

  5. Dari instance pribadi Anda, uji apakah Anda dapat terhubung ke internet dengan menjalankan ping perintah.

    [ec2-user@ip-10-0-135-25]$ ping ietf.org

    Untuk mengonfirmasi bahwa instans pribadi Anda memiliki akses internet melalui NAT instance, verifikasi bahwa Anda menerima output seperti berikut ini, lalu tekan Ctrl+C untuk membatalkan ping perintah.

    PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=8.76 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.26 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=8.27 ms
...
Pemecahan Masalah

Jika ping perintah gagal dari server di subnet pribadi, gunakan langkah-langkah berikut untuk memecahkan masalah:

  • Verifikasi bahwa Anda melakukan ping ke situs web yang telah ICMP diaktifkan. Jika tidak, server Anda tidak dapat menerima paket balasan. Untuk menguji ini, jalankan ping perintah yang sama dari terminal baris perintah di komputer Anda sendiri.

  • Verifikasi bahwa grup keamanan untuk NAT instans Anda mengizinkan ICMP lalu lintas masuk dari subnet pribadi Anda. Jika tidak, NAT instans Anda tidak dapat menerima ping perintah dari instance pribadi Anda.

  • Verifikasi bahwa Anda menonaktifkan pemeriksaan sumber/tujuan untuk instans Anda. NAT Untuk informasi selengkapnya, lihat 5. Nonaktifkan pemberiksaan sumber/tujuan.

  • Verifikasi bahwa Anda mengonfigurasi tabel rute dengan benar. Untuk informasi selengkapnya, lihat 6. Perbarui tabel rute.

Langkah 4: Membersihkan

Jika Anda tidak lagi memerlukan server pengujian di subnet pribadi, hentikan instance sehingga Anda tidak lagi ditagih untuk itu. Untuk informasi selengkapnya, lihat Menghentikan instans Anda di Panduan EC2 Pengguna Amazon.

Jika Anda tidak lagi memerlukan NAT instance, Anda dapat menghentikan atau menghentikannya, sehingga Anda tidak lagi ditagih untuk itu. Jika Anda membuat NATAMI, Anda dapat membuat NAT instance baru kapan pun Anda membutuhkannya.