Virtual Private Cloud pada layanan Amazon Web Services
Virtual Private Cloud (VPC) Amazon adalah layanan dasar AWS dalam kategori AWS Komputasi dan Jaringan. Menjadi dasar berarti bahwa layanan AWS lainnya, seperti Elastic Compute Cloud (EC2), tidak dapat diakses tanpa jaringan VPC yang mendasarinya.
Bagaimana VPC bekerja: virtual networking environments
Setiap VPC menciptakan lingkungan jaringan virtual yang terisolasi di cloud AWS, yang didedikasikan untuk akun AWS. Sumber daya dan layanan AWS lainnya beroperasi di dalam jaringan VPC untuk menyediakan layanan cloud.
AWS VPC akan terlihat familier bagi siapa saja yang terbiasa menjalankan Pusat Data (DC) fisik. VPC berperilaku seperti jaringan TCP/IP tradisional yang dapat diperluas dan diskalakan sesuai kebutuhan. Namun, komponen DC yang biasa di gunakan—seperti router, sakelar, VLAN, dll.—tidak secara eksplisit ada di VPC. Mereka telah diabstraksikan dan direkayasa ulang menjadi perangkat lunak cloud.
Dengan menggunakan VPC, Kita dapat dengan cepat menjalankan infrastruktur jaringan virtual tempat instans AWS dapat diluncurkan. Setiap VPC menentukan apa yang dibutuhkan sumber daya AWS kita, termasuk:
- IP addresses
- Subnets
- Routing
- Security
- Networking functionality
Dimana VPC berada
Semua VPC dibuat dan ada di satu—dan hanya satu—wilayah AWS. Wilayah AWS adalah lokasi geografis di seluruh dunia tempat Amazon mengelompokkan pusat data cloud-nya.
Keuntungan regionalisasi adalah VPC regional menyediakan layanan jaringan yang berasal dari wilayah geografis tersebut. Jika kita perlu memberikan akses yang lebih dekat untuk pelanggan di wilayah lain, kita dapat menyiapkan VPC lain di wilayah tersebut.
Ini selaras dengan teori komputasi awan AWS di mana aplikasi dan sumber daya TI dikirimkan melalui internet sesuai permintaan dan dengan harga bayar sesuai pemakaian. Membatasi konfigurasi VPC ke wilayah tertentu memungkinkan Kita untuk secara selektif menyediakan layanan jaringan di tempat yang dibutuhkan, sesuai kebutuhan.
Setiap akun Amazon dapat menghosting beberapa VPC. Karena VPC terisolasi satu sama lain, Kita dapat menduplikasi subnet pribadi di antara VPC dengan cara yang sama seperti Kita menggunakan subnet yang sama di dua pusat data fisik yang berbeda. Kita juga dapat menambahkan alamat IP publik yang dapat digunakan untuk menjangkau instans yang diluncurkan VPC dari internet.
Amazon membuat satu VPC default untuk setiap akun, lengkap dengan:
- Default subnets
- Routing tables
- Security groups
- Network access control list
Kita dapat memodifikasi atau menggunakan VPC tersebut untuk konfigurasi cloud kita atau kita dapat membuat VPC baru dan layanan pendukung dari awal.
Mengelola VPC Kita
Administrasi VPC ditangani melalui antarmuka manajemen AWS ini:
- AWS Management Console adalah antarmuka web untuk mengelola semua fungsi AWS (gambar di bawah).
- AWS Command Line Interface (CLI) menyediakan perintah Windows, Linux, dan Mac untuk banyak layanan AWS. AWS sering memberikan instruksi konfigurasi sebagai perintah CLI.
- AWS Software Development Kit (SDK) menyediakan API khusus bahasa untuk layanan AWS, termasuk VPC.
- Query APIs. Tindakan API tingkat rendah dapat dikirimkan melalui permintaan HTTP atau HTTPS. Periksa Referensi API EC2 AWS untuk informasi lebih lanjut.
The AWS Management Console |
Elemen VPC
Konsol manajemen AWS berbasis web, yang ditampilkan di atas, menunjukkan sebagian besar sumber daya VPC yang dapat kita buat dan kelola. Layanan jaringan VPC meliputi:
- IPv4 and IPv6 address blocks
- Subnet creation
- Route tables
- Internet connectivity
- Elastic IP addresses (EIPs)
- Network/subnet security
- Additional networking services
=> IPv4 and IPv6 address blocks
Rentang alamat IP VPC ditentukan menggunakan blok IPv4 dan IPv6 Classless interdomain routing (CIDR). Kita dapat menambahkan blok CIDR primer dan sekunder ke VPC kita, jika blok CIDR sekunder berasal dari rentang alamat yang sama dengan blok primer.
AWS merekomendasikan agar kita menentukan blok CIDR dari rentang alamat pribadi yang ditentukan dalam RFC 1918, yang ditunjukkan pada tabel di bawah ini. Lihat halaman AWS VPC dan Subnet untuk pembatasan blok CIDR mana yang dapat digunakan.
=> Subnet creation
Instans EC2 yang diluncurkan berjalan di dalam subnet VPC yang ditentukan (terkadang disebut sebagai meluncurkan instans ke dalam subnet).
Untuk pengalamatan IP, setiap CIDR subnet berisi subset dari blok CIDR VPC. Setiap subnet mengisolasi lalu lintas individualnya dari semua lalu lintas subnet VPC lainnya. Sebuah subnet hanya dapat berisi satu blok CIDR. Kita dapat menetapkan subnet yang berbeda untuk menangani berbagai jenis lalu lintas.
Misalnya, instance server file dapat diluncurkan ke satu subnet, aplikasi web dan seluler dapat diluncurkan ke subnet yang berbeda, layanan pencetakan ke subnet lainnya, dan seterusnya.
=> Route tables
Route tables berisi aturan (rute) yang menentukan bagaimana lalu lintas jaringan diarahkan di dalam VPC dan subnet kita. VPC membuat tabel rute default yang disebut tabel rute utama. Tabel rute utama secara otomatis dikaitkan dengan semua subnet VPC. Di sini, kita memiliki dua opsi:
Perbarui dan gunakan tabel rute utama untuk mengarahkan lalu lintas jaringan.
Buat tabel rute Kita sendiri untuk digunakan untuk lalu lintas subnet individual.
=> Internet Connectivity
Untuk akses Internet, setiap konfigurasi VPC dapat menghosting satu Gateway Internet dan menyediakan layanan terjemahan alamat jaringan (NAT) menggunakan Gateway Internet, instans NAT, atau gateway NAT.
=> Elastic IP addresses (EIPs)
EIP adalah alamat IPv4 publik statis yang dialokasikan secara permanen ke akun AWS kita (EIP tidak ditawarkan untuk IPv6). EIP digunakan untuk akses Internet publik ke:
An instance.
An AWS elastic network interface (ENI).
Layanan lain yang membutuhkan alamat IP publik.
Kita mengalokasikan EIP untuk penggunaan jaringan permanen jangka panjang.
=> Network/subnet security
VPC menggunakan grup keamanan untuk memberikan perlindungan stateful (status sesi koneksi dipertahankan) misalnya. AWS menggambarkan grup keamanan sebagai firewall virtual.
VPC juga menyediakan daftar kontrol akses jaringan (NACL) ke subnet VPC stateless yaitu, status koneksi tidak dipertahankan.
=> Additional Networking Services
Tentu saja, ini bukan satu-satunya layanan AWS yang disediakan VPC. Kita dapat menggunakan VPC untuk mengonfigurasi layanan jaringan umum lainnya seperti:
Virtual Private Networks (VPNs).
Direct connectivity between VPCs (VPC peering).
Gateways.
Mirror sessions.
VPC & tanggung jawab bersama
Sebelum kita mulai mengkonfigurasi VPC, lihat model Tanggung Jawab Bersama Amazon. Menurut Amazon, keamanan dan kepatuhan adalah tanggung jawab bersama antara AWS dan pelanggannya.
Untuk akun dan konfigurasi AWS kita, AWS bertanggung jawab atas “Keamanan Cloud” sementara pelanggan bertanggung jawab atas “Keamanan di Cloud.” Umumnya:
- AWS bertanggung jawab atas infrastruktur cloud AWS (perangkat keras, perangkat lunak cloud, jaringan, fasilitas) yang menjalankan layanan AWS.
- Pelanggan bertanggung jawab atas apa yang mereka jalankan di cloud, seperti server, data, enkripsi, aplikasi, keamanan, akses, sistem operasi, dll.
Model tanggung jawab bersama menjelaskan siapa yang bertanggung jawab atas masalah tertentu saat kita mengalami waktu henti AWS, pelanggaran keamanan, atau kehilangan bisnis. Penting untuk memahami batasan ini saat kita menyiapkan konfigurasi VPC. Konsultasikan model tanggung jawab bersama untuk informasi lebih lanjut.
Tidak ada komentar:
Posting Komentar