Amazon VPC - AWSTransit Gateway

Amazon VPCAWSTransit Gateway

Amazon VPC AWSTransit Gateway

Amazon VPC: AWSTransit GatewayCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Merek dagang dan tampilan dagang Amazon tidak boleh digunakan sehubungan dengan produk atau layananapa pun yang bukan milik Amazon, dengan cara apa pun yang dapat menyebabkan kebingungan di antara parapelanggan, atau dengan cara apa pun yang menghina atau mendiskreditkan Amazon. Semua merek dagang lain yangtidak dimiliki oleh Amazon adalah milik dari pemiliknya masing-masing, yang mungkin atau tidak berafiliasi dengan,terhubung ke, atau disponsori oleh Amazon.


Table of ContentsApa transit gateway? .......................................................................................................................... 1

Konsep transit gateway ............................................................................................................... 1Cara memulai dengan transit gateway ........................................................................................... 1Bekerja dengan gateway transit .................................................................................................... 2Harga ....................................................................................................................................... 2

Cara kerja gateway transit ................................................................................................................... 3Diagram arsitektur ...................................................................................................................... 3Lampiran sumber daya ................................................................................................................ 4Availability Zone ......................................................................................................................... 4Perutean ................................................................................................................................... 4

Tabel rute .......................................................................................................................... 5Pengaitan tabel rute ............................................................................................................ 5Propagasi rute ................................................................................................................... 5Rute untuk mengintip lampiran ............................................................................................. 6Urutan evaluasi rute ............................................................................................................ 6

Mulai ................................................................................................................................................ 8Prasyarat ................................................................................................................................... 8Langkah 1: Buat transit gateway ................................................................................................... 8Langkah 2: Lampirkan VPC Anda ke gateway transit ....................................................................... 9Langkah 3: Tambahkan rute antara gateway transit dan VPC Anda .................................................... 9Langkah 4: Uji transit gateway .................................................................................................... 10Langkah 5: Hapus transit gateway ............................................................................................... 10

Praktik terbaik desain ........................................................................................................................ 11Contoh ............................................................................................................................................ 12

Router terpusat ......................................................................................................................... 12Gambaran Umum ............................................................................................................. 12Sumber daya ................................................................................................................... 12Perutean .......................................................................................................................... 13

VPC Terisolasi ......................................................................................................................... 14Gambaran Umum ............................................................................................................. 14Sumber daya ................................................................................................................... 14Perutean .......................................................................................................................... 15

VPC Terisolasi dengan layanan bersama ..................................................................................... 16Gambaran Umum ............................................................................................................. 16Sumber daya ................................................................................................................... 16Perutean .......................................................................................................................... 17

Peering .................................................................................................................................... 18Gambaran Umum ............................................................................................................. 18Sumber daya ................................................................................................................... 18Perutean .......................................................................................................................... 19

Routing keluar terpusat .............................................................................................................. 20Gambaran Umum ............................................................................................................. 20Sumber daya ................................................................................................................... 20Perutean .......................................................................................................................... 21

Alat VPC ................................................................................................................................. 22Gambaran Umum ............................................................................................................. 23peralatan stateful dan modus alat ........................................................................................ 24Perutean .......................................................................................................................... 24

Bekerja dengan gateway transit .......................................................................................................... 26Transit gateway ........................................................................................................................ 26

Membuat transit gateway ................................................................................................... 27Melihat gateway transit Anda .............................................................................................. 28Menambahkan atau mengedit tanda untuk transit gateway ...................................................... 28Memodifikasi transit gateway .............................................................................................. 29

iii


Berbagi transit gateway ..................................................................................................... 29Terima berbagi sumber daya .............................................................................................. 30Terima lampiran bersama ................................................................................................... 30Menghapus transit gateway ................................................................................................ 30

Lampiran gateway ke VPC ......................................................................................................... 30Siklus hidup lampiran VPC ................................................................................................. 31Buat lampiran transit gateway ke VPC ................................................................................. 35Ubah lampiran VPC Anda .................................................................................................. 35Memodifikasi tag lampiran VPC Anda .................................................................................. 36Melihat lampiran VPC ........................................................................................................ 36Menghapus lampiran VPC .................................................................................................. 36Mengatasi masalah lampiran VPC ....................................................................................... 37

Lampiran gateway ke gateway Direct Connect .............................................................................. 37Lampiran VPN gateway ............................................................................................................. 38

Buat lampiran transit gateway ke VPN ................................................................................. 38Melihat lampiran VPN Anda ................................................................................................ 39

Lampiran peering transit gateway ................................................................................................ 39Buat lampiran peering ....................................................................................................... 39Menerima atau menolak permintaan lampiran peering ............................................................ 40Tambahkan rute ke tabel rute transit gateway ....................................................................... 41Melihat lampiran peering transit gateway .............................................................................. 41Menghapus lampiran peering .............................................................................................. 41KeikutsertaanAWSPertimbangan wilayah .............................................................................. 42

Transit gateway Connect lampiran dan rekan Transit Gateway Connect ............................................. 42Transit Transit Transit Gateway .......................................................................................... 43Persyaratan dan pertimbangan ........................................................................................... 45Buat transit Connect .......................................................................................................... 46Buat rekan Transit Gateway Connect (terowongan GRE) ........................................................ 46Lihat gateway transit Anda Connect lampiran dan rekan Transit Gateway Connect ....................... 47Ubah lampiran Connect dan tag rekan Transit Gateway Connect .............................................. 47Menghapus rekan Transit Gateway Connect ......................................................................... 48Menghapus Connect gateway ............................................................................................. 48

Tabel rute transit gateway .......................................................................................................... 48Buat tabel rute gerbang ..................................................................................................... 48Tabel rute gerbang ........................................................................................................... 49Mengaitkan tabel rute transit gateway .................................................................................. 49Hapus asosiasi untuk tabel rute transit gateway ..................................................................... 50Menyebarkan rute ke tabel rute transit gateway ..................................................................... 50Nonaktifkan propagasi rute ................................................................................................. 50Buat rute statis ................................................................................................................. 51Menghapus rute statis ....................................................................................................... 51Tabel rute ekspor ke Amazon S3 ........................................................................................ 52Menghapus tabel rute gerbang ........................................................................................... 53Daftar prefiks ................................................................................................................... 53

Tabel kebijakan Transit Gateway ................................................................................................. 55Buat tabel kebijakan transit gateway .................................................................................... 55Menghapus tabel kebijakan transit gateway .......................................................................... 56Menggunakan CLI/API untuk tabel kebijakan ......................................................................... 56

Multicast di gateway transit ........................................................................................................ 57Konsep multicast ................................................................................................................ 1Pertimbangan-pertimbangan ............................................................................................... 57Routing multicast .............................................................................................................. 58Bekerja dengan multicast ................................................................................................... 59

Bagikan gateway transit Anda ............................................................................................................. 73Batalkan transit gateway ............................................................................................................ 74

Log alur transit Gateway .................................................................................................................... 75Catatan Log Aliran Transit Gateway ............................................................................................ 76

iv


Format default .................................................................................................................. 76Format kustom ................................................................................................................. 76Bidang yang tersedia ......................................................................................................... 76

Publikasikan ke CloudWatch Beberapa catatan ............................................................................. 80IAM role untuk menerbitkan log alur ke CloudWatch Beberapa catatan ...................................... 81Izin bagi pengguna IAM untuk meneruskan peran .................................................................. 82Membuat log alur yang menerbitkan ke CloudWatch Beberapa catatan ...................................... 82Catatan log alur proses di CloudWatch Beberapa catatan ....................................................... 84

Terbitkan ke Amazon S3 ............................................................................................................ 85Berkas log alur ................................................................................................................. 85Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3 .............................. 87Izin bucket Amazon S3 untuk log alur .................................................................................. 87Kebijakan utama yang diperlukan untuk digunakan dengan SSE-KMS ....................................... 88Izin file berkas log Amazon S3 ........................................................................................... 89Membuat log alur yang menerbitkan ke Amazon S3 ............................................................... 89Catatan log alur proses di Amazon S3 ................................................................................. 90

Bekerja dengan log alur ............................................................................................................. 90Mengontrol penggunaan log alur ......................................................................................... 91Membuat log alur .............................................................................................................. 91Melihat log alur ................................................................................................................. 91Menambahkan atau menghapus tag untuk log alur ................................................................. 92Melihat catatan log alur ..................................................................................................... 92Cari catatan log alur .......................................................................................................... 92Menghapus log alur .......................................................................................................... 93Gambaran umum dan batasan API dan CLI .......................................................................... 93

Pantau gateway transit Anda .............................................................................................................. 95CloudWatch metrik .................................................................................................................... 95

Metrik transit gateway ........................................................................................................ 95Dimensi metrik untuk gateway transit ................................................................................... 96

CloudTrail log ........................................................................................................................... 97Informasi transit gateway di CloudTrail ................................................................................. 97Memahami entri berkas log transit gateway .......................................................................... 98

Kontrol autentikasi dan akses ........................................................................................................... 100Contoh kebijakan untuk mengelola gateway transit ....................................................................... 100Contoh kebijakan untuk mengelolaAWSManajer Jaringan .............................................................. 102Peran terkait layanan ............................................................................................................... 102

Transit Gateway .............................................................................................................. 102Kebijakan yang dikelola AWS ................................................................................................... 103ACL jaringan .......................................................................................................................... 103

Subnet yang sama untuk instans EC2 dan asosiasi gateway transit ......................................... 104Subnet yang berbeda untuk instans EC2 dan asosiasi gateway transit ..................................... 104Praktik Terbaik ................................................................................................................ 104

Quotas ........................................................................................................................................... 106Umum ................................................................................................................................... 106Perutean ................................................................................................................................ 106Lampiran gateway transit ......................................................................................................... 107Bandwidth .............................................................................................................................. 107AWS Direct Connectliburan ...................................................................................................... 108MTU ...................................................................................................................................... 108Multicast ................................................................................................................................ 108Network Manager .................................................................................................................... 109Sumber daya kuota tambahan .................................................................................................. 109

Riwayat dokumen ............................................................................................................................ 110..................................................................................................................................................... cxii

v

Amazon VPC AWSTransit GatewayKonsep transit gateway

Apa transit gateway?SEBUAHtransit gatewayadalah hub transit jaringan yang dapat Anda gunakan untuk menghubungkanvirtual private cloud (VPC) dan jaringan on-premise. Seiring infrastruktur cloud Anda berkembang secaraglobal, peering antar wilayah menghubungkan gateway transit bersama menggunakanAWSInfrastrukturglobal. Data Anda secara otomatis dienkripsi dan tidak pernah melakukan perjalanan melalui internetpublik.

Untuk informasi selengkapnya, lihat AWS Transit Gateway.

Konsep transit gatewayBerikut ini adalah konsep utama untuk transit gateway:

• Lampiran— Anda dapat melampirkan berikut ini:• Satu VPC atau lebih• Alat jaringan Connect SD-WAN/Pihak Ketiga• SesiAWS Direct Connectgateway• Koneksi peering dengan gateway transit lain• Koneksi VPN ke transit gateway

• Unit Transmisi Maksimum Gerbang Transit (MTU)— Maximum transmission unit (MTU) dari koneksijaringan adalah ukuran, dalam byte, dari paket terbesar yang dapat diizinkan yang dapat dilewatkanmelalui koneksi. Semakin besar MTU suatu koneksi, semakin banyak data yang dapat dilewatkan dalamsatu paket tunggal. Transit gateway mendukung MTU 8500 byte untuk lalu lintas antara VPC,AWSDirect Connect, Transit Gateway Connect, dan lampiran peering. Lalu lintas melalui koneksi VPN dapatmemiliki MTU 1500 byte.

• Tabel rute gerbang transit— Sebuah gateway transit memiliki tabel rute default dan opsional dapatmemiliki tabel rute tambahan. Sebuah tabel rute termasuk rute dinamis dan statis yang menentukan hopberikutnya berdasarkan alamat IP tujuan paket. Target rute ini bisa berupa lampiran gateway transit.Secara default, lampiran transit gateway dikaitkan dengan tabel rute transit gateway.

• Asosiasi— Setiap lampiran terkait dengan persis satu tabel rute. Setiap tabel rute dapat dikaitkan dengannol ke banyak lampiran.

• Propagasi rute- Sebuah VPC, koneksi VPN, atau gateway Direct Connect dapat secara dinamismenyebarkan rute ke tabel rute transit gateway. Dengan lampiran Connect, rute disebarkan ke tabel rutetransit gateway secara default. Dengan VPC, Anda harus membuat rute statis untuk mengirim lalu lintaske gateway transit. Dengan koneksi VPN atau gateway Direct Connect, rute disebarkan dari gatewaytransit ke router lokal menggunakan Border Gateway Protocol (BGP). Dengan lampiran peering, Andaharus membuat rute statis di tabel rute transit gateway untuk menunjuk ke lampiran peering.

Cara memulai dengan transit gatewayGunakan sumber daya berikut untuk membantu Anda membuat dan menggunakan gateway transit.

• Cara kerja gateway transit (p. 3)• Mulai (p. 8)• Praktik terbaik desain (p. 11)

1

http://aws.amazon.com/transit-gateway

Amazon VPC AWSTransit GatewayBekerja dengan gateway transit

Bekerja dengan gateway transitAnda dapat membuat, mengakses, dan mengelola transit gateway Anda menggunakan salah satuantarmuka berikut:

• AWS Management Console— Menyediakan antarmuka web yang dapat Anda gunakan untukmengakses transit gateway Anda.

• AWSAntarmuka Baris Perintah (AWS CLI)- Menyediakan perintah untuk satu set luasAWSlayanan,termasuk Amazon VPC, dan didukung di Windows, macOS, dan Linux. Untuk informasi selengkapnya,lihat AWS Command Line Interface.

• AWSSDK— Menyediakan operasi API khusus bahasa dan menangani banyak detail koneksi, sepertimenghitung tanda tangan, menangani percobaan ulang permintaan, dan penanganan kesalahan. Untukinformasi selengkapnya, lihat SDK AWS.

• Kueri API — Menyediakan tindakan API tingkat rendah yang Anda hubungi menggunakan permintaanHTTPS. Menggunakan API Kueri merupakan cara paling langsung untuk mengakses Amazon VPC,tetapi mengharuskan aplikasi Anda menangani detail tingkat rendah seperti membuat hash untukmenandatangani permintaan, dan menangani kesalahan. Untuk informasi selengkapnya, lihat ReferensiAPI Amazon EC2.

HargaAnda dikenakan biaya setiap jam untuk setiap lampiran di gateway transit, dan Anda dikenakan biaya untukjumlah lalu lintas yang diproses di gateway transit. Untuk informasi selengkapnya, lihatAWSHarga TransitGateway.

2

http://aws.amazon.com/cli/

http://aws.amazon.com/tools/#SDKs

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/

http://aws.amazon.com/transit-gateway/pricing

http://aws.amazon.com/transit-gateway/pricing

Amazon VPC AWSTransit GatewayDiagram arsitektur

Cara kerja gateway transitSEBUAHtransit Gatewaybertindak sebagai virtual router Regional untuk lalu lintas yang mengalir antaravirtual private cloud (VPC) dan jaringan on-premise. Gerbang transit berskala elastis berdasarkan volumelalu lintas jaringan. Routing melalui gateway transit beroperasi pada layer 3, di mana paket dikirim kelampiran next-hop tertentu, berdasarkan alamat IP tujuan mereka.

Daftar Isi• Diagram arsitektur (p. 3)• Lampiran sumber daya (p. 4)• Availability Zone (p. 4)• Perutean (p. 4)

Diagram arsitekturDiagram berikut memperlihatkan transit gateway dengan tiga lampiran VPC. Tabel rute untuk masing-masing VPC ini mencakup rute lokal dan rute yang mengirim lalu lintas yang ditujukan untuk dua VPClainnya ke gateway transit.

Berikut ini adalah contoh tabel rute transit gateway untuk lampiran yang ditunjukkan pada diagramsebelumnya. Blok CIDR untuk setiap VPC merambat ke tabel rute. Oleh karena itu, setiap lampiran dapatmerutekan paket ke dua lampiran lainnya.

Tujuan Target Jenis rute

VPC KE CIDR Lampiran untuk VPC A diperbanyak

3

Amazon VPC AWSTransit GatewayLampiran sumber daya

Tujuan Target Jenis rute

VPC B CIDR Lampiran untuk VPC B diperbanyak

VPC C CIDR Lampiran untuk VPC C diperbanyak

Lampiran sumber dayaLampiran gateway transit adalah sumber dan tujuan paket. Anda dapat melampirkan sumber daya berikutke gateway transit Anda:

• Satu atau lebih VPC atau lebih VPC.AWS Transit Gateway menyebarkan elastic network interfacedalam subnet VPC, yang kemudian digunakan oleh gateway transit untuk merutekan lalu lintas ke dandari subnet yang dipilih. Anda harus memiliki setidaknya satu subnet untuk setiap Availability Zone,yang kemudian memungkinkan lalu lintas untuk mencapai sumber daya di setiap subnet zona tersebut.Selama pembuatan lampiran, sumber daya dalam Availability Zone tertentu dapat mencapai gatewaytransit hanya jika subnet diaktifkan dalam zona yang sama. Jika tabel rute subnet menyertakan rute kegateway transit, lalu lintas hanya diteruskan ke gateway transit jika gateway transit memiliki lampiran disubnet dari Availability Zone yang sama.

• Satu atau lebih koneksi VPN• Satu atau lebihAWS Direct Connectliburan• Satu atau beberapa lampiran Transit Gateway Connect• Satu atau lebih koneksi peering gateway transit

Koneksi peering intra-wilayah didukung. Anda dapat memiliki transit gateway di Wilayah yang berbeda.

Availability ZoneKetika Anda melampirkan sebuah VPC ke Transit Gateway, Anda harus mengaktifkan satu atau beberapaAvailability Zone untuk digunakan oleh Transit Gateway untuk mengarahkan lalu lintas ke sumber dayadalam subnet VPC. Untuk mengaktifkan setiap Availability Zone, Anda menentukan tepat satu subnet.Gateway transit menempatkan antarmuka jaringan di subnet itu menggunakan satu alamat IP dari subnet.Setelah Anda mengaktifkan Availability Zone, lalu lintas dapat dialihkan ke semua subnet di zona itu, bukanhanya subnet yang ditentukan. Sumber daya yang berada di Availability Zone dimana tidak ada lampirangateway transit tidak dapat mencapai gateway transit.

Kami menyarankan Anda mengaktifkan beberapa Availability Zone untuk memastikan ketersediaan.

Menggunakan dukungan mode alat

Jika Anda berencana untuk mengonfigurasi alat jaringan stateful di VPC Anda, Anda dapat mengaktifkandukungan mode alat untuk lampiran VPC tempat alat berada. Ini memastikan bahwa gateway transitmenggunakan Availability Zone yang sama untuk lampiran VPC tersebut selama masa lalu lintas antarasumber dan tujuan. Ini juga memungkinkan gateway transit untuk mengirim lalu lintas ke Availability Zoneapa pun di VPC, selama ada asosiasi subnet di zona itu. Untuk informasi selengkapnya, lihat Contoh:Appliance dalam layanan bersama VPC (p. 22).

PeruteanGateway transit Anda merutekan paket IPv4 dan IPv6 di antara lampiran menggunakan tabel rute gatewaytransit. Anda dapat mengkonfigurasi tabel rute ini untuk menyebarkan rute dari tabel rute untuk VPC

4

Amazon VPC AWSTransit GatewayTabel rute

terlampir, koneksi VPN, dan gateway Direct Connect. Anda juga dapat menambahkan rute statis ketabel rute transit gateway. Ketika sebuah paket berasal dari satu lampiran, itu dialihkan ke lampiran lainmenggunakan rute yang cocok dengan alamat IP tujuan.

Untuk lampiran peering gateway transit, hanya rute statis yang didukung.

Daftar Isi• Tabel rute (p. 5)• Pengaitan tabel rute (p. 5)• Propagasi rute (p. 5)• Rute untuk mengintip lampiran (p. 6)• Urutan evaluasi rute (p. 6)

Tabel ruteTransit gateway otomatis dilengkapi dengan tabel rute default. Secara default, tabel rute ini adalah tabelrute pengaitan default dan tabel rute propagasi default. Atau, jika Anda menonaktifkan propagasi rute danasosiasi tabel rute,AWStidak membuat tabel rute default untuk gateway transit.

Anda dapat membuat tabel rute tambahan untuk gateway transit Anda. Hal ini memungkinkan Anda untukmengisolasi subnet lampiran. Setiap lampiran dapat dikaitkan dengan satu tabel rute. Lampiran dapatmenyebarkan rute-rutenya ke satu atau lebih tabel rute.

Anda dapat membuat rute blackhole di tabel rute gateway transit Anda yang menjatuhkan lalu lintas yangcocok dengan rute.

Ketika Anda melampirkan sebuah VPC ke Transit Gateway, Anda harus menambahkan rute ke tabel rutesubnet Anda agar lalu lintas dapat terarahkan melalui Transit Gateway. Untuk informasi selengkapnya,lihatPerutean untuk Transit Gatewaydi dalamPanduan Pengguna Amazon VPC.

Pengaitan tabel ruteAnda dapat mengaitkan lampiran gateway transit dengan tabel rute tunggal. Setiap tabel rute dapatdikaitkan dengan nol ke banyak lampiran dan dapat meneruskan paket ke lampiran lainnya.

Propagasi ruteSetiap lampiran dilengkapi dengan rute yang dapat diinstal dalam satu atau lebih tabel rute gateway transit.Ketika lampiran disebarkan ke tabel rute gateway transit, rute ini dipasang di tabel rute.

Untuk lampiran VPC, blok CIDR dari VPC disebarkan ke tabel rute transit gateway.

Saat perutean dinamis digunakan dengan lampiran VPN atau lampiran gateway Direct Connect, Andadapat menyebarkan rute yang dipelajari dari router lokal melalui BGP ke salah satu tabel rute gatewaytransit.

Ketika routing dinamis digunakan dengan lampiran VPN, rute dalam tabel rute yang terkait denganlampiran VPN diiklankan ke gateway pelanggan melalui BGP.

Untuk lampiran Connect, rute dalam tabel rute yang terkait dengan lampiran Connect diiklankan keperalatan virtual pihak ketiga, seperti peralatan SD-WAN, berjalan di VPC melalui BGP.

Untuk lampiran gateway Direct Connect Connect Connect Connecinteraksi prefiks yang diizinkankontrolrute mana yang diiklankan ke jaringan pelangganAWS.

5

https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html#route-tables-tgw

https://docs.aws.amazon.com/directconnect/latest/UserGuide/allowed-to-prefixes.html

Amazon VPC AWSTransit GatewayRute untuk mengintip lampiran

Ketika rute statis dan rute yang disebarkan memiliki tujuan yang sama, rute statis memiliki prioritas yanglebih tinggi, sehingga rute yang disebarkan tidak termasuk dalam tabel rute. Jika Anda menghapus rutestatis, rute propagasi yang tumpang tindih disertakan dalam tabel rute.

Rute untuk mengintip lampiranAnda dapat mengintip dua gateway transit, dan rute lalu lintas di antara mereka. Untuk melakukan ini, Andamembuat lampiran peering pada gateway transit Anda, dan tentukan gateway transit peer yang digunakanuntuk membuat koneksi peering. Anda kemudian membuat rute statis di tabel rute gateway transit Andauntuk merutekan lalu lintas ke lampiran peering gateway transit. Lalu lintas yang dialihkan ke gatewaytransit peer kemudian dapat dialihkan ke lampiran VPC dan VPN untuk gateway transit peer.

Untuk informasi selengkapnya, lihat Contoh: Gerbang transit yang diintip (p. 18).

Urutan evaluasi ruterute transit gateway dievaluasi dalam urutan berikut:

• Rute paling spesifik untuk alamat tujuan.• Untuk rute dengan alamat IP tujuan yang sama tetapi target yang berbeda, prioritas rute adalah sebagai

berikut:• Rute statis (misalnya rute statis Site-to-Site VPN)• Daftar prefiks daftar rute yang direferensikan• Rute yang disebarkan VPC• rute Direct Connect Connect Connect Connect• Transit Gateway Connect rute yang disebarkan• Rute Site-to-Site VPN

Transit Gateway hanya menunjukkan rute yang disukai. Rute cadangan hanya akan muncul di tabelrute Transit Gateway jika rute tersebut tidak lagi diiklankan. Misalnya, jika Anda mengiklankan rute yangsama melalui gateway Direct Connect dan melalui Site-to-Site VPN.AWS Transit Gateway hanya akanmenunjukkan rute yang diterima dari rute gateway Direct Connect, yang merupakan rute yang disukai. Site-to-Site VPN, yang merupakan rute cadangan, hanya akan ditampilkan ketika gateway Direct Connect tidaklagi diiklankan.

Pertimbangkan tabel rute VPC berikut. Rute lokal VPC memiliki prioritas tertinggi, diikuti oleh rute yangpaling spesifik. Ketika rute statis dan rute yang disebarkan memiliki tujuan yang sama, rute statis memilikiprioritas yang lebih tinggi.

Tujuan Target Priority

10.0.0.0/16 lokal 1

192.168.0.0/16 pcx-12345 2

172.31.0.0/16 vgw-12345 (statis) atau

tgw-12345 (statis)

2

172.31.0.0/16 vgw-12345 (disebarkan) 3

0.0.0.0/0 igw-12345 4

Pertimbangkan tabel rute transit gateway. Jika Anda lebih sukaAWS Direct Connectlampiran gateway kelampiran VPN, gunakan koneksi VPN BGP dan menyebarkan rute di tabel rute gateway transit.

6

Amazon VPC AWSTransit GatewayUrutan evaluasi rute

Tujuan Lampiran (Target) Tipe sumber daya Jenis rute Priority

10.0.0.0/16 tgw-lampiran-123 |vpc-1234

VPC Statis ataudisebarkan

1

192.168.0.0/16 tgw-lampir-789 |vpn-5678

VPN Statis 2

172.31.0.0/16 tgw-attach-456 |dxgw_id

Gateway AWSDirect Connect

Diperbanyak 3

172.31.0.0/16 tgw-attach-attach-789 | tgw-connect-peer-123

Hubungkan Diperbanyak 4

172.31.0.0/16 tgw-lampir-789 |vpn-5678

VPN Diperbanyak 5

7

Amazon VPC AWSTransit GatewayPrasyarat

Memulai dengan gateway transitTugas-tugas berikut membantu Anda mengenal transit gateway. Anda akan membuat gateway transit dankemudian menghubungkan dua VPC Anda menggunakan gateway transit.

Tugas• Prasyarat (p. 8)• Langkah 1: Buat transit gateway (p. 8)• Langkah 2: Lampirkan VPC Anda ke gateway transit (p. 9)• Langkah 3: Tambahkan rute antara gateway transit dan VPC Anda (p. 9)• Langkah 4: Uji transit gateway (p. 10)• Langkah 5: Hapus transit gateway (p. 10)

Prasyarat• Untuk menunjukkan contoh sederhana menggunakan gateway transit, buat dua VPC di Wilayah yang

sama. VPC tidak dapat memiliki CIDR yang tumpang tindih. Luncurkan satu instans Amazon EC2 disetiap VPC. Untuk informasi selengkapnya, lihatMemulai dengan Amazon VPCdiPanduan PenggunaAmazon VPC.

• Anda tidak dapat memiliki rute identik menunjuk ke dua VPC yang berbeda. Gerbang transit tidakmenyebarkan CIDRs dari VPC yang baru dilampirkan jika rute identik ada di tabel rute transit gateway.

• Verifikasi bahwa Anda memiliki izin yang diperlukan untuk bekerja dengan transit gateway. Untukinformasi selengkapnya, lihat Kontrol autentikasi dan akses untuk gateway transit Anda (p. 100).

• Anda tidak dapat melakukan ping di antara tuan rumah jika Anda belum menambahkan aturan ICMPke masing-masing grup keamanan host. Untuk informasi selengkapnya, lihatBekerja dengan grupkeamanandiPanduan Pengguna Amazon VPC.

Langkah 1: Buat transit gatewayKetika Anda membuat transit gateway, kita membuat tabel rute transit gateway default danmenggunakannya sebagai tabel rute pengaitan default dan tabel rute propagasi default.

Untuk membuat transit gateway

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di pemilih Wilayah, pilih Wilayah yang Anda gunakan saat membuat VPC.3. Pada panel navigasi, pilihTransit Gateway.4. MemiilihBuat transit gateway.5. (Opsional) UntukTag nama, masukkan nama untuk transit gateway. Ini menciptakan tag dengan

“Nama” sebagai kunci dan nama yang Anda tentukan sebagai nilai.6. (Opsional) UntukDeskripsi, masukkan deskripsi untuk transit gateway.7. UntukNomor Sistem Otonom sisi Amazon (ASN), masukkan ASN pribadi untuk gateway transit Anda.

Ini harus menjadi ASN untukAWSsisi sesi Border Gateway Protocol (BGP).

Rentang dari 64512 hingga 65534 untuk ASN 16-bit.

8

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups#working-with-security-groups

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups#working-with-security-groups

https://console.aws.amazon.com/vpc/

Amazon VPC AWSTransit GatewayLangkah 2: Lampirkan VPC Anda ke gateway transit

Rentang ini dari 4200000000 ke 4294967294 untuk ASN 32-bit.

Jika Anda memiliki penyebaran Multi-wilayah, sebaiknya gunakan ASN unik untuk masing-masinggateway transit Anda.

8. (Opsional) Anda dapat memodifikasi pengaturan default jika Anda perlu menonaktifkan dukunganDNS, atau jika Anda tidak ingin tabel rute asosiasi default atau tabel rute propagasi default.

9. MemiilihBuat transit gateway. Ketika gateway dibuat, keadaan awal gateway transit adalahpending.

Langkah 2: Lampirkan VPC Anda ke gatewaytransit

Tunggu sampai gateway transit yang Anda buat di bagian sebelumnya menunjukkan tersedia sebelummelanjutkan pembuatan lampiran. Buat lampiran untuk setiap VPC.

Konfirmasikan bahwa Anda telah membuat dua VPC dan meluncurkan instans EC2 di masing-masing,seperti yang dijelaskan dalamPrasyarat (p. 8).

Buat lampiran transit gateway ke VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. MemiilihBuat lampiran transit gateway.4. (Opsional) UntukTag nama, masukkan nama untuk lampiran.5. UntukID transit gateway, pilih transit gateway untuk lampiran.6. UntukJenis lampiran, pilihVPC.7. Pilih apakah akan mengaktifkanSupport DNS. Untuk latihan ini, jangan aktifkanDukungan IPv6.8. Untuk ID VPC, pilih VPC yang dilampirkan pada transit gateway.9. UntukID Subnet, pilih satu subnet untuk setiap Availability Zone yang akan digunakan oleh gateway

transit untuk rute lalu lintas. Anda harus memilih setidaknya satu subnet. Anda hanya dapat memilihsatu subnet per Availability Zone.

10. MemiilihBuat lampiran transit gateway.

Setiap lampiran selalu dikaitkan dengan tepat satu tabel rute. Tabel rute dapat dikaitkan dengan nol kebanyak lampiran. Untuk menentukan rute yang akan dikonfigurasi, putuskan kasus penggunaan untukgateway transit Anda, lalu konfigurasikan rute. Untuk informasi selengkapnya, lihat Contoh (p. 12).

Langkah 3: Tambahkan rute antara gateway transitdan VPC Anda

Sebuah tabel rute mencakup rute dinamis dan statis yang menentukan hop berikutnya untuk VPCterkait berdasarkan alamat IP tujuan paket. Konfigurasikan rute yang memiliki tujuan untuk rute non-lokal dan target ID lampiran gateway transit. Untuk informasi selengkapnya, lihatPerutean untuk TransitGatewaydiPanduan Pengguna Amazon VPC.

Untuk menambahkan rute ke tabel rute VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

9





Amazon VPC AWSTransit GatewayLangkah 4: Uji transit gateway

2. Di panel navigasi, pilih Tabel Rute.3. Pilih tabel rute yang terkait dengan VPC Anda.4. Pilih Rute, kemudian pilih Edit rute.5. Pilih Tambahkan rute.6. Di dalam kolom Tujuan, masukkan maukkan rentang alamat IP tujuan. UntukTarget, pilihTransit

Gateway, dan kemudian pilih ID transit gateway.7. Pilih Simpan perubahan.

Langkah 4: Uji transit gatewayAnda dapat mengonfirmasi bahwa gateway transit berhasil dibuat dengan menghubungkan ke instansAmazon EC2 di setiap VPC, dan kemudian mengirim data di antara keduanya, seperti perintah ping. Untukinformasi selengkapnya, lihatTerhubung ke instans Linux AndaatauMenyambungkan ke instans Windows.

Langkah 5: Hapus transit gatewayBila Anda tidak lagi memerlukan transit gateway, Anda dapat menghapusnya. Anda tidak dapat menghapusgateway transit yang memiliki lampiran sumber daya. Segera setelah transit gateway dihapus, Andaberhenti pengenaan biaya untuk transit gateway tersebut.

Untuk menghapus gateway transit

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran dan kemudian pilihTindakan,Hapus lampiran transit gateway.4. ENTERdeletedan pilihHapus.5. Pada panel navigasi, pilihTransit Gateway.6. Pilih gateway transit dan kemudian pilihTindakan,Hapus transit gateway.7. ENTERdeletedan pilihHapus.

10

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html



Praktik terbaik desain gateway transitPraktik terbaik untuk desain transit gateway Anda:

• Gunakan subnet terpisah untuk setiap lampiran VPC gateway transit. Untuk setiap subnet, gunakanCIDR kecil, misalnya/28, sehingga Anda memiliki lebih banyak alamat untuk sumber daya EC2. BilaAnda menggunakan subnet terpisah, Anda dapat mengkonfigurasi yang berikut ini:• Simpan ACL jaringan masuk dan keluar yang terkait dengan subnet transit gateway terbuka.• Bergantung pada alur lalu lintas, Anda dapat menerapkan ACL jaringan ke subnet beban kerja.

• Buat satu jaringan ACL dan kaitkan dengan semua subnet yang terkait dengan gateway transit. Jauhkanjaringan ACL terbuka di kedua arah masuk dan keluar.

• Kaitkan tabel rute VPC yang sama dengan semua subnet yang terkait dengan gateway transit, kecualidesain jaringan Anda memerlukan beberapa tabel rute VPC (misalnya, VPC kotak tengah yangmerutekan lalu lintas melalui beberapa gateway NAT).

• Gunakan koneksi Site-to-Site VPN Protocol (BGP). Jika perangkat gateway pelanggan atau firewall untukkoneksi mendukung multipath, aktifkan fitur tersebut.

• Aktifkan propagasi rute untukAWS Direct Connectlampiran gateway dan lampiran Site-to-Site VPN.• Saat bermigrasi dari VPC peering untuk menggunakanAWSTransit Gateway,

• Gerbang transit tidak mendukung referensi Grup Keamanan.• Ukuran MTU ketidakcocokan antara peering VPC dan gateway transit dapat mengakibatkan beberapa

paket jatuh untuk lalu lintas asimetris. Perbarui kedua VPC pada saat yang sama untuk menghindaripaket jumbo menjatuhkan karena ketidakcocokan ukuran.

• Anda tidak memerlukan gateway transit tambahan untuk ketersediaan tinggi, karena gateway transitsangat tersedia berdasarkan desain.

• Batasi jumlah tabel rute transit gateway kecuali desain Anda memerlukan beberapa tabel rute gatewaytransit.

• Untuk redundansi, gunakan satu Transit Gateway di setiap Wilayah untuk pemulihan bencana.• Untuk penyebaran dengan beberapa gateway transit, sebaiknya gunakan Autonomous System Number

(ASN) yang unik untuk setiap gateway transit Anda. Transit Gateway juga mendukung peering intra-wilayah. Untuk informasi selengkapnya, lihatMembangun jaringan global menggunakanAWSTransitGateway Intra-Region mengintip.

11

http://aws.amazon.com/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/

http://aws.amazon.com/blogs/networking-and-content-delivery/building-a-global-network-using-aws-transit-gateway-inter-region-peering/

Amazon VPC AWSTransit GatewayRouter terpusat

ContohBerikut ini adalah kasus penggunaan umum untuk gateway transit. Gerbang transit Anda tidak terbataspada kasus penggunaan ini.

Contoh• Contoh: Router terpusat (p. 12)• Contoh: VPC Terisolasi (p. 14)• Contoh: VPC Terisolasi dengan layanan bersama (p. 16)• Contoh: Gerbang transit yang diintip (p. 18)• Contoh: Routing outbound terpusat ke internet (p. 20)• Contoh: Appliance dalam layanan bersama VPC (p. 22)

Contoh: Router terpusatAnda dapat mengkonfigurasi gateway transit Anda sebagai router terpusat yang menghubungkan semuaVPC Anda,AWS Direct Connect, Koneksi Site-to-Site VPN. Dalam skenario ini, semua lampiran terkaitdengan tabel rute default transit gateway dan menyebarkan ke tabel rute default transit gateway. Olehkarena itu, semua lampiran dapat rute paket satu sama lain, dengan gateway transit berfungsi sebagailayer sederhana 3 IP router.

Isi• Gambaran Umum (p. 12)• Sumber daya (p. 12)• Perutean (p. 13)

Gambaran UmumDiagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Dalam skenario ini, ada tigalampiran VPC dan satu lampiran Site-to-Site VPN di transit gateway. Paket dari subnet di VPC A, VPCB, dan VPC C yang ditakdirkan untuk subnet di VPC lain atau untuk koneksi VPN rute pertama melaluigateway transit.

Sumber dayaBuat sumber daya berikut untuk skenario ini:

12

Amazon VPC AWSTransit GatewayPerutean

• Tiga VPC. Untuk informasi tentang pembuatan VPC, lihatBuat VPCdiPanduan Pengguna Amazon VPC.• Transit gateway. Untuk informasi selengkapnya, lihat the section called “Membuat transit

gateway” (p. 27).• Tiga lampiran VPC di gateway transit. Untuk informasi selengkapnya, lihat the section called “Buat

lampiran transit gateway ke VPC” (p. 35).• Lampiran Site-to-Site VPN di transit gateway. Blok CIDR untuk setiap VPC merambat ke tabel rute transit

gateway. Ketika koneksi VPN habis, sesi BGP didirikan dan Site-to-Site VPN CIDR menyebar ke tabelrute transit gateway dan CIDR VPC ditambahkan ke tabel BGP gateway pelanggan. Untuk informasiselengkapnya, lihat the section called “Buat lampiran transit gateway ke VPN” (p. 38).

Pastikan bahwa Anda meninjaupersyaratan untuk perangkat gateway pelanggan AndadiAWS Site-to-SiteVPNPanduan Pengguna.

PeruteanSetiap VPC memiliki tabel rute dan ada tabel rute untuk gateway transit.

Tabel rute VPCSetiap VPC memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk perutean IPv4 lokaldi VPC; entri ini mengaktifkan instans-instans di dalam VPC ini untuk berkomunikasi satu sama lain. Entrikedua rute semua lalu lintas subnet IPv4 lainnya ke gateway transit. Tabel berikut menunjukkan rute VPCA.

Tujuan Target

10.0.0/16 Lokal

0.0.0.0/0 id

Tabel rute gerbang transitBerikut ini adalah contoh dari tabel rute default untuk lampiran yang ditunjukkan dalam diagramsebelumnya, dengan propagasi rute diaktifkan.

Tujuan Target Tipe rute

10.0.0/16 Lampiran untuk VPC A disebarkan

10.0.0/16 Lampiran untuk VPC B disebarkan

10.0.0/16 Lampiran untuk VPC C disebarkan

10.99.0/24 Lampiran koneksi VPN disebarkan

Tabel gateway pelangganTabel BGP gateway pelanggan berisi CIDR VPC berikut.

• 10.0.0/16• 10.0.0/16• 10.0.0/16

13

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC

https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html#CGRequirements

Amazon VPC AWSTransit GatewayVPC Terisolasi

Contoh: VPC TerisolasiAnda dapat mengkonfigurasi transit gateway Anda sebagai beberapa router terisolasi. Hal ini mirip denganmenggunakan beberapa transit gateway, tetapi memberikan lebih banyak fleksibilitas dalam kasus di manarute dan lampiran mungkin berubah. Dalam skenario ini, setiap router terisolasi memiliki tabel rute tunggal.Semua lampiran yang terkait dengan router terisolasi merambat dan mengasosiasikan dengan tabel rute.Lampiran yang terkait dengan satu router terisolasi dapat merutekan paket satu sama lain, tetapi tidakdapat merutekan paket ke atau menerima paket dari lampiran untuk router terisolasi lainnya.


Gambaran UmumDiagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Paket dari VPC A, VPC B,dan VPC C rute ke gateway transit. Paket dari subnet di VPC, A, VPC B, dan VPC C yang memiliki internetsebagai rute tujuan pertama melalui gateway transit dan kemudian rute ke koneksi Site-to-Site VPN (jikatujuan berada dalam jaringan itu). Paket dari satu VPC yang memiliki tujuan subnet di VPC lain, misalnyadari 10.1.0.0 ke 10.2.0.0, rute melalui gateway transit, di mana mereka diblokir karena tidak ada rute untukmereka di tabel rute gateway transit.


• Tiga VPC. Untuk informasi tentang pembuatan VPC, lihatBuat VPCdiPanduan Pengguna Amazon VPC.• Transit gateway. Untuk informasi selengkapnya, lihat the section called “Membuat transit

gateway” (p. 27).• Tiga lampiran di gateway transit untuk tiga VPC. Untuk informasi selengkapnya, lihat the section called

“Buat lampiran transit gateway ke VPC” (p. 35).• Lampiran Site-to-Site VPN di gateway. Untuk informasi selengkapnya, lihat the section called “Buat

lampiran transit gateway ke VPN” (p. 38). Pastikan bahwa Anda meninjaupersyaratan untukperangkat gateway pelanggan AndadiAWS Site-to-Site VPNPanduan Pengguna.

Ketika koneksi VPN habis, sesi BGP didirikan dan VPN CIDR menyebar ke tabel rute transit gateway danCIDR VPC ditambahkan ke tabel BGP gateway pelanggan.

14





PeruteanSetiap VPC memiliki tabel rute, dan gateway transit memiliki dua tabel rute — satu untuk VPC dan satuuntuk koneksi VPN.

Tabel rute VPC A, VPC B, dan VPC CSetiap VPC memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk routing IPv4 lokaldi VPC. Entri ini memungkinkan instans di VPC ini untuk berkomunikasi satu sama lain. Entri kedua rutesemua lalu lintas subnet IPv4 lainnya ke gateway transit. Tabel berikut menunjukkan rute VPC A.

Tujuan Target

10.1.0.0/16 Lokal

0.0.0.0/0 id

Tabel rute transit gatewaySkenario ini menggunakan satu tabel rute untuk VPC dan satu tabel rute untuk koneksi VPN.

Lampiran VPC dikaitkan dengan tabel rute berikut, yang memiliki rute yang disebarkan untuk lampiranVPN.


10.99.0/24 Lampiran untuk koneksiVPN

diperbanyak

Lampiran VPN dikaitkan dengan tabel rute berikut, yang telah menyebarkan rute untuk masing-masinglampiran VPC.


10.1.0.0/16 Lampiran untuk VPC A diperbanyak

10.2.0.0/16 Lampiran untuk VPC B diperbanyak

10.3.0.0/16 Lampiran untuk VPC C diperbanyak

Untuk informasi lebih lanjut tentang menyebarkan rute di tabel rute transit gateway, lihatMenyebarkan ruteke tabel rute transit gateway (p. 50).


• 10.1.0.0/16• 10.2.0.0/16• 10.3.0.0/16

15

Amazon VPC AWSTransit GatewayVPC Terisolasi dengan layanan bersama

Contoh: VPC Terisolasi dengan layanan bersamaAnda dapat mengkonfigurasi transit gateway Anda sebagai beberapa router terisolasi yang menggunakanlayanan bersama. Hal ini mirip dengan menggunakan beberapa transit gateway, tetapi memberikanlebih banyak fleksibilitas dalam kasus di mana rute dan lampiran mungkin berubah. Dalam skenario ini,setiap router terisolasi memiliki tabel rute tunggal. Semua lampiran yang terkait dengan router terisolasimerambat dan mengasosiasikan dengan tabel rute. Lampiran yang terkait dengan satu router terisolasidapat merutekan paket satu sama lain, tetapi tidak dapat merutekan paket ke atau menerima paket darilampiran untuk router terisolasi lainnya. Lampiran dapat merutekan paket ke atau menerima paket darilayanan bersama. Anda dapat menggunakan skenario ini ketika Anda memiliki grup yang perlu diisolasi,tetapi menggunakan layanan bersama, misalnya sistem produksi.

Daftar Isi• Gambaran Umum (p. 16)• Sumber daya (p. 16)• Perutean (p. 17)

Gambaran UmumDiagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Paket dari subnet di VPCA, VPC B, dan VPC C yang memiliki internet sebagai tujuan, rute pertama melalui gateway transit dankemudian rute ke gateway pelanggan untuk Site-to-Site VPN. Paket dari subnet di VPC A, VPC B, atauVPC C yang memiliki tujuan subnet di rute VPC A, VPC B, atau VPC C melalui gateway transit, di manamereka diblokir karena tidak ada rute untuk mereka di meja rute transit gateway. Paket dari VPC A, VPC B,dan VPC C yang memiliki VPC D sebagai rute tujuan melalui gateway transit dan kemudian ke VPC D.


• Empat VPC. Untuk informasi tentang membuat VPC, lihatBuat VPCdi dalamPanduan Pengguna AmazonVPC.

• Transit gateway. Untuk informasi selengkapnya, lihatBuat transit gateway.• Empat lampiran di gerbang transit, satu per VPC. Untuk informasi selengkapnya, lihat the section called

“Buat lampiran transit gateway ke VPC” (p. 35).

16


https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html


• Lampiran Site-to-Site VPN di transit gateway. Untuk informasi selengkapnya, lihat the section called“Buat lampiran transit gateway ke VPN” (p. 38).

Pastikan bahwa Anda meninjaupersyaratan untuk perangkat gateway pelanggan Andadi dalamAWSSite-to-Site VPNPanduan Pengguna.

Ketika koneksi VPN habis, sesi BGP didirikan dan VPN CIDR menyebar ke tabel rute transit gateway danCIDR VPC ditambahkan ke tabel BGP gateway pelanggan.

PeruteanSetiap VPC memiliki tabel rute, dan gateway transit memiliki dua tabel rute — satu untuk VPC dan satuuntuk koneksi VPN dan layanan bersama VPC.

Tabel rute VPC A, VPC B, VPC C, dan VPC DSetiap VPC memiliki tabel rute dengan dua entri. Entri pertama adalah entri default untuk perutean lokaldi VPC; entri ini mengaktifkan instans-instans di dalam VPC ini untuk berkomunikasi satu sama lain. Entrikedua mengarahkan semua lalu lintas subnet IPv4 lainnya ke transit gateway.

Tujuan Target

VPC lokal

0.0.0.0/0 ID transit gateway

Tabel rute transit gatewaySkenario ini menggunakan satu tabel rute untuk VPC dan satu tabel rute untuk koneksi VPN.

Lampiran VPC A, B, dan C dikaitkan dengan tabel rute berikut, yang memiliki rute yang disebarkan untuklampiran VPN dan rute yang disebarkan untuk lampiran untuk VPC D.


Alamat IP gatewaypelanggan

Lampiran untuk koneksiVPN

diperbanyak

VPC Lampiran untuk VPC D diperbanyak

Lampiran VPN dan layanan bersama VPC (VPC D) lampiran dikaitkan dengan tabel rute berikut, yangmemiliki entri yang mengarah ke masing-masing lampiran VPC. Hal ini memungkinkan komunikasi ke VPCdari koneksi VPN dan layanan bersama VPC.


VPC KE CIDR Lampiran untuk VPC A diperbanyak

VPC B Lampiran untuk VPC B diperbanyak

VPC C Lampiran untuk VPC C diperbanyak

17


Amazon VPC AWSTransit GatewayPeering

Untuk informasi selengkapnya, lihat Menyebarkan rute ke tabel rute transit gateway (p. 50).

Tabel gateway pelanggan BGPTabel BGP gateway pelanggan berisi CIDRs untuk keempat VPC.

Contoh: Gerbang transit yang diintipAnda dapat membuat transit gateway mengintip koneksi antara gateway transit. Anda kemudian dapat rutelalu lintas antara lampiran untuk masing-masing gateway transit. Dalam skenario ini, lampiran VPC danVPN dikaitkan dengan tabel rute default gateway transit, dan mereka menyebar ke tabel rute default transitgateway. Tabel rute transit gateway memiliki rute statis yang mengarah ke lampiran transit gateway.


Gambaran UmumDiagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Transit gateway 1 memilikidua lampiran VPC, dan transit gateway 2 memiliki satu lampiran Site-to-Site VPN. Paket dari subnet diVPC A dan VPC B yang memiliki internet sebagai tujuan rute pertama melalui transit gateway 1, kemudiantransit gateway 2, dan kemudian rute ke koneksi VPN.


• Dua VPC. Untuk informasi tentang pembuatan VPC, lihatBuat VPCdiPanduan Pengguna Amazon VPC.• Dua gerbang transit. Mereka bisa berada di Wilayah yang sama atau di Daerah yang berbeda. Untuk

informasi selengkapnya, lihat the section called “Membuat transit gateway” (p. 27).• Dua lampiran VPC pada gateway transit pertama. Untuk informasi selengkapnya, lihat the section called

“Buat lampiran transit gateway ke VPC” (p. 35).• Lampiran Site-to-Site VPN di transit gateway. Untuk informasi selengkapnya, lihat the section called

“Buat lampiran transit gateway ke VPN” (p. 38). Pastikan bahwa Anda meninjaupersyaratan untukperangkat gateway pelanggan AndadiAWS Site-to-Site VPNPanduan Pengguna.

• Sebuah gerbang transit peering lampiran antara dua gateway transit. Untuk informasi selengkapnya, lihatLampiran peering transit gateway (p. 39).

Ketika Anda membuat lampiran VPC, CIDRs untuk setiap VPC merambat ke tabel rute untuk transitgateway 1. Ketika koneksi VPN habis, tindakan berikut terjadi:

• Sesi BGP didirikan

18





• Site-to-Site VPN CIDR menyebar ke tabel rute 2• CIDR VPC ditambahkan ke meja BGP gateway pelanggan

PeruteanSetiap VPC memiliki tabel rute dan setiap gateway transit memiliki tabel rute.

Tabel rute VPC A dan VPC BSetiap VPC memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk routing IPv4 lokaldi VPC. Entri default ini memungkinkan sumber daya dalam VPC ini untuk berkomunikasi satu sama lain.Entri kedua rute semua lalu lintas subnet IPv4 lainnya ke gateway transit. Tabel berikut menunjukkan ruteVPC A.

Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 tgw-1

Tabel rute transit gatewayBerikut ini adalah contoh dari tabel rute default untuk transit gateway 1, dengan propagasi rute diaktifkan.


10.0.0.0/16 ID Lampiran untuk VPC A diperbanyak

10.2.0.0/16 ID Lampiran untuk VPC B diperbanyak

0.0.0.0/0 ID Lampiran untukkoneksi peering

statis

Berikut ini adalah contoh dari tabel rute default untuk transit gateway 2, dengan propagasi rute diaktifkan.


172.31.0.0/24 ID Lampiran untukkoneksi VPN

diperbanyak


statis


statis


• 10.0.0.0/16

19

Amazon VPC AWSTransit GatewayRouting keluar terpusat

• 10.2.0.0/16

Contoh: Routing outbound terpusat ke internetAnda dapat mengkonfigurasi gateway transit untuk merutekan lalu lintas internet keluar dari VPC tanpagateway internet ke VPC yang berisi gateway NAT dan gateway internet.


Gambaran UmumDiagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Anda memiliki aplikasi diVPC A dan VPC B yang membutuhkan akses internet hanya keluar. Anda mengkonfigurasi VPC C dengangateway NAT dan gateway internet. Connect semua VPC ke transit gateway. Konfigurasikan routingsehingga lalu lintas internet keluar dari VPC A dan VPC B melintasi gateway transit ke VPC C. gatewayNAT di VPC C rute lalu lintas ke gateway internet.


• Tiga VPC dengan rentang alamat IP yang tidak tumpang tindih. Untuk informasi selengkapnya, lihatBuatVPCdiPanduan Pengguna Amazon VPC.

• VPC A dan VPC B masing-masing memiliki subnet pribadi dengan instans EC2.• VPC C memiliki berikut:

• Gateway internet yang melekat pada VPC. Untuk informasi selengkapnya, lihatMembuat danmelampirkan gateway internetdiPanduan Pengguna Amazon VPC.

• Dua subnet.

20



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway


• Gateway NAT menggunakan salah satu subnet. Untuk informasi selengkapnya, lihatBuat gatewayNATdiPanduan Pengguna Amazon VPC.

• Satu transit gateway. Untuk informasi selengkapnya, lihat the section called “Membuat transitgateway” (p. 27).

• Tiga lampiran VPC di gateway transit. Blok CIDR untuk setiap VPC merambat ke tabel rute transitgateway. Untuk informasi selengkapnya, lihat the section called “Buat lampiran transit gateway keVPC” (p. 35).

PeruteanAda tabel rute untuk setiap VPC dan tabel rute untuk gateway transit.

Tabel rute• Tabel rute untuk VPC A (p. 21)• Tabel rute untuk VPC B (p. 21)• Tabel rute untuk VPC C (p. 21)• Tabel rute gerbang transit (p. 22)

Tabel rute untuk VPC ABerikut ini adalah tabel contoh rute. Entri pertama memungkinkan instance di VPC untuk berkomunikasisatu sama lain. Entri kedua rute semua lalu lintas subnet IPv4 lainnya ke gateway transit.

Tujuan Target

VPC lokal

0.0.0.0/0 transit-gateway-id

Tabel rute untuk VPC BBerikut ini adalah tabel contoh rute. Entri pertama memungkinkan instance di VPC untuk berkomunikasisatu sama lain. Entri kedua rute semua lalu lintas subnet IPv4 lainnya ke gateway transit.

Tujuan Target

VPC lokal

0.0.0.0/0 transit-gateway-id

Tabel rute untuk VPC CKonfigurasikan subnet dengan gateway NAT sebagai subnet publik dengan menambahkan rute ke gatewayinternet. Tinggalkan subnet lainnya sebagai subnet privat.

Berikut ini adalah tabel contoh rute untuk subnet publik. Entri pertama memungkinkan instance di VPCuntuk berkomunikasi satu sama lain. Entri kedua dan ketiga rute lalu lintas untuk VPC A dan VPC B kegateway transit. Sisa entri rute semua lalu lintas subnet IPv4 lainnya ke gateway internet.

21

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating

Amazon VPC AWSTransit GatewayAlat VPC

Tujuan Target

VPC lokal

VPC transit-gateway-id

VPC transit-gateway-id

0.0.0.0/0 gerbang internet-id

Berikut ini adalah tabel contoh rute untuk subnet pribadi. Entri pertama memungkinkan instance di VPCuntuk berkomunikasi satu sama lain. Entri kedua rute semua lalu lintas subnet IPv4 lainnya ke gatewayNAT.

Tujuan Target

VPC lokal

0.0.0.0/0 nat-gateway-id

Tabel rute gerbang transitBerikut ini adalah contoh dari tabel rute transit gateway. Blok CIDR untuk setiap VPC merambat ke tabelrute transit gateway. Rute statis mengirimkan lalu lintas internet keluar ke VPC C. Anda dapat secaraopsional mencegah komunikasi antar-VPC dengan menambahkan rute blackhole untuk setiap VPC CIDR.

CIDR Lampiran Jenis rute

VPC Lampiran untuk VPC A diperbanyak

VPC Lampiran untuk VPC B diperbanyak

VPC Lampiran untuk VPC C diperbanyak

0.0.0.0/0 Lampiran untuk VPC C statis

Contoh: Appliance dalam layanan bersama VPCAnda dapat mengkonfigurasi alat (seperti alat keamanan) di VPC layanan bersama. Semua lalu lintas yangdialihkan antara lampiran gateway transit pertama kali diperiksa oleh alat di layanan bersama VPC.

Anda harus menghubungkan tepat satu gerbang transit ke alat VPC untuk menjamin kelengketan aliran.Menghubungkan beberapa gateway transit ke alat tunggal VPC tidak menjamin lengket aliran karenagateway transit tidak berbagi informasi negara aliran satu sama lain.

Note

Lalu lintas dalam mode alat dialihkan dengan benar selama lalu lintas sumber dan tujuan datangke VPC terpusat (Inspeksi VPC) dari lampiran gateway transit yang sama. Lalu lintas dapat turunjika sumber dan tujuan masuk dari dua lampiran gateway transit yang berbeda. Mode alat tidakberlaku untuk lalu lintas yang memasuki jaringan melalui VPN.

22

Amazon VPC AWSTransit GatewayGambaran Umum

Daftar Isi• Gambaran Umum (p. 23)• peralatan stateful dan modus alat (p. 24)• Perutean (p. 24)

Gambaran UmumDiagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini. Gerbang transit memiliki tigalampiran VPC. VPC C adalah layanan bersama VPC. Lalu lintas antara VPC A dan VPC B diarahkan kegateway transit, kemudian diarahkan ke alat keamanan di VPC C untuk pemeriksaan sebelum diarahkanke tujuan akhir. Alat ini adalah alat stateful, oleh karena itu baik permintaan dan respon lalu lintas diperiksa.Untuk ketersediaan tinggi, ada alat di setiap Availability Zone di VPC C.

Anda membuat sumber daya berikut untuk skenario ini:

• Tiga VPC. Untuk informasi tentang pembuatan VPC, lihatMembuat VPCdiPanduan Pengguna AmazonVirtual Private Cloud.

• Transit gateway. Untuk informasi selengkapnya, lihat the section called “Membuat transitgateway” (p. 27).

• Tiga lampiran VPC - satu untuk masing-masing VPC. Untuk informasi selengkapnya, lihat the sectioncalled “Buat lampiran transit gateway ke VPC” (p. 35).

Untuk setiap lampiran VPC, tentukan subnet di setiap Availability Zone. Untuk layanan bersama VPC, iniadalah subnet di mana lalu lintas diarahkan ke VPC dari gateway transit. Dalam contoh sebelumnya, iniadalah subnet A dan C.

Untuk lampiran VPC untuk VPC C, aktifkan dukungan mode alat sehingga lalu lintas respons dialihkan keAvailability Zone yang sama di VPC C sebagai lalu lintas sumber.

Konsol Amazon VPC tidak mendukung mode alat. Anda dapat menggunakan API AmazonVPC,AWSSDK, atauAWS CLIuntuk mengaktifkan mode alat. Misalnya, tambahkan--optionsApplianceModeSupport=enablekemembuat-transit-gateway-vpc-lampiranataumemodifikasi-transit-gateway-vpc-lampiranperintah.

23


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html


Amazon VPC AWSTransit Gatewayperalatan stateful dan modus alat

peralatan stateful dan modus alatKetika mode alat diaktifkan, gateway transit memilih antarmuka jaringan tunggal di alat VPC, menggunakanalgoritma hash aliran, untuk mengirim lalu lintas untuk seumur hidup aliran. Gerbang transit menggunakanantarmuka jaringan yang sama untuk lalu lintas kembali. Hal ini memastikan bahwa lalu lintas dua arahdialihkan secara simetris—dialihkan melalui Availability Zone yang sama dalam lampiran VPC untukkehidupan aliran. Jika Anda memiliki beberapa gateway transit dalam arsitektur Anda, setiap gatewaytransit mempertahankan afinitas sesi sendiri, dan setiap gateway transit dapat memilih antarmuka jaringanyang berbeda.

Jika lampiran VPC Anda mencakup beberapa Availability Zone dan Anda memerlukan lalu lintas antarahost sumber dan tujuan untuk dialihkan melalui alat yang sama untuk pemeriksaan stateful, aktifkandukungan mode alat untuk lampiran VPC tempat alat berada.

Untuk informasi selengkapnya, lihatArsitektur inspeksi terpusatdiAWSblog.

Perilaku saat mode alat tidak diaktifkan

Ketika mode alat tidak diaktifkan, gateway transit mencoba untuk menjaga lalu lintas dialihkan antaralampiran VPC di Availability Zone yang berasal hingga mencapai tujuannya. Lalu lintas melintasi AvailabilityZone di antara lampiran hanya jika terjadi kegagalan Availability Zone atau jika tidak ada subnet yangterkait dengan lampiran VPC di Availability Zone tersebut.

Diagram berikut menunjukkan arus lalu lintas ketika dukungan mode alat tidak diaktifkan. Lalu lintasrespon yang berasal dari Availability Zone 2 di VPC B dialihkan oleh gateway transit ke Availability Zoneyang sama di VPC C. lalu lintas karena itu dijatuhkan, karena alat di Availability Zone 2 tidak menyadaripermintaan asli dari sumber di VPC A.

PeruteanSetiap VPC memiliki satu atau lebih tabel rute dan gateway transit memiliki dua tabel rute.

Tabel rute VPCVPC A dan VPC B

24

http://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/


VPC A dan B memiliki tabel rute dengan 2 entri. Entri pertama adalah entri default untuk perutean IPv4lokal di VPC. Entri default ini memungkinkan sumber daya di VPC ini untuk berkomunikasi satu sama lain.Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnya ke gateway transit. Berikut ini adalah tabelrute untuk VPC A.

Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 tgw-id

VPC

Layanan bersama VPC (VPC C) memiliki tabel rute yang berbeda untuk setiap subnet. Subnet A digunakanoleh gateway transit (Anda menentukan subnet ini saat Anda membuat lampiran VPC). Tabel rute untuksubnet A rute semua lalu lintas ke alat di subnet B.

Tujuan Target

192.168.0.0/16 lokal

0.0.0.0/0 peralatan-eni-id

Tabel rute untuk subnet B (yang berisi alat) merutekan lalu lintas kembali ke gateway transit.

Tujuan Target

192.168.0.0/16 lokal

0.0.0.0/0 tgw-id

Tabel rute transit gatewayGerbang transit ini menggunakan satu tabel rute untuk VPC A dan VPC B, dan satu tabel rute untuklayanan bersama VPC (VPC C).

Lampiran VPC A dan VPC B dikaitkan dengan tabel rute berikut. Tabel rute rute semua lalu lintas ke VPCC.


0.0.0.0/0 ID Lampiran untuk VPC C statis

Lampiran VPC C dikaitkan dengan tabel rute berikut. Ini rute lalu lintas ke VPC A dan VPC B.


10.0.0.0/16 ID Lampiran untuk VPC A diperbanyak

10.1.0.0/16 ID Lampiran untuk VPC B diperbanyak

25

Amazon VPC AWSTransit GatewayTransit gateway

Bekerja dengan gateway transitAnda dapat bekerja dengan transit gateway gateway menggunakan konsol Amazon VPC atauAWS CLI.

Daftar Isi• Transit gateway (p. 26)• Lampiran gateway ke VPC (p. 30)• Lampiran gateway ke gateway Direct Connect (p. 37)• Lampiran VPN gateway (p. 38)• Lampiran peering transit gateway (p. 39)• Transit gateway Connect lampiran dan rekan Transit Gateway Connect (p. 42)• Tabel rute transit gateway (p. 48)• Tabel kebijakan Transit Gateway (p. 55)• Multicast di gateway transit (p. 57)

Transit gatewayTransit gateway memungkinkan Anda untuk menyematkan attachment koneksi VPC dan VPN di Wilayahyang sama dan mengarahkan rute lalu lintas di antara keduanya. Transit gateway berfungsi diAWSakun,dan Anda dapat menggunakanAWS RAMuntuk berbagi gateway transit Anda dengan akun lain. SetelahAnda berbagi transit gateway dengan akun AWS lain, pemilik akun dapat menyematkan attachment VPCmereka ke transit gateway Anda. Pengguna dari kedua akun dapat menghapus attachment ini kapan saja.

Anda dapat mengaktifkan multicast pada transit gateway, dan kemudian membuat domain multicast transitgateway yang mengizinkan lalu lintas multicast dikirim dari sumber multicast Anda untuk anggota grupmulticast melalui attachment VPC yang Anda kaitkan dengan domain.

Setiap lampiran VPC atau VPN dikaitkan dengan satu tabel rute. Tabel rute itu memutuskan hopberikutnya untuk lalu lintas yang berasal dari lampiran sumber daya itu. Tabel rute di dalam gateway transitmemungkinkan untuk CIDR dan target IPv4 atau IPv6. Targetnya adalah koneksi VPC dan VPN. KetikaAnda melampirkan VPC atau membuat koneksi VPN pada gateway transit, lampiran dikaitkan dengan tabelrute default gateway transit.

Anda dapat membuat tabel rute tambahan di dalam gateway transit, dan mengubah asosiasi VPC atauVPN ke tabel rute ini. Hal ini memungkinkan Anda untuk segmen jaringan Anda. Misalnya, Anda dapatmengaitkan VPC pengembangan dengan satu tabel rute dan VPC produksi dengan tabel rute yangberbeda. Ini memungkinkan Anda membuat jaringan terisolasi di dalam gateway transit yang mirip denganperutean dan penerusan virtual (VRF) di jaringan tradisional.

Transit gateway mendukung perutean dinamis dan statis antara VPC terlampir dan koneksi VPN. Andadapat mengaktifkan atau menonaktifkan propagasi rute untuk setiap lampiran. Lampiran peering gatewaytransit hanya mendukung perutean statis.

Atau, Anda dapat mengaitkan satu atau lebih blok CIDR IPv4 atau IPv6 dengan transit gateway gateway.Anda menentukan alamat IP dari blok CIDR ketika Anda membuat peer Transit Gateway ConnectuntukConnect gateway (p. 42). Anda dapat mengaitkan rentang alamat IP publik atau pribadi apa pun,kecuali untuk alamat di169.254.0.0/16jangkauan, dan rentang yang tumpang tindih dengan alamat

26

Amazon VPC AWSTransit GatewayMembuat transit gateway

untuk lampiran VPC dan jaringan lokal Anda. Untuk informasi selengkapnya tentang blok CIDR IPv4 danIPv6, lihatVPC dan subnetdi Panduan Pengguna VPC Amazon.

Tugas• Membuat transit gateway (p. 27)• Melihat gateway transit Anda (p. 28)• Menambahkan atau mengedit tanda untuk transit gateway (p. 28)• Memodifikasi transit gateway (p. 29)• Berbagi transit gateway (p. 29)• Terima berbagi sumber daya (p. 30)• Terima lampiran bersama (p. 30)• Menghapus transit gateway (p. 30)

Membuat transit gatewayKetika Anda membuat transit gateway, kita membuat tabel rute transit gateway default danmenggunakannya sebagai tabel rute pengaitan default dan tabel rute propagasi default. Jika Anda memilihuntuk tidak membuat tabel rute gateway transit default, Anda dapat membuatnya nanti. Untuk informasiselengkapnya tentang tabel rute dan tabel rute, lihat??? (p. 4).

Untuk membuat transit gateway menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. PilihBuat transit gateway.4. UntukTag nama, opsional masukkan nama untuk transit gateway. Tag nama dapat membuatnya lebih

mudah untuk mengidentifikasi gateway tertentu dari daftar gateway. Ketika Anda menambahkanTagnama, tag dibuat dengan kunciNamadan dengan nilai yang sama dengan nilai yang Anda masukkan.

5. UntukDeskripsi, opsional masukkan deskripsi untuk transit gateway.6. UntukNomor Sistem Otonomi sisi Amazon (ASN), baik meninggalkan nilai default untuk menggunakan

ASN default atau masukkan ASN pribadi untuk gateway transit Anda. Ini harus menjadi ASNuntukAWSsisi sesi Border Gateway Protocol (BGP).

Rentangnya adalah 64512 hingga 65534 untuk ASN 16-bit.

Rentangnya adalah 4200000000 hingga 4294967294 untuk ASN 32-bit.

Jika Anda memiliki penerapan Multi-wilayah, kami sarankan Anda menggunakan ASN unik untuksetiap gateway transit Anda.

7. UntukSupport DNS, pilih opsi ini jika Anda memerlukan VPC untuk mengubah nama host DNS IPv4publik menjadi alamat IPv4 pribadi ketika diminta dari instans di VPC lain yang melekat pada transitgateway gateway.

8. UntukDukungan ECMP VPN, pilih opsi ini jika Anda memerlukan dukungan perutean Equal CostMultipath (ECMP) antara terowongan VPN. Jika koneksi mengiklankan CIDR yang sama, lalu lintasdidistribusikan secara merata di antara mereka.

Bila Anda memilih opsi ini, BGP ASN yang diiklankan, atribut BGP seperti AS-Path, dan komunitasuntuk preferensi harus sama.

Note

Untuk menggunakan ECMP, Anda harus membuat koneksi VPN yang menggunakanperutean dinamis. Koneksi VPN yang menggunakan perutean statis tidak mendukung ECMP.

27

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing


Amazon VPC AWSTransit GatewayMelihat gateway transit Anda

9. UntukPengaitan tabel rute, pilih opsi ini untuk secara otomatis mengaitkan lampiran gateway transitdengan tabel rute default untuk gateway transit.

10. Untukpropagasi tabel perutean, pilih opsi ini untuk secara otomatis menyebarkan lampiran gatewaytransit ke tabel rute default untuk gateway transit.

11. (Opsional) Untuk menggunakan gateway transit sebagai router untuk lalu lintas multicast,pilihDukungan multicast.

12. UntukMenerima lampiran bersama secara otomatis, pilih opsi ini untuk menerima lampiran lintas akunsecara otomatis.

13. (Opsional) UntukTransit Gateway, tentukan satu atau lebih blok CIDR IPv4 atau IPv6 untuk transitgateway gateway.

Anda dapat menentukan ukuran /24 CIDR blok atau lebih besar (misalnya, /23 atau /22) untukIPv4, atau ukuran /64 CIDR blok atau lebih besar (misalnya, /63 atau/62) untuk IPv6. Anda dapatmengaitkan rentang alamat IP publik atau pribadi apa pun, kecuali untuk alamat dalam kisaran169.254.0.0/16, dan rentang yang tumpang tindih dengan alamat untuk lampiran VPC dan jaringanlokal.

14. PilihBuat transit gateway.

Untuk membuat transit gateway menggunakanAWS CLI

Gunakan perintah create-transit-gateway.

Melihat gateway transit AndaUntuk melihat gateway transit Anda menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway. Rincian untuk gateway transit ditampilkan di bawah daftar

gateway pada halaman.

Untuk melihat gateway transit Anda menggunakanAWS CLI

Gunakan perintah describe-transit-gateways.

Menambahkan atau mengedit tanda untuk transitgatewayTambahkan tag ke sumber daya Anda untuk membantu mengatur dan mengidentifikasi sumber dayatersebut, misalnya berdasarkan tujuan, pemilik, atau lingkungan. Anda dapat menambahkan beberapatanda ke setiap transit gateway. Kunci tanda harus unik untuk setiap transit gateway. Jika Andamenambahkan tag dengan kunci yang sudah terkait dengan transit gateway, maka nilai tag tersebut akandiperbarui. Untuk informasi selengkapnya, lihatPemberian tag pada Sumber Daya Amazon EC2.

Menambahkan tanda ke transit gateway menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih transit gateway untuk menambah atau mengedit tanda.4. PilihTandatab di bagian bawah halaman.5. Pilih Kelola tanda.

28

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html


Amazon VPC AWSTransit GatewayMemodifikasi transit gateway

6. Pilih Add new tag (Tambahkan tanda baru).7. ENTERKuncidanNilaiuntuk tag.8. Pilih Save (Simpan).

Memodifikasi transit gatewayAnda dapat memodifikasi opsi konfigurasi untuk gateway transit Anda. Saat Anda memodifikasi gatewaytransit, opsi yang dimodifikasi hanya diterapkan ke lampiran gateway transit baru. Lampiran gateway transitAnda yang ada tidak diubah.

Anda tidak dapat memodifikasi transit gateway yang telah dibagikan dengan Anda.

Anda tidak dapat menghapus blok CIDR untuk gateway transit jika salah satu alamat IP saat ini digunakanuntukTransit Gateway (p. 42).

Untuk memodifikasi transit gateway

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih gateway transit yang akan dimodifikasi.4. PilihTindakan,Memodifikasi transit gateway.5. Ubah opsi sesuai kebutuhan, dan pilihMemodifikasi transit gateway.

Untuk memodifikasi gateway transit Anda menggunakanAWS CLI

Gunakan perintah modify-transit-gateway.

Berbagi transit gatewayAnda dapat menggunakanAWS RAMkepadaberbagi transit gateway (p. 73)di seluruh akun atau diseluruh organisasi Anda diAWS Organizations. Gunakan prosedur berikut untuk berbagi gateway transityang Anda miliki.

Anda harus mengaktifkan pembagian sumber daya dari akun pengelolaan organisasi Anda. Untukinformasi tentang mengaktifkan berbagi sumber daya, lihatAktifkan BerbagiAWSOrganizationsdidalamAWS RAMPanduan Pengguna.

Untuk berbagi transit gateway

1. BukaAWS RAMkonsol dihttps://console.aws.amazon.com/ram/.2. PilihBuat pangsa sumber daya.3. Di bawahNama, ketik nama deskriptif untuk pembagian sumber daya.4. UntukPilih tipe sumber daya, pilihTransit Gateway. Pilih transit gateway.5. (Opsional) UntukPrinsipal, tambahkan prinsipal ke pembagian sumber daya. Untuk masing-

masingAWSakun, OU, atau organisasi, tentukan ID dan pilihTambahkan.

UntukIzinkan akun eksternal, pilih apakah akan mengizinkan berbagi untuk sumber daya iniAWSakunyang berada di luar organisasi Anda.

6. (Opsional) Di bawahTanda, ketik kunci tag dan pasangan nilai tag untuk setiap tag. Tag ini diterapkanke berbagi sumber daya tetapi tidak ke gateway transit.

7. PilihBuat berbagi sumber daya.

29


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs

https://console.aws.amazon.com/ram/

Amazon VPC AWSTransit GatewayTerima berbagi sumber daya

Terima berbagi sumber dayaJika ditambahkan ke berbagi sumber daya, Anda akan menerima undangan untuk bergabung denganberbagi sumber daya. Anda harus menerima pembagian sumber daya sebelum dapat mengakses sumberdaya bersama.

Untuk menerima pembagian sumber daya

1. BukaAWS RAMkonsol dihttps://console.aws.amazon.com/ram/.2. Pada panel navigasi, pilihDibagikan dengan saya,Berbagi sumber daya.3. Pilih bagian sumber daya.4. PilihMenerima berbagi sumber daya.5. Untuk melihat gateway transit bersama, bukaTransit Gatewayhalaman di konsol Amazon VPC.

Terima lampiran bersamaJika Anda tidak mengaktifkanMenerima lampiran bersama secara otomatisfungsionalitas saat membuatgateway transit, Anda harus menerima lampiran lintas-akun (bersama) secara manual.

Menerima lampiran bersama secara manual

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran gateway transit yang sedang menunggu penerimaan.4. PilihTindakan,Terima lampiran transit gateway.

Untuk menerima lampiran bersama menggunakanAWS CLI

Gunakanaccept-transit-gateway-vpc-Lampiranperintah.

Menghapus transit gatewayAnda tidak dapat menghapus gateway transit dengan lampiran yang ada. Anda perlu menghapus semualampiran sebelum Anda dapat menghapus gateway transit.

Untuk menghapus transit gateway menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pilih gateway transit yang akan dihapus.3. PilihTindakan,Menghapus transit gateway. ENTERdeletedan pilihlahHapusuntuk mengonfirmasi

penghapusan.

Untuk menghapus transit gateway menggunakanAWS CLI

Gunakan perintah delete-transit-gateway.

Lampiran gateway ke VPCKetika Anda melampirkan VPC ke Transit Gateway, Anda harus menentukan satu subnet dari setiapAvailability Zone untuk digunakan oleh transit gateway untuk merutekan lalu lintas. Menentukan satu

30



https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html

Amazon VPC AWSTransit GatewaySiklus hidup lampiran VPC

subnet dari Availability Zone memungkinkan lalu lintas mencapai sumber daya di setiap subnet diAvailability Zone tersebut.

Batas

• Ketika Anda melampirkan VPC ke Transit Gateway, sumber daya di Availability Zone di mana tidak adatransit gateway attachment gateway tidak dapat mencapai transit gateway gateway. Jika ada rute kegateway transit dalam tabel rute subnet, lalu lintas diteruskan ke gateway transit hanya ketika gatewaytransit memiliki lampiran dalam subnet di Availability Zone yang sama.

• Sumber daya dalam VPC yang dilampirkan ke gateway transit tidak dapat mengakses grup keamananVPC berbeda yang juga dilampirkan ke gateway transit yang sama.

• Gateway transit tidak mendukung resolusi DNS untuk nama DNS khusus dari VPC terlampir yangdisiapkan menggunakan zona host pribadi di Amazon Route 53. Untuk mengonfigurasi resolusi namauntuk zona host pribadi untuk semua VPC yang dilampirkan ke gateway transit, lihatManajemen DNScloud hibrida terpusat dengan Amazon Route 53 danAWSTransit Gateway.

• Gateway transit tidak mendukung perutean antara VPC dengan CIDR yang identik. Jika Andamelampirkan VPC ke gateway transit dan CIDR-nya identik dengan CIDR VPC lain yang sudahterpasang ke gateway transit, rute untuk VPC yang baru dilampirkan tidak disebarkan ke tabel rutegateway transit.

• Anda tidak dapat membuat lampiran untuk subnet VPC yang berada di Zona Lokal. Namun, Anda dapatmengkonfigurasi jaringan Anda sehingga subnet di Zona Lokal dapat terhubung ke transit gatewaymelalui Zona Ketersediaan induk. Untuk informasi selengkapnya, lihatConnect subnet Zona Lokal ketransit gateway.

• Anda tidak dapat membuat lampiran gateway transit menggunakan subnet khusus IPv6. Subnet lampirangateway transit juga harus mendukung alamat IPv4

Daftar Isi• Siklus hidup lampiran VPC (p. 31)• Buat lampiran transit gateway ke VPC (p. 35)• Ubah lampiran VPC Anda (p. 35)• Memodifikasi tag lampiran VPC Anda (p. 36)• Melihat lampiran VPC (p. 36)• Menghapus lampiran VPC (p. 36)• Mengatasi masalah pembuatan lampiran VPC (p. 37)

Siklus hidup lampiran VPCSebuah attachment VPC melewati berbagai tahap, dimulai ketika permintaan diinisiasi. Pada setiap tahap,mungkin saja ada tindakan yang bisa Anda lakukan, dan di akhir siklus hidupnya, attachment VPC tetapterlihat diAmazon Virtual Private Cloud Consoledan dalam API atau output baris perintah, untuk jangkawaktu tertentu.

Diagram berikut menunjukkan status lampiran dapat melalui dalam konfigurasi akun tunggal, ataukonfigurasi lintas-akun yang memilikiMenerima lampiran bersama secara otomatisdiaktifkan.

31

http://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/

http://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/

https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw

https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw


• Tertunda: Permintaan untuk lampiran VPC telah dimulai dan sedang dalam proses penyediaan. Padatahap ini, lampiran bisa gagal, atau bisa sajaavailable.

• Gagal: Permintaan untuk lampiran VPC gagal. Pada tahap ini, lampiran VPC pergi kefailed.• Gagal: Permintaan untuk lampiran VPC telah gagal. Selagi berada dalam status ini, koneksi tidak dapat

dihapus. Lampiran VPC yang gagal tetap terlihat selama 2 jam, dan kemudian tidak lagi terlihat.• Tersedia: Lampiran VPC tersedia, dan lalu lintas dapat mengalir antara VPC dan gateway transit. Pada

tahap ini, lampiran dapat pergi kemodifying, atau pergi kedeleting.

32


• Menghapus: Lampiran VPC yang sedang dalam proses penghapusan. Pada tahap ini, lampiran dapatpergi kedeleted.

• Dihapus: SesiavailableLampiran VPC telah dihapus. Sementara dalam status ini, lampiran VPC tidakdapat diubah. Lampiran VPC tetap terlihat selama 2 jam, dan kemudian tidak lagi terlihat.

• Memodifikasi: Permintaan telah dibuat untuk memodifikasi properti lampiran VPC. Pada tahap ini,lampiran dapat pergi keavailable, atau pergi kerolling back.

• Bergulir kembali: Permintaan modifikasi lampiran VPC tidak dapat diselesaikan, dan sistem membatalkansetiap perubahan yang dibuat. Pada tahap ini, lampiran dapat pergi keavailable.

Diagram berikut menunjukkan status lampiran dapat melalui dalam konfigurasi lintas-akun yangmemilikiMenerima lampiran bersama secara otomatisdimatikan.

33


• Menontonasi penerimaan: Permintaan lampiran VPC sedang menunggu penerimaan. Pada tahap ini,lampiran dapat pergi kepending, untukrejecting, atau untukdeleting.

• Menolak: Sebuah attachment VPC yang sedang dalam proses ditolak. Pada tahap ini, lampiran dapatpergi kerejected.

• Ditolak: SEBUAHpending acceptanceLampiran VPC telah ditolak. Sementara dalam status ini,lampiran VPC tidak dapat diubah. Lampiran VPC tetap terlihat selama 2 jam, dan kemudian tidak lagiterlihat.

34

Amazon VPC AWSTransit GatewayBuat lampiran transit gateway ke VPC

• Tertunda: Lampiran VPC telah diterima dan sedang dalam proses penyediaan. Pada tahap ini, lampiranbisa gagal, atau bisa sajaavailable.

• Gagal: Permintaan untuk lampiran VPC gagal. Pada tahap ini, lampiran VPC pergi kefailed.• Gagal: Permintaan untuk lampiran VPC telah gagal. Selagi berada dalam status ini, koneksi tidak dapat

dihapus. Lampiran VPC yang gagal tetap terlihat selama 2 jam, dan kemudian tidak lagi terlihat.• Tersedia: Lampiran VPC tersedia, dan lalu lintas dapat mengalir antara VPC dan gateway transit. Pada

tahap ini, lampiran dapat pergi kemodifying, atau pergi kedeleting.• Menghapus: Lampiran VPC yang sedang dalam proses penghapusan. Pada tahap ini, lampiran dapat

pergi kedeleted.• Dihapus: Sesiavailableataupending acceptanceLampiran VPC telah dihapus. Sementara dalam

status ini, lampiran VPC tidak dapat diubah. Lampiran VPC tetap terlihat 2 jam, dan kemudian tidak lagiterlihat.

• Memodifikasi: Permintaan telah dibuat untuk memodifikasi properti lampiran VPC. Pada tahap ini,lampiran dapat pergi keavailable, atau pergi kerolling back.

• Bergulir kembali: Permintaan modifikasi lampiran VPC tidak dapat diselesaikan, dan sistem membatalkansetiap perubahan yang dibuat. Pada tahap ini, lampiran dapat pergi keavailable.

Buat lampiran transit gateway ke VPCUntuk membuat lampiran VPC menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. PilihBuat lampiran transit gateway.4. UntukTag nama, opsional masukkan nama untuk transit gateway attachment gateway attachment.5. UntukID Gerbang transit, pilih transit gateway untuk lampiran. Anda dapat memilih gateway transit

yang Anda miliki atau gateway transit yang dibagikan dengan Anda.6. UntukJenis lampiran, pilihVPC.7. Pilih apakah akan mengaktifkanSupport DNSdanSupport IPv6.8. Untuk ID VPC, pilih VPC yang dilampirkan pada transit gateway.

VPC ini harus memiliki setidaknya satu subnet yang terkait dengannya.9. UntukID Subnet, pilih satu subnet untuk setiap Availability Zone yang akan digunakan oleh gateway

transit untuk mengarahkan lalu lintas. Anda harus memilih setidaknya satu subnet. Anda hanya dapatmemilih satu subnet per Availability Zone.

10. PilihBuat lampiran transit gateway.

Untuk membuat lampiran VPC menggunakanAWS CLI

Gunakancreate-transit-gateway-vpc-Lampiranperintah.

Ubah lampiran VPC AndaUntuk memodifikasi lampiran VPC Anda menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran VPC, lalu pilihTindakan,Memodifikasi lampiran transit gateway.

35


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html


Amazon VPC AWSTransit GatewayMemodifikasi tag lampiran VPC Anda

4. Untuk mengaktifkan dukungan DNS, pilihSupport DNS.5. Untuk menambahkan subnet ke lampiran, di samping subnet, pilih kotak.

Menambahkan atau memodifikasi subnet lampiran VPC dapat memengaruhi lalu lintas data saatlampiran dalam keadaan memodifikasi.

6. PilihMemodifikasi lampiran transit gateway.

Untuk memodifikasi lampiran VPC Anda menggunakanAWS CLI

Gunakanmodify-transit-gateway-vpc-Lampiranperintah.

Memodifikasi tag lampiran VPC AndaUntuk mengubah tanda lampiran VPC Anda menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran VPC, lalu pilihTindakan,Kelola tag.4. [Menambahkan tag] Pilih Tambah tag baru dan lakukan hal berikut:

• Untuk Kunci, masukkan nama kunci.• Untuk Nilai, masukkan nilai kunci.

5. [Menghapus tanda] Di samping tanda, pilihMenghapus.6. Pilih Save (Simpan).

Tag lampiran VPC hanya dapat dimodifikasi menggunakan konsol.

Melihat lampiran VPCUntuk melihat lampiran VPC Anda menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. DiJenis sumber dayakolom, cariVPC. Ini adalah lampiran VPC.4. Pilih lampiran untuk melihat detailnya.

Untuk melihat lampiran VPC menggunakanAWS CLI

Gunakandescribe-transit-gateway-vpc-lampiranperintah.

Menghapus lampiran VPCUntuk menghapus lampiran VPC menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran VPC.4. PilihTindakan,Menghapus lampiran transit gateway.

36




https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html


Amazon VPC AWSTransit GatewayMengatasi masalah lampiran VPC

5. Saat diminta, masukkandeletedan pilihlahHapus.

Untuk menghapus lampiran VPC menggunakanAWS CLI

Gunakandelete-transit-gateway-vpc-Lampiranperintah.

Mengatasi masalah pembuatan lampiran VPCTopik berikut dapat membantu Anda memecahkan masalah yang mungkin terjadi ketika Anda membuatlampiran VPC.

Masalah

Lampiran VPC gagal.

Penyebab

Penyebabnya dapat saja salah satu dari hal-hal berikut:

1. Pengguna yang membuat lampiran VPC tidak memiliki izin yang benar untuk membuat peran terkaitlayanan.

2. Ada masalah throttling karena terlalu banyak permintaan IAM, misalnya Anda menggunakanAWSCloudFormationuntuk membuat izin dan peran.

3. Akun memiliki peran terkait layanan, dan peran terkait layanan telah dimodifikasi.4. Gateway transit tidak ada diavailablestatus.

Solusi

Bergantung pada penyebabnya, coba hal berikut:

1. Verifikasi bahwa pengguna memiliki izin yang benar untuk membuat peran tertaut layanan. Untukinformasi selengkapnya, lihat Izin peran tertaut layanan dalam Panduan Pengguna IAM. Setelahpengguna memiliki izin, buat lampiran VPC.

2. Buat lampiran VPC secara manual melalui konsol atau API. Untuk informasi selengkapnya, lihat thesection called “Buat lampiran transit gateway ke VPC” (p. 35).

3. Verifikasi bahwa peran tertaut layanan memiliki izin yang benar. Untuk informasi selengkapnya, lihat thesection called “Transit Gateway” (p. 102).

4. Verifikasi bahwa gateway transit ada diavailablestatus. Untuk informasi selengkapnya, lihat thesection called “Melihat gateway transit Anda” (p. 28).

Lampiran gateway ke gateway Direct ConnectLampirkan gateway transit ke gateway Direct Connect menggunakan antarmuka virtual transit. Konfigurasiini menawarkan manfaat sebagai berikut. Anda dapat:

• Mengelola satu koneksi untuk beberapa VPC atau VPN yang berada di Wilayah yang sama.• Mengiklankan prefiks dari on-premise ke AWS dan dari AWSke on-premise.

Diagram berikut menggambarkan bagaimana gateway Direct Connect memungkinkan Anda membuat satukoneksi ke koneksi Direct Connect yang dapat digunakan oleh semua VPC Anda.

37

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

Amazon VPC AWSTransit GatewayLampiran VPN gateway

Solusinya melibatkan komponen berikut:

• Transit gateway.• Sebuah gateway Direct Connect.• Keterkaitan antara gateway Direct Connect dan transit gateway.• Antarmuka virtual transit yang terlampir ke gateway Direct Connect.

Untuk informasi tentang mengkonfigurasi gateway Direct Connect dengan gateway transit, lihatKeterkaitantransit gatewaydi dalamAWS Direct ConnectPanduan Pengguna.

Lampiran VPN gatewayUntuk melampirkan koneksi VPN ke Transit Gateway, Anda harus menentukan gateway pelanggan.Untuk informasi selengkapnya tentang persyaratan untuk perangkat gateway pelanggan gateway,lihatPersyaratan untuk perangkat gateway pelanggan Andadi dalamAWS Site-to-Site VPNPanduanPengguna.

Untuk VPN statis, tambahkan rute statis gateway tabel rute.

Buat lampiran transit gateway ke VPNUntuk membuat lampiran VPN menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. PilihBuat lampiran transit gateway.4. UntukID Gerbang transit, pilih transit gateway untuk lampiran. Anda dapat memilih gateway transit

yang Anda miliki.5. Untuk Jenis lampiran, mohon untuk memilih VPN.6. Untuk Gateway Pelanggan, lakukan salah satu dari hal-hal berikut:

• Untuk menggunakan gateway pelanggan yang sudah ada, pilih Yang sudah ada, dan kemudianpilih gateway untuk digunakan.

Jika gateway pelanggan Anda berada di belakang perangkat translasi alamat jaringan (NAT) yangtelah diaktifkan untuk NAT traversal (NAT-T), maka gunakan alamat IP publik perangkat NATAnda, dan sesuaikan aturan firewall Anda untuk membuka blokir UDP port 4500.

• Untuk membuat gateway pelanggan, pilihBarumaka untukAlamat IP, ketik alamat IP publik statisdanBGP ASN.

Untuk Opsi perutean, pilih apakah akan menggunakan Dinamis atau Statis. Untuk informasiselengkapnya, lihatOpsi Perutean Site-to-Site VPNdi dalamAWS Site-to-Site VPNPanduanPengguna.

7. UntukOpsi terowongan, masukkan rentang CIDR dan kunci pra-bersama untuk terowongan Anda.Untuk informasi selengkapnya, lihatArsitektur Site-to-Site VPN.

38

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html



https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architechtures.html

Amazon VPC AWSTransit GatewayMelihat lampiran VPN Anda

8. PilihBuat lampiran transit gateway.

Untuk membuat lampiran VPN menggunakan AWS CLI

Gunakan perintah create-vpn-connection.

Melihat lampiran VPN AndaUntuk melihat lampiran VPN Anda menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. DiJenis sumber dayakolom, cariVPN. Ini adalah lampiran VPN.4. Pilih lampiran untuk melihat detailnya atau menambahkan tag.

Untuk melihat lampiran VPN menggunakanAWS CLI

Gunakan perintah describe-transit-gateway-attachments.

Lampiran peering transit gatewayAnda dapat mengintip dua gateway transit dan rute lalu lintas di antara mereka, yang mencakup lalu lintasIPv4 dan IPv6. Untuk melakukan ini, buat lampiran peering di gateway transit Anda, dan tentukan gatewaytransit. Transit gateway peer dapat berada di akun Anda atau berbedaAWSakun.

Setelah Anda membuat permintaan lampiran peering, pemilik gateway transit rekan (juga disebutsebagaiTransit Gateway) harus menerima permintaan. Untuk merutekan lalu lintas antara gateway transit,tambahkan rute statis ke tabel rute gateway transit yang menunjuk ke lampiran peering gateway transit.

Sebaiknya gunakan ASN unik untuk gateway transit yang diintip untuk memanfaatkan kemampuanpropagasi rute future.

Gerbang transit peering tidak mendukung penyelesaian nama host DNS IPv4 publik atau pribadi ke alamatIPv4 pribadi di seluruh VPC di kedua sisi lampiran peering gateway transit.

Inter-Region gateway peering menggunakan infrastruktur jaringan yang sama dengan peering VPC. Olehkarena itu lalu lintas dienkripsi menggunakan enkripsi AES-256 pada lapisan jaringan virtual saat bepergianantar Wilayah. Lalu lintas juga dienkripsi menggunakan enkripsi AES-256 pada lapisan fisik ketika melintasitautan jaringan yang berada di luar kontrol fisikAWS. Akibatnya, lalu lintas dienkripsi ganda pada tautanjaringan di luar kontrol fisikAWS. Dalam Wilayah yang sama, lalu lintas dienkripsi pada lapisan fisik hanyaketika melintasi tautan jaringan yang berada di luar kontrol fisikAWS.

Untuk informasi tentang Wilayah mana yang mendukung lampiran peering gateway transit,lihatAWSPertanyaan Transit Gateway.

Buat lampiran peeringSebelum Anda memulai, pastikan Anda memiliki ID transit gateway yang ingin Anda lampirkan. Jikagateway transit ada di tempat lainAWSakun, pastikan Anda memilikiAWSID akun pemilik transit gateway.

Setelah Anda membuat lampiran peering, pemilik transit gateway penerima harus menerima permintaanlampiran.

39

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html

http://aws.amazon.com/transit-gateway/faqs/

Amazon VPC AWSTransit GatewayMenerima atau menolak permintaan lampiran peering

Untuk membuat lampiran peering menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. PilihBuat lampiran transit gateway.4. UntukID transit gateway, pilih transit gateway untuk lampiran. Anda dapat memilih gateway transit yang

Anda miliki atau gateway transit yang dibagikan dengan Anda.5. UntukJenis lampiran, pilihKoneksi Peering.6. Masukkan tag nama untuk lampiran.7. UntukAkun, lakukan salah satu hal berikut:

• Jika gateway transit ada di akun Anda, pilihAkun saya.• Jika gateway transit berbedaAWSakun, pilihAkun lainnya. UntukID Akun, masukkanAWSID akun.

8. UntukWilayah, pilih Wilayah di mana gerbang transit berada di.9. UntukGerbang transit (akseptor), masukkan ID transit gateway yang ingin Anda lampirkan.10. PilihBuat lampiran transit gateway.

Untuk membuat lampiran peering menggunakanAWS CLI

Gunakanmembuat-transit-gateway-peering-attachmentperintah.

Menerima atau menolak permintaan lampiran peeringUntuk mengaktifkan lampiran peering, pemilik transit gateway penerima harus menerima permintaanlampiran peering. Hal ini diperlukan bahkan jika kedua gateway transit berada di akun yang sama.Lampiran peering harus berada dipendingAcceptancenegara. Menerima permintaan lampiran peeringdari Wilayah bahwa gateway transit aksepter berada di.

Atau, Anda dapat menolak permintaan koneksi peering apa pun yang telah Anda terima yangsedangpendingAcceptancenegara. Anda harus menolak permintaan dari Wilayah tempat gerbangtransit aksepter berada.

Untuk menerima permintaan lampiran peering menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran peering transit gateway yang sedang menerima.4. PilihTindakan,Lampiran transit gateway.5. Tambahkan rute statis ke tabel rute transit gateway. Untuk informasi selengkapnya, lihat the section

called “Buat rute statis” (p. 51).

Untuk menolak permintaan lampiran peering menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran peering transit gateway yang sedang menerima.4. PilihTindakan,Lampiran transit gateway.

Untuk menerima atau menolak lampiran peering menggunakanAWS CLI

40


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html



Amazon VPC AWSTransit GatewayTambahkan rute ke tabel rute transit gateway

Gunakanmenerima-transit-gerbangan-peering-lampirandanmenolak-transit-gerbangan-peering-lampiranperintah.

Tambahkan rute ke tabel rute transit gatewayUntuk rute lalu lintas antara gateway transit peered, Anda harus menambahkan rute statis ke tabel rutetransit gateway yang menunjuk ke lampiran peering gateway transit. Pemilik gateway transit aksepter jugaharus menambahkan rute statis ke tabel rute transit gateway mereka.

Untuk membuat rute statis menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTabel Rute Transit Gateway.3. Pilih tabel rute untuk membuat rute.4. PilihTindakan,Buat rute statis.5. PadaBuat rute statisHalaman, masukkan blok CIDR untuk membuat rute. Misalnya, tentukan blok

CIDR dari VPC yang dilampirkan ke gateway transit peer.6. Pilih lampiran peering untuk rute.7. PilihBuat rute statis.

Untuk membuat rute statis menggunakanAWS CLI

Gunakanmembuat-transit-gateway-ruteperintah.

Important

Setelah Anda membuat rute, kaitkan tabel rute gateway transit dengan lampiran peering gatewaytransit. Untuk informasi selengkapnya, lihat the section called “Mengaitkan tabel rute transitgateway” (p. 49).

Melihat lampiran peering transit gatewayAnda dapat melihat lampiran peering gateway transit Anda dan informasi tentang mereka.

Untuk melihat lampiran peering Anda menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihLampiran Transit Gateway.3. DiJenis sumber dayakolom, mencariPeering. Ini adalah lampiran peering.4. Pilih lampiran untuk melihat detailnya.

Untuk melihat lampiran peering gateway transit Anda menggunakanAWS CLI

Gunakanmenjelaskan-transit-gateway-peering-lampiranperintah.

Menghapus lampiran peeringAnda dapat menghapus lampiran peering transit gateway. Pemilik salah satu gateway transit dapatmenghapus lampiran.

Untuk menghapus lampiran peering menggunakan konsol


41

https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-peering-attachments.html


Amazon VPC AWSTransit GatewayKeikutsertaanAWSPertimbangan wilayah

2. Pada panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran peering transit gateway.4. PilihTindakan,Lampiran transit gateway.5. Masukkandeletedan pilihHapus.

Untuk menghapus lampiran peering menggunakanAWS CLI

Gunakanmenghapus-transit-gateway-peering-lampiranperintah.

KeikutsertaanAWSPertimbangan wilayahAnda dapat mengintip gateway transit melintasi batas-batas wilayah opt-in. Untuk informasi tentangWilayah ini, dan cara ikut serta, lihatMengelolaAWSKawasandi dalamReferensi Umum Amazon WebServices. Pertimbangkan hal berikut ini saat Anda menggunakan peering transit gateway di Wilayah ini:

• Anda dapat mengintip ke Wilayah opt-in selama akun yang menerima lampiran peering telah memilih keWilayah tersebut.

• Terlepas dari status opt-in Wilayah,AWSberbagi data akun berikut dengan akun yang menerima lampiranpeering:• ID akun AWS• ID transit gateway• Kode Wilayah

• Saat Anda menghapus lampiran gateway transit, data akun di atas akan dihapus.• Kami menyarankan Anda menghapus lampiran peering gateway transit sebelum Anda memilih keluar

dari Wilayah. Jika Anda tidak menghapus lampiran peering, lalu lintas mungkin terus melewati lampirandan Anda terus dikenakan biaya. Jika Anda tidak menghapus lampiran, Anda dapat memilih kembali, dankemudian menghapus lampiran.

• Secara umum, gateway transit memiliki pengirim membayar model. Dengan menggunakan lampiranpeering gateway transit di seluruh batas opt in, Anda mungkin dikenakan biaya di Wilayah yangmenerima lampiran, termasuk Wilayah yang belum Anda pilih. Untuk informasi selengkapnya,lihatAWSHarga Transit Gateway.

Transit gateway Connect lampiran dan rekanTransit Gateway Connect

Anda dapat membuattransit gateway Connectuntuk membuat koneksi antara transit gateway dan perangkatvirtual pihak ketiga (seperti peralatan SD-WAN) yang berjalan di VPC. Lampiran Connect mendukungprotokol terowongan Generic Routing Encapsulation (GRE) untuk kinerja tinggi, dan Border GatewayProtocol (BGP) untuk perutean dinamis. Setelah membuat lampiran Connect, Anda dapat membuat satuatau beberapa terowongan GRE (juga disebut sebagaiTransit Transit Transit Gateway) pada lampiranConnect untuk menghubungkan gateway transit dan alat pihak ketiga. Anda membuat dua sesi BGP di atasterowongan GRE untuk bertukar informasi perutean.

Important

Peer Transit Gateway Connect terdiri dari dua sesi peering BGP yang diakhiriAWS-dikelolainfrastruktur. Dua sesi peering BGP menyediakan redundansi pesawat routing, memastikanbahwa kehilangan satu sesi peering BGP tidak memengaruhi operasi perutean Anda. Informasirouting yang diterima dari kedua sesi BGP diakumulasikan untuk rekan Connect yang diberikan.Dua sesi peering BGP juga melindungi dariAWSoperasi infrastruktur seperti pemeliharaan rutin,

42

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html

https://docs.aws.amazon.com/general/latest/gr/rande-manage.html

http://aws.amazon.com/transit-gateway/pricing/

Amazon VPC AWSTransit GatewayTransit Transit Transit Gateway

penambalan, peningkatan perangkat keras, dan penggantian. Jika rekan Connect Anda beroperasitanpa sesi peering BGP ganda yang disarankan yang dikonfigurasi untuk redundansi, mungkinakan mengalami hilangnya konektivitas sesaat selamaAWSoperasi infrastruktur. Kami sangatmenyarankan agar Anda mengonfigurasi sesi peering BGP pada rekan Connect Anda. Jika Andatelah mengonfigurasi beberapa rekan Connect untuk mendukung ketersediaan tinggi di sisi alat,kami sangat menyarankan Anda mengonfigurasi sesi peering BGP pada setiap rekan ConnectAnda.

Lampiran Connect menggunakan VPC yang ada atauAWS Direct Connectlampiran sebagai mekanismetransportasi yang mendasarinya. Hal ini disebut sebagaiLampiran transportasi. Gateway transitmengidentifikasi paket GRE yang cocok dari alat pihak ketiga sebagai lalu lintas dari lampiran Connect. Inimemperlakukan paket lain, termasuk paket GRE dengan sumber atau informasi tujuan yang salah, sebagailalu lintas dari lampiran transportasi.

Daftar Isi• Transit Transit Transit Gateway (p. 43)• Persyaratan dan pertimbangan (p. 45)• Buat transit Connect (p. 46)• Buat rekan Transit Gateway Connect (terowongan GRE) (p. 46)• Lihat gateway transit Anda Connect lampiran dan rekan Transit Gateway Connect (p. 47)• Ubah lampiran Connect dan tag rekan Transit Gateway Connect (p. 47)• Menghapus rekan Transit Gateway Connect (p. 48)• Menghapus Connect gateway (p. 48)

Transit Transit Transit GatewayTransit Gateway Connect (GRE tunnel) terdiri dari komponen berikut.

Di dalam blok CIDR (alamat BGP)

Alamat IP bagian dalam yang digunakan untuk peering BGP. Anda harus menentukan blok /29 CIDRdari169.254.0.0/16kisaran untuk IPv4. Anda dapat secara opsional menentukan blok /125 CIDRdarifd00::/8kisaran untuk IPv6. Blok CIDR berikut dicadangkan dan tidak dapat digunakan:• 169.254.0.0/29• 169.254.1.0/29• 169.254.2.0/29• 169.254.3.0/29• 169.254.4.0/29• 169.254.5.0/29• 169.254.169.248/29

Anda harus mengkonfigurasi alamat pertama dari rentang IPv4 pada alat sebagai alamat IP BGP.Bila Anda menggunakan IPv6, jika blok CIDR di dalam Anda adalah fd00: :/125, maka Anda harusmengkonfigurasi alamat pertama dalam kisaran ini (fd00: :1) pada antarmuka terowongan alat.

Alamat BGP harus unik di semua terowongan di gateway transit.Alamat IP peer

Alamat IP peer (alamat IP luar GRE) di sisi alat peer Transit Gateway Connect. Ini bisa berupa alamatIP mana pun. Alamat IP dapat berupa alamat IPv4 atau IPv6, tetapi harus keluarga alamat IP yangsama dengan alamat gateway transit.

43

Amazon VPC AWSTransit GatewayTransit Transit Transit Gateway

Alamat Transit Transit

Alamat IP peer (alamat IP luar GRE) di sisi gateway transit peer Transit Gateway Connect. Alamat IPharus ditentukan dari blok CIDR gateway transit, dan harus unik di seluruh lampiran Connect padagateway transit. Jika Anda tidak menentukan alamat IP, kami menggunakan alamat pertama yangtersedia dari transit gateway CIDR.

Anda dapat menambahkan blok CIDR gateway transit saatAndaberkarya (p. 27)ataumemodifikasi (p. 29)Transit gateway.

Alamat IP dapat berupa alamat IPv4 atau IPv6, tetapi harus berupa keluarga alamat IP yang samadengan alamat IP peer.

Alamat IP peer dan alamat gateway transit digunakan untuk mengidentifikasi terowongan GRE secara unik.Anda dapat menggunakan kembali salah satu alamat di beberapa terowongan, tetapi tidak keduanya diterowongan yang sama.

Anda dapat menggunakan keluarga alamat IPv4 yang berbeda untuk peering BGP, tetapi IPv6 tidakdidukung. Anda dapat menggunakan alamat IPv4 dan IPv6 untuk alamat IP luar GRE.

Contoh berikut menunjukkan lampiran Connect antara gateway transit dan alat di VPC.

Komponen Diagram Deskripsi

Lampiran VPC

Lampiran Connect

GRE terowongan (Transit Gateway Connect rekan)

Peering BGP

44

Amazon VPC AWSTransit GatewayPersyaratan dan pertimbangan

Dalam contoh sebelumnya, lampiran transit gateway Connect dibuat pada lampiran VPC yang ada(lampiran transport). Peer Transit Gateway Connect dibuat pada lampiran Connect untuk membuatsambungan ke alat di VPC. Alamat gateway transit adalah192.0.2.1, dan kisaran alamat BGPadalah169.254.6.0/29. Alamat IP pertama dalam kisaran (169.254.6.1) dikonfigurasi pada alatsebagai alamat IP peer BGP.

Tabel rute subnet untuk VPC C memiliki rute yang mengarahkan lalu lintas yang ditujukan untuk blok CIDRgateway transit ke gateway transit.

Tujuan Target

172.31.0.0/16 Lokal:

192.0.2.0.2.0.2.0.0.2. tgw-id

Persyaratan dan pertimbanganBerikut ini merupakan persyaratan dan pertimbangan untuk lampiran Connect.

• Untuk informasi tentang Region apa yang mendukung Lampiran Connect, lihatAWSFAQ TransitGateway.

• Alat pihak ketiga harus dikonfigurasi untuk mengirim dan menerima lalu lintas melalui terowongan GREke dan dari gateway transit menggunakan lampiran Connect.

• Alat pihak ketiga harus dikonfigurasi untuk menggunakan BGP untuk pembaruan rute dinamis danpemeriksaan kesehatan.

• Jenis BGP berikut didukung:• Eksterior BGP (EbGP): Digunakan untuk menghubungkan ke router yang berada dalam sistem otonom

yang berbeda dari gateway transit. Jika Anda menggunakan eBGP, Anda harus mengkonfigurasiebgp-multihop dengan time-to-live (TTL) nilai 2.

• Interior BGP (IBGP): Digunakan untuk menghubungkan ke router yang berada dalam sistem otonomyang sama dengan gateway transit. Gateway transit tidak akan menginstal rute dari rekan IBGP (alatpihak ketiga), kecuali jika rute berasal dari rekan eBGP. Rute yang diiklankan oleh alat pihak ketigamelalui peering IBGP harus memiliki ASN.

• MP-BGP (ekstensi multiprotocol untuk BGP): Digunakan untuk mendukung beberapa jenis protokol,seperti keluarga alamat IPv4 dan IPv6.

• Waktu tunggu BGP tetap hidup default adalah 30 detik dan pengatur waktu penahanan default adalah 90detik.

• Peering BGP IPv6 tidak didukung; hanya peering BGP berbasis IPv4 yang didukung. Awalan IPv6dipertukarkan melalui IPv4 BGP peering menggunakan MP-BGP.

• Deteksi Penerusan Dua Arah (BFD) tidak di-support.• Restart anggun BGP didukung.• Bila Anda membuat peer transit gateway, jika Anda tidak menentukan nomor ASN rekan, kita memilih

nomor ASN transit gateway. Ini berarti bahwa alat dan gateway transit Anda akan berada dalam sistemotonom yang sama dengan melakukan IBGP.

• Untuk menggunakan perutean multi-jalur (ECMP) dengan biaya sama antara beberapa peralatan, Andaharus mengonfigurasi alat untuk mengiklankan awalan yang sama ke gateway transit dengan atributBGP AS-PATH yang sama. Agar gateway transit dapat memilih semua jalur ECMP yang tersedia, AS-PATH dan Autonomous System Number (ASN) harus cocok. Gateway transit dapat menggunakanECMP antara rekan Transit Gateway Connect untuk lampiran Connect yang sama atau antara lampiranConnect pada gateway transit yang sama. Gateway transit tidak dapat menggunakan ECMP antarakedua peerings BGP redundan satu rekan menetapkan untuk itu.

• Dengan lampiran Connect, rute disebarkan ke tabel rute gateway transit secara default.

45



Amazon VPC AWSTransit GatewayBuat transit Connect

• Rute statis tidak di-support.

Buat transit ConnectUntuk membuat lampiran Connect, Anda harus menentukan lampiran yang ada sebagai lampiran transport.Anda dapat menentukan lampiran VPC atauAWS Direct Connectlampiran sebagai lampiran transportasi.

Untuk membuat lampiran Connect menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihLampiran Transit Gateway.3. MemiilihBuat transit gateway.4. (Opsional) UntukTag nama, tentukan tanda nama untuk lampiran.5. UntukTransit Gateway, pilih transit gateway untuk lampiran.6. UntukJenis Lampiran, MemiilihHubungkan.7. UntukID Lampiran transport, pilih ID lampiran yang ada (lampiran transport).8. MemiilihBuat transit gateway.

Untuk membuat lampiran Connect menggunakanAWS CLI

Gunakan perintah create-transit-gateway-connect.

Buat rekan Transit Gateway Connect (terowonganGRE)Anda dapat membuat peer Transit Gateway Connect (terowongan GRE) untuk lampiran Connect yang ada.Sebelum memulai, pastikan Anda telah mengonfigurasi transit gateway CIDR. Anda dapat mengkonfigurasiblok CIDR gateway transit ketika Andaberkarya (p. 27)ataumemodifikasi (p. 29)Transit gateway.

Saat membuat peer Transit Gateway Connect, Anda harus menentukan alamat IP luar GRE di sisi alat peerTransit Gateway Connect.

Untuk membuat peer Transit Gateway Connect menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran Connect, dan pilihTindakan,Buat connect peer.4. (Opsional) UntukTag nama, tentukan tag nama untuk peer Transit Gateway Connect.5. (Opsional) UntukAlamat Transit GRE, tentukan alamat IP luar GRE untuk transit gateway. Secara

default, alamat pertama yang tersedia dari blok CIDR gateway transit digunakan.6. UntukAlamat peer GRE, tentukan alamat IP luar GRE untuk sisi alat dari rekan Transit Gateway

Connect.7. UntukBGP Di dalam CIDR memblokir IPv4, tentukan kisaran alamat IPv4 di dalam yang digunakan

untuk peering BGP. Tentukan blok/29 CIDR dari169.254.0.0/16Rentang.8. (Opsional) UntukBGP Di dalam CIDR memblokir IPv6, tentukan kisaran alamat IPv6 di dalam yang

digunakan untuk peering BGP. Tentukan blok/125 CIDR darifd00::/8Rentang.9. (Opsional) UntukASN peer, tentukan Border Gateway Protocol (BGP) Autonomous System Number

(ASN) untuk alat. Anda dapat menggunakan ASN yang sudah ada yang ditugaskan ke jaringan Anda.Jika Anda tidak memiliki ASN privat pada rentang 64512—65534 (ASN 16-bit) atau 4200000000—4294967294 (ASN 32-bit).

46


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html


Amazon VPC AWSTransit GatewayLihat gateway transit Anda Connect lampiran

dan rekan Transit Gateway Connect

Defaultnya adalah ASN yang sama dengan gateway transit. Jika Anda mengonfigurasiASN peeragarberbeda dari gateway transit ASN (eBGP), Anda harus mengkonfigurasi ebgp-multihop dengan time-to-live (TTL) nilai 2.

10. MemiilihBuat connect peer.

Untuk membuat peer Transit Gateway Connect menggunakanAWS CLI

Gunakancreate-transit-gateway-connect-peerperintah.

Lihat gateway transit Anda Connect lampiran danrekan Transit Gateway ConnectAnda dapat melihat gateway transit Connect lampiran dan rekan Transit Gateway Connect.

Untuk melihat lampiran Connect dan rekan Transit Gateway Connect menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran Connect.4. Untuk melihat rekan Transit Gateway Connect untuk lampiran, pilihConnect RekanTab.

Untuk melihat lampiran Connect dan rekan Transit Gateway Connect menggunakanAWS CLI

Gunakandescribe-transit-gateway-connectsdandescribe-transit-gateway-connect-rekan-rekanPerintah.

Ubah lampiran Connect dan tag rekan TransitGateway ConnectAnda dapat memodifikasi tag untuk lampiran Connect Anda.

Untuk mengubah tanda lampiran Connect menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran Connect, dan kemudian pilihTindakan,Kelola tag.4. Untuk menambahkan tanda, pilihTambahkan tanda barudan tentukan nama kunci dan nilai kunci.5. Untuk menghapus sebuah tag, pilih Hapus.6. Pilih Save (Simpan).

Anda dapat memodifikasi tag untuk rekan Transit Gateway Connect Anda.

Untuk memodifikasi tag rekan Transit Gateway Connect Anda menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran Connect, dan kemudian pilihConnect teman sebaya.4. Pilih peer Transit Gateway Connect dan kemudian pilihTindakan,Kelola tag.5. Untuk menambahkan tanda, pilihTambahkan tanda barudan tentukan nama kunci dan nilai kunci.

47

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html



Amazon VPC AWSTransit GatewayMenghapus rekan Transit Gateway Connect

6. Untuk menghapus sebuah tag, pilih Hapus.7. Pilih Save (Simpan).

Untuk memodifikasi lampiran Connect dan tag rekan Transit Gateway Connect menggunakanAWS CLI

Gunakan perintah buat-tanda dan hapus-tanda.

Menghapus rekan Transit Gateway ConnectJika Anda tidak lagi memerlukan peer Transit Gateway Connect, Anda dapat menghapusnya.

Untuk menghapus peer Transit Gateway Connect menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran Connect.4. DiConnect Rekantab, pilih rekan Transit Gateway Connect dan pilihTindakan,Hapus connect peer.

Untuk menghapus peer Transit Gateway Connect menggunakanAWS CLI

Gunakandelete-transit-gateway-connect-peerperintah.

Menghapus Connect gatewayJika Anda tidak lagi memerlukan lampiran transit Connect, Anda dapat menghapusnya. Anda harus terlebihdahulu menghapus rekan Transit Gateway Connect untuk lampiran.

Untuk menghapus lampiran Connect menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihLampiran Transit Gateway.3. Pilih lampiran Connect, dan pilihTindakan,Hapus lampiran transit.4. ENTERdeletedan pilihHapus.

Untuk menghapus lampiran Connect menggunakanAWS CLI

Gunakan perintah delete-transit-gateway-connect.

Tabel rute transit gatewayGunakan tabel rute gateway transit untuk mengonfigurasi perutean untuk lampiran gateway transit Anda.

Buat tabel rute gerbangUntuk membuat tabel rute transit gateway menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.

48

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html


Amazon VPC AWSTransit GatewayTabel rute gerbang

3. PilihBuat tabel rute gerbang.4. (Opsional) UntukTag nama, ketik nama untuk tabel rute transit gateway. Tindakan ini akan mebuat tag

dengan kunci tag “Name”, di mana nilai tag adalah nama yang Anda tentukan.5. UntukID Gerbang transit, pilih gateway transit untuk tabel rute.6. PilihBuat tabel rute gerbang.

Untuk membuat tabel rute transit gateway menggunakan tabel rute transit gateway menggunakanAWS CLI

Gunakancreate-transit-gateway-routeTabelperintah.

Tabel rute gerbangUntuk melihat tabel rute gateway transit Anda menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. (Opsional) Untuk menemukan tabel rute tertentu atau set tabel, masukkan semua atau sebagian dari

nama, kata kunci, atau atribut di bidang filter.4. Pilih kotak centang untuk tabel rute, atau pilih ID-nya, untuk menampilkan informasi tentang asosiasi,

propagasi, rute, dan tag.

Untuk melihat tabel rute gateway transit Anda menggunakanAWS CLI

Gunakandescribe-transit-gateway-routeTabelperintah.

Untuk melihat rute rute untuk tabel rute transit gateway gateway gateway gateway menggunakanAWS CLI

Gunakan perintah search-transit-gateway-routes.

Untuk melihat propagasi rute rute rute rute rute rute rute rute rute transit gateway gateway gatewaygateway gateway gateway gateway gatewayAWS CLI

Gunakanget-transit-gateway-route-table-propagasiperintah.

Untuk melihat asosiasi untuk tabel rute transit gateway gateway gateway gateway gateway gatewaygateway gateway gateway menggunakanAWS CLI

Gunakanget-transit-gateway-route-tabel-asosiasiperintah.

Mengaitkan tabel rute transit gatewayAnda dapat mengaitkan tabel rute transit gateway gateway dengan transit gateway attachment gatewayattachment.

Untuk mengaitkan tabel rute transit gateway gateway gateway gateway gateway gateway gatewaygateway menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute.4. Di bagian bawah halaman, pilihAsosiasiTab5. Pilih Buat asosiasi.

49

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html


Amazon VPC AWSTransit GatewayHapus asosiasi untuk tabel rute transit gateway

6. Pilih lampiran untuk diasosiasikan dan kemudian pilihBuat asosiasi.

Untuk mengaitkan tabel rute transit gateway rute menggunakan tabel rute transit gatewayAWS CLI

Gunakanassociate-transit-gateway-routeTabelperintah.

Hapus asosiasi untuk tabel rute transit gatewayAnda dapat memisahkan tabel rute transit gateway gateway dari transit gateway attachment gatewayattachment.

Untuk memisahkan tabel rute transit gateway gateway gateway gateway gateway gatewaygateway gateway gateway gateway menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute.4. Di bagian bawah halaman, pilihAsosiasiTab5. Pilih lampiran untuk dipisahkan dan kemudian pilihHapus asosiasi.6. Saat diminta konfirmasi, pilihHapus asosiasi.

Untuk memisahkan tabel rute transit gateway rute gateway menggunakan tabel rute transit gatewayAWSCLI

Gunakandisassociate-transit-gateway-routeTabelperintah.

Menyebarkan rute ke tabel rute transit gatewayGunakan propagasi rute untuk menambahkan rute dari lampiran ke tabel rute.

Untuk menyebarkan rute ke tabel rute lampiran gateway transit

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute untuk membuat propagasi.4. PilihTindakan,Buat propagasi.5. PadaBuat propagasihalaman, pilih lampiran.6. PilihBuat propagasi.

Untuk mengaktifkan propagasi rute menggunakanAWS CLI

Gunakanenable-transit-gateway-route-table-propagasiperintah.

Nonaktifkan propagasi ruteHapus rute yang disebarkan dari lampiran tabel rute.

Untuk menonaktifkan propagasi rute menggunakan konsol


50

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html


Amazon VPC AWSTransit GatewayBuat rute statis

2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute untuk menghapus propagasi dari.4. Di bagian bawah halaman, pilihPropagasi propagasiTab5. Pilih lampiran dan kemudian pilihMenghapus propagasi.6. Saat diminta konfirmasi, pilihMenghapus propagasi.

Untuk menonaktifkan propagasi rute menggunakanAWS CLI

Gunakandisable-transit-gateway-route-table-propagasiperintah.

Buat rute statisAnda dapat membuat rute statis untuk lampiran peering gateway VPC, VPN, atau transit, atau Anda dapatmembuat rute lubang hitam yang menjatuhkan lalu lintas yang cocok dengan rute.

Rute statis dalam tabel rute rute transit gateway gateway yang menargetkan lampiran VPN tidak difilteroleh Site-to-Site VPN. Ini mungkin memungkinkan arus lalu lintas keluar yang tidak diinginkan saatmenggunakan VPN berbasis BGP.

Untuk membuat rute statis menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute untuk membuat rute.4. PilihTindakan,Buat rute statis.5. PadaBuat rute statis, masukkan blok CIDR untuk membuat rute, lalu pilihAktif.6. Pilih lampiran untuk rute.7. PilihBuat rute statis.

Untuk membuat rute lubang hitam menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute untuk membuat rute.4. PilihTindakan,Buat rute statis.5. PadaBuat rute statis, masukkan blok CIDR untuk membuat rute, lalu pilihBlackhole.6. PilihBuat rute statis.

Untuk membuat rute statis atau rute blackhole menggunakanAWS CLI

Gunakan perintah create-transit-gateway-route.

Menghapus rute statisAnda dapat menghapus rute statis rute statis gateway tabel rute.

Untuk menghapus rute statis menggunakan konsol tersebut


51

https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html


Amazon VPC AWSTransit GatewayTabel rute ekspor ke Amazon S3

2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute untuk menghapus rute, dan pilihRute.4. Pilih rute yang akan dihapus.5. PilihHapus rute statis.6. Pada kotak konfirmasi, pilihHapus rute statis.

Untuk menghapus rute statis menggunakanAWS CLI

Gunakan perintah delete-transit-gateway-route.

Tabel rute ekspor ke Amazon S3Anda dapat mengekspor rute rute dalam tabel rute transit gateway gateway ke bucket Amazon S3. Rutedisimpan ke bucket Amazon S3 yang ditentukan dalam file JSON.

Untuk mengekspor tabel rute gateway transit menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute yang mencakup rute untuk diekspor.4. PilihTindakan,Ekspor rute ekspor.5. PadaEkspor rute eksporhalaman, untukNama bucket S3, ketik nama bucket S3.6. Untuk memfilter rute yang diekspor, tentukan parameter filter diPenyaringbagian halaman.7. PilihEkspor rute ekspor.

Untuk mengakses rute yang diekspor, buka konsol Amazon S3 dihttps://console.aws.amazon.com/s3/, danarahkan ke bucket yang Anda tentukan. Nama file termasukAWSID akunAWSWilayah, ID tabel rute, danstempel waktu. Pilih file dan pilihUnduh. Berikut ini adalah contoh file JSON yang berisi informasi tentangdua rute yang disebarkan untuk lampiran VPC.

{ "filter": [ { "name": "route-search.subnet-of-match", "values": [ "0.0.0.0/0", "::/0" ] } ], "routes": [ { "destinationCidrBlock": "10.0.0.0/16", "transitGatewayAttachments": [ { "resourceId": "vpc-0123456abcd123456", "transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1", "resourceType": "vpc" } ], "type": "propagated", "state": "active" }, { "destinationCidrBlock": "10.2.0.0/16",

52

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html


https://console.aws.amazon.com/s3/

Amazon VPC AWSTransit GatewayMenghapus tabel rute gerbang

"transitGatewayAttachments": [ { "resourceId": "vpc-abcabc123123abca", "transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7", "resourceType": "vpc" } ], "type": "propagated", "state": "active" } ]}

Menghapus tabel rute gerbangUntuk menghapus tabel rute transit gateway menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTransit Gateway.3. Pilih tabel rute yang akan dihapus.4. PilihTindakan,Tabel rute gerbang.5. ENTERdeletedan pilihlahHapusuntuk mengonfirmasi penghapusan.

Untuk menghapus tabel rute transit gateway rute menggunakan tabel rute transit gatewayAWS CLI

Gunakandelete-transit-gateway-routeTabelperintah.

Daftar prefiksAnda dapat mereferensikanDaftar prefiksdi meja rute transit gateway Anda. Daftar awalan adalah satuset satu atau lebih entri blok CIDR yang Anda tentukan dan kelola. Anda dapat menggunakan daftarawalan untuk menyederhanakan pengelolaan alamat IP yang Anda referensi dalam sumber daya Andauntuk merutekan lalu lintas jaringan. Misalnya, jika Anda sering menentukan CIDR tujuan yang sama dibeberapa tabel rute transit gateway, Anda dapat mengelola CIDR tersebut dalam daftar awalan tunggal,alih-alih berulang kali merujuk CIDR yang sama di setiap tabel rute. Jika Anda perlu menghapus blok CIDRtujuan, Anda dapat menghapus entri dari daftar awalan alih-alih menghapus rute dari setiap tabel rute yangterpengaruh.

Ketika Anda membuat referensi daftar awalan di tabel rute gateway transit Anda, setiap entri dalam daftarawalan direpresentasikan sebagai rute di tabel rute gateway transit Anda.

Untuk informasi selengkapnya tentang daftar prefiks, lihatDaftar prefiksdiPanduan Pengguna Amazon VPC.

Membuat referensi daftar awalanAnda dapat membuat referensi ke daftar awalan di tabel rute gateway transit Anda.

Untuk membuat referensi daftar prefiks menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTabel Rute Transit Gateway.3. Pilih tabel rute transit gateway.4. PilihTindakan,Buat referensi daftar prefiks.5. UntukDaftar prefiks, pilih ID dari daftar awalan.

53


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html

https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html


Amazon VPC AWSTransit GatewayDaftar prefiks

6. UntukJenis, pilih apakah lalu lintas ke daftar awalan ini harus diizinkan (Aktif) atau dijatuhkan (LubangHitam).

7. UntukID lampiran gateway, pilih ID lampiran untuk rute lalu lintas.8. PilihBuat referensi daftar prefiks.

Untuk membuat referensi daftar awalan menggunakanAWS CLI

Menggunakanmembuat-transit-gateway-awalan-daftar-referensiperintah.

Lihat referensi daftar prefiksAnda dapat melihat referensi daftar awalan di tabel rute gateway transit Anda. Anda juga dapat melihatsetiap entri dalam daftar awalan sebagai rute individual dalam tabel rute gateway transit Anda. Jenis ruteuntuk rute daftar awalan adalahpropagated.

Untuk melihat referensi daftar awalan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTabel Rute Transit Gateway.3. Pilih tabel rute transit gateway.4. Di panel bawah, pilihDaftar prefiks. Referensi daftar awalan tercantum.5. PilihRute. Setiap entri daftar prefiks terdaftar sebagai rute dalam tabel rute.

Untuk melihat referensi daftar awalan menggunakanAWS CLI

Menggunakanmendapatkan-transit-gateway-awalan-daftar-referensiperintah.

Memodifikasi referensi daftar awalanAnda dapat memodifikasi referensi daftar awalan dengan mengubah lampiran yang dialihkan ke lalu lintas,atau menunjukkan apakah akan menjatuhkan lalu lintas yang cocok dengan rute.

Anda tidak dapat memodifikasi rute individual untuk daftar awalan diRutetab. Untuk memodifikasientri dalam daftar awalan, gunakanDaftar prefiks yang dikelolalayar. Untuk informasi selengkapnya,lihatMemodifikasi daftar prefiksdiPanduan Pengguna Amazon VPC.

Untuk mengubah referensi daftar prefiks menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTabel Rute Transit Gateway.3. Pilih tabel rute transit gateway.4. Di panel bawah, pilihDaftar prefiks.5. Pilih referensi daftar awalan, dan pilihMemodifikasi referensi.6. UntukJenis, pilih apakah lalu lintas ke daftar awalan ini harus diizinkan (Aktif) atau dijatuhkan (Lubang

Hitam).7. UntukID lampiran gateway, pilih ID lampiran untuk rute lalu lintas.8. PilihModifikasi referensi daftar prefiks.

Untuk memodifikasi referensi daftar awalan menggunakanAWS CLI

Menggunakanmemodifikasi transit-gateway-awalan-daftar-referensiperintah.

54

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-prefix-list-references.html

https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html

Amazon VPC AWSTransit GatewayTabel kebijakan Transit Gateway

Menghapus referensi daftar awalanJika Anda tidak lagi membutuhkan referensi daftar prefiks, Anda dapat menghapusnya dari tabel rute transitgateway. Menghapus referensi tidak menghapus daftar awalan.

Untuk menghapus referensi daftar prefiks menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTabel Rute Transit Gateway.3. Pilih tabel rute transit gateway.4. Pilih referensi daftar awalan, dan pilihHapus referensi.5. PilihHapus referensi.

Untuk menghapus referensi daftar awalan menggunakanAWS CLI

Menggunakanmenghapus-transit-gateway-awalan-daftar-referensiperintah.

Tabel kebijakan Transit GatewayTransit gateway routing dinamis menggunakan tabel kebijakan untuk merutekan lalu lintasjaringanAWSCloud WAN. Tabel berisi aturan kebijakan untuk mencocokkan lalu lintas jaringan denganatribut kebijakan, dan kemudian memetakan lalu lintas yang cocok dengan aturan ke tabel rute target.

Note

Tabel kebijakan gateway transit saat ini hanya didukung di Cloud WAN. Untuk informasiselengkapnya tentang Cloud WAN, lihatAWSPanduan Pengguna Cloud WAN.

Anda dapat menggunakan perutean dinamis untuk gateway transit untuk secara otomatis bertukarinformasi perutean dan jangkauan dengan tipe gateway transit peered. Berbeda dengan rute statis, lalulintas dapat dialihkan di sepanjang jalur yang berbeda berdasarkan kondisi jaringan, seperti kegagalan jaluratau kemacetan. Perutean dinamis juga menambahkan lapisan keamanan tambahan karena lebih mudahuntuk merutekan kembali lalu lintas jika terjadi pelanggaran jaringan atau serbuan. Menggunakan tabelkebijakan yang berisi aturan untuk mencocokkan lalu lintas jaringan untuk atribut kebijakan. Lalu lintaskemudian dicocokkan dengan aturan dalam tabel dan dialihkan berdasarkan aturan yang cocok.

Anda dapat menggunakan perutean dinamis untuk salah satu skenario berikut:

• Asosiasi tabel rute tunggal - Kaitkan tabel rute dengan lampiran peering, dan kemudian aktifkan peruteandinamis pada lampiran itu.AWS Transit Gatewaykemudian menyebarkan semua rute dari tabel ruteterkait ke gateway peer transit. Untuk arah sebaliknya, Anda dapat menyebarkan semua rute melaluilampiran peering ke satu atau lebih tabel rute gateway transit. Ini adalah perilaku default.

• Beberapa tabel rute - Mengaitkan tabel kebijakan dengan lampiran peering, dan kemudian mengisolasipertukaran rute antara beberapa tabel rute di seluruh koneksi peering. Hal ini memungkinkan Anda untukselektif menyebarkan rute antara tabel rute di gateway transit peered.

Saat Anda membuat tabel kebijakan gateway transit dan mengaitkannya dengan gateway transit, tabelkebijakan diisi secara otomatis dengan aturan kebijakan. Anda kemudian dapat menerapkan tabelkebijakan tersebut untuk membuat peering di Cloud WAN.

Buat tabel kebijakan transit gatewayUntuk membuat tabel kebijakan transit gateway menggunakan konsol tersebut


55


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html

https://docs.aws.amazon.com/vpc/latest/cloudwan/what-is-cloudwan.html


Amazon VPC AWSTransit GatewayMenghapus tabel kebijakan transit gateway

2. Pada panel navigasi, pilihTabel kebijakan Transit Gateway.3. PilihBuat tabel kebijakan gateway transit.4. (Opsional) UntukTag nama, masukkan nama untuk tabel kebijakan transit gateway. Tindakan ini akan

mebuat tag, di mana nilai tag adalah nama yang Anda tentukan.5. Untuk ID gateway Transit, pilih gateway transit untuk tabel kebijakan.6. PilihBuat tabel kebijakan gateway transit.

Untuk membuat tabel kebijakan transit gateway menggunakanAWS CLI

Gunakancreate-transit-gateway-policyTabelperintah.

Menghapus tabel kebijakan transit gatewayHapus tabel kebijakan gateway transit. Ketika tabel dihapus, semua aturan kebijakan dalam tabel tersebutakan dihapus.

Untuk menghapus tabel kebijakan transit gateway menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Pada panel navigasi, pilihTabel kebijakan Transit Gateway.3. Pilih tabel kebijakan gateway transit yang akan dihapus.4. PilihTindakan, dan kemudian pilihMenghapus tabel kebijakan.5. Konfirmasi bahwa Anda ingin menghapus tabel.

Untuk menonaktifkan tabel kebijakan gateway transit menggunakanAWS CLI

Gunakanmodify-transit-gateway-policyTabelperintah.

Menggunakan CLI/API untuk tabel kebijakanGunakan CLI atau API untuk mengaktifkan, menonaktifkan, atau melihat tabel kebijakan perutean dinamisAnda.

Untuk mengaktifkan perutean dinamis menggunakan CLI/API

1. Aktifkan perutean dinamis. Secara default fitur dinonaktifkan:

create-transit-gateway-peering-Lampiran. Pastikan untuk menggunakan-–options dynamic-routing=enable.

2. Kaitkan tabel kebijakan dengan lampiran gateway transit:

associate-transit-gateway-policyTabel3. Umumkan tabel rute yang akan disebarkan oleh tabel kebijakan gateway transit.

enable-transit-gateway-route-table-pengumuman4. Pada gateway transit peered, sebarkan rute dari tabel rute yang diumumkan melalui lampiran peering

ke tabel rute:

enable-transit-gateway-route-table-propagasi

Gunakan CLI atau API untuk melihat tabel kebijakan Anda.

56

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-policy-table.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-policy-table.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-announcement.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html

Amazon VPC AWSTransit GatewayMulticast di gateway transit

• describe-transit-gateway-policyTabel

Multicast di gateway transitMulticast adalah protokol komunikasi yang digunakan untuk memberikan satu aliran data ke beberapakomputer penerima secara bersamaan. Transit Gateway mendukung routing lalu lintas multicast antarasubnet VPC terlampir, dan berfungsi sebagai router multicast untuk instance mengirim lalu lintas yangditakdirkan untuk beberapa contoh penerima.

Konsep multicastBerikut ini adalah konsep utama untuk multicast:

• Domain multicast— Memungkinkan segmentasi jaringan multicast ke dalam domain yang berbeda, danmembuat gateway transit bertindak sebagai beberapa router multicast. Anda menentukan keanggotaandomain multicast di tingkat subnet.

• Grup multicast— Mengidentifikasi satu set host yang akan mengirim dan menerima lalu lintas multicastyang sama. Grup multicast diidentifikasi oleh alamat IP grup. Keanggotaan grup multicast didefinisikanoleh antarmuka jaringan elastis individual yang melekat pada instans EC2.

• Protokol Manajemen Grup Internet (IGMP)— Protokol internet yang memungkinkan host dan routeruntuk mengelola keanggotaan grup multicast secara dinamis. Domain multicast IGMP berisi host yangmenggunakan protokol IGMP untuk bergabung, meninggalkan, dan mengirim pesan.AWSmendukungprotokol IGMPv2 dan domain multicast keanggotaan grup IGMP dan statis (berbasis API).

• Sumber multicast- elastic network interface yang terkait dengan instans EC2 yang didukung yangdikonfigurasi secara statis untuk mengirim lalu lintas multicast. Sumber multicast hanya berlaku untukkonfigurasi sumber statis.

Domain multicast sumber statis berisi host yang tidak menggunakan protokol IGMP untuk bergabung,meninggalkan, dan mengirim pesan. Anda menggunakanAWS CLIuntuk menambahkan sumber dananggota kelompok. Sumber yang ditambahkan secara statis mengirimkan lalu lintas multicast dananggota menerima lalu lintas multicast.

• Anggota grup Multicast- elastic network interface yang terkait dengan instans EC2 yang didukung yangmenerima lalu lintas multicast. Sebuah kelompok multicast memiliki beberapa anggota kelompok. Dalamkonfigurasi keanggotaan grup sumber statis, anggota grup multicast hanya dapat menerima lalu lintas.Dalam konfigurasi grup IGMP, anggota dapat mengirim dan menerima lalu lintas.

Pertimbangan-pertimbangan• Untuk informasi tentang Wilayah yang didukung, lihatAWSPertanyaan Umum Transit Gateway.• Anda harus membuat gateway transit baru untuk mendukung multicast.• Keanggotaan grup multicast dikelola menggunakanAmazon Virtual Private Cloud ConsoleatauAWS CLI,

atau IGMP.• Subnet hanya dapat berada dalam satu domain multicast.• Jika Anda menggunakan instans non-Nitro, Anda harus menonaktifkanSource/Destpemeriksaan. Untuk

informasi tentang menonaktifkan cek, lihatMengubah sumber atau pemeriksaan tujuandiPanduanPengguna Amazon EC2 untuk Instans Linux.

• Instans non-Nitro tidak bisa menjadi pengirim multicast.• Perutean multicast tidak didukungAWS Direct ConnectSite-to-Site VPN, lampiran peering, atau transit

gateway Connect lampiran.

57

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-policy-tables.html

http://aws.amazon.com/transit-gateway/faqs

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check

Amazon VPC AWSTransit GatewayRouting multicast

• Gerbang transit tidak mendukung fragmentasi paket multicast. Paket multicast terfragmentasi dijatuhkan.Untuk informasi selengkapnya, lihat MTU (p. 108).

• Saat startup, host IGMP mengirimkan beberapa IGMPJOINpesan untuk bergabung dengangrup multicast (biasanya 2 hingga 3 percobaan ulang). Dalam hal tidak mungkin bahwa semuaIGMPJOINpesan tersesat, tuan rumah tidak akan menjadi bagian dari kelompok multicast gerbangtransit. Dalam skenario seperti itu Anda akan perlu memicu kembali IGMPJOINpesan dari hostmenggunakan metode spesifik aplikasi.

• Keanggotaan grup dimulai dengan penerimaan IGMPv2JOINpesan oleh gateway transit dan diakhiridengan penerimaan IGMPv2LEAVEpesan. Gerbang transit melacak host yang berhasil bergabungdengan grup. Sebagai router multicast cloud, gateway transit mengeluarkan IGMPv2QUERYpesankepada semua anggota setiap dua menit. Setiap anggota mengirimkan IGMPv2JOINpesan sebagaitanggapan, yang adalah bagaimana anggota memperbarui keanggotaan mereka. Jika anggota gagalmembalas tiga kueri berturut-turut, gateway transit akan menghapus keanggotaan ini dari semua grupyang bergabung. Namun, terus mengirimkan kueri ke anggota ini selama 12 jam sebelum menghapusanggota secara permanen dari nya to-be-queried daftar. IgMPv2 eksplisitLEAVEpesan segera danpermanen menghapus host dari setiap pengolahan multicast lebih lanjut.

• Gerbang transit melacak host yang berhasil bergabung dengan grup. Jika terjadi pemadaman gerbangtransit, gateway transit terus mengirim data multicast ke host selama tujuh menit (420 detik) setelahIGMP terakhir yang berhasilJOINpesan. Gerbang transit terus mengirim kueri keanggotaan ke tuanrumah hingga 12 jam atau sampai menerima IGMPLEAVEpesan dari host.

• Gerbang transit mengirimkan paket permintaan keanggotaan ke semua anggota IGMP sehingga dapatmelacak keanggotaan grup multicast. Sumber IP dari paket query IGMP ini adalah 0.0.0.0/32, dan IPtujuan adalah 224.0.0.1/32 dan protokolnya adalah 2. Konfigurasi grup keamanan Anda pada host(instans) IGMP, dan konfigurasi ACL apa pun pada subnet host harus mengizinkan pesan protokol IGMPini.

• Ketika sumber multicast dan tujuan berada dalam VPC yang sama, Anda tidak dapat menggunakanreferensi grup keamanan untuk mengatur grup keamanan tujuan untuk menerima lalu lintas dari grupkeamanan sumber.

Routing multicastBila Anda mengaktifkan multicast pada gateway transit, ia bertindak sebagai router multicast. Ketika Andamenambahkan subnet ke domain multicast, kami mengirim semua lalu lintas multicast ke gateway transityang terkait dengan domain multicast tersebut.

ACL jaringanAturan ACL jaringan beroperasi pada tingkat subnet. Mereka berlaku untuk lalu lintas multicast, karenagateway transit berada di luar subnet. Untuk informasi selengkapnya, lihatACL JaringandiPanduanPengguna Amazon VPC.

Untuk lalu lintas multicast Internet Group Management Protocol (IGMP), Anda harus memiliki aturan masukberikut minimal. Host jarak jauh adalah host yang mengirim lalu lintas multicast.

Tipe Protokol Source Tujuan Deskripsi

Protokol kustom IGMP (2) 0.0.0/32 224.0.0.1/32 Kueri IGMP

Protokol UDPkustom

UDP Alamat IP jarak jauh Alamat IP grupmulticast

Lalu lintasmulticast masuk

Untuk lalu lintas multicast IGMP, Anda harus memiliki aturan keluar berikut minimal.

58

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html

Amazon VPC AWSTransit GatewayBekerja dengan multicast

Tipe Protokol Source Tujuan Deskripsi

Protokol kustom IGMP (2) Alamat IP host 224.0.0.2/32 MeninggalkanIGMP

Protokol kustom IGMP (2) Alamat IP host Alamat IP grupmulticast

Bergabung keIGMP

Protokol UDPkustom

UDP Alamat IP host Alamat IP grupmulticast

Lalu lintas keluar

Grup keamananAturan grup keamanan beroperasi pada tingkat instans. Mereka dapat diterapkan untuk lalu lintas multicastinbound dan outbound. Perilakunya sama dengan lalu lintas unicast. Untuk semua instance anggotagrup, Anda harus mengizinkan traffic masuk dari sumber grup. Untuk informasi selengkapnya, lihatGrupkeamanandiPanduan Pengguna Amazon VPC.

Untuk lalu lintas multicast IGMP, Anda harus memiliki aturan masuk berikut minimal. Host jarak jauh adalahhost yang mengirim lalu lintas multicast. Anda tidak dapat menentukan grup keamanan sebagai sumberaturan inbound UDP.

Tipe Protokol Source Deskripsi

Protokol kustom 2 0.0.0/32 Kueri IGMP

Protokol UDP kustom UDP Alamat IP jarak jauh Lalu lintas multicast masuk

Untuk lalu lintas multicast IGMP, Anda harus memiliki aturan keluar berikut minimal.

Tipe Protokol Tujuan Deskripsi

Protokol kustom 2 224.0.0.2/32 Meninggalkan IGMP

Protokol kustom 2 Alamat IP grup multicast Bergabung ke IGMP

Protokol UDP kustom UDP Alamat IP grup multicast Lalu lintas keluar

Bekerja dengan multicastAnda dapat mengonfigurasi multicast di gateway transit menggunakan konsol Amazon VPC atauAWS CLI.

Sebelum membuat domain multicast, Anda perlu tahu apakah host Anda menggunakan protokol InternetGroup Management Protocol (IGMP) untuk lalu lintas multicast.

Isi• Atribut domain (p. 60)• Mengelola konfigurasi IGMP (p. 60)• Mengelola konfigurasi sumber statis (p. 61)• Mengelola konfigurasi anggota grup statis (p. 62)• Mengelola domain (p. 62)

59

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html


• Mengelola grup multicast (p. 66)• Bekerja dengan domain multicast bersama (p. 69)

Atribut domainTabel berikut merinci atribut domain multicast. Anda tidak dapat mengaktifkan kedua atribut pada saat yangsama.

Atribut Deskripsi

Igmpv2Support (AWS CLI)

Dukungan IGMPv2(konsol)

Atribut ini menentukan bagaimana anggota grup bergabung ataumeninggalkan grup multicast.

Ketika atribut ini dinonaktifkan, Anda harus menambahkan anggotagrup ke domain secara manual.

Aktifkan atribut ini jika setidaknya satu anggota menggunakanprotokol IGMP. Anggota bergabung dengan grup multicast dengansalah satu cara berikut:

• Anggota yang mendukung IGMPmenggunakanJOINdanLEAVEpesan.

• Anggota yang tidak mendukung IGMP harus ditambahkan ataudihapus dari grup menggunakan konsol Amazon VPC atauAWSCLI.

Jika Anda mendaftarkan anggota grup multicast, Anda harusmembatalkan daftar mereka juga. Gerbang transit mengabaikanIGMPLEAVEpesan yang dikirim oleh anggota grup yang ditambahkansecara manual.

StaticSourcesSupport (AWSCLI)

Dukungan sumber statis(konsol)

Atribut ini menentukan apakah ada sumber multicast statis untukgrup.

Ketika atribut ini diaktifkan, Anda harus menambahkan sumber untukdomain multicast menggunakanmendaftar-transit-gateway-multicast-group-sumber. Hanya sumber multicast yang bisa mengirim lalulintas multicast.

Ketika atribut ini dinonaktifkan, tidak ada sumber multicast yangditunjuk. Setiap contoh yang ada di subnet yang terkait dengandomain multicast dapat mengirim lalu lintas multicast, dan anggotagrup menerima lalu lintas multicast.

Mengelola konfigurasi IGMPBila Anda memiliki setidaknya satu host yang menggunakan protokol IGMP untuk lalu lintasmulticast,AWSsecara otomatis membuat grup multicast ketika menerima IGMPJOINpesan dari sebuahinstance, dan kemudian menambahkan instance sebagai anggota dalam grup ini. Anda juga dapatmenambahkan host non-IGMP secara statis sebagai anggota ke grup menggunakanAWS CLI. Setiapcontoh yang ada di subnet yang terkait dengan domain multicast dapat mengirim traffic, dan anggota grupmenerima lalu lintas multicast.

Gunakan langkah-langkah berikut untuk menyelesaikan konfigurasi:

60

https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html



1. Buat sebuah VPC. Untuk informasi selengkapnya tentang membuat VPC, lihatMembuatVPCdiPanduan Pengguna Amazon VPC.

2. Membuat subnet di VPC. Untuk informasi selengkapnya tentang membuat subnet, lihatMembuatsubnet di VPC AndadiPanduan Pengguna Amazon VPC.

3. Buat gateway transit yang dikonfigurasi untuk lalu lintas multicast. Untuk informasi selengkapnya, lihatthe section called “Membuat transit gateway” (p. 27).

4. Membuat lampiran VPC. Untuk informasi selengkapnya, lihat the section called “Buat lampiran transitgateway ke VPC” (p. 35).

5. Buat domain multicast yang dikonfigurasi untuk dukungan IGMP. Untuk informasi selengkapnya, lihatthe section called “Membuat domain multicast IGMP” (p. 63).

Gunakan pengaturan berikut:

• AktifkanDukungan IGMPv2.• nonaktifkanDukungan sumber statis.

6. Buat hubungan antara subnet di lampiran VPC gateway transit dan domain multicast. Untuk informasiselengkapnya, lihatthe section called “Mengaitkan lampiran VPC dan subnet dengan domainmulticast” (p. 64).

7. Versi IGMP default untuk EC2 adalah IGMPv3. Anda perlu mengubah versi untuk semua anggota grupIGMP. Anda dapat menjalankan perintah berikut:

sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2

8. Tambahkan anggota yang tidak menggunakan protokol IGMP ke grup multicast. Untuk informasiselengkapnya, lihat the section called “Mendaftarkan anggota dengan grup multicast” (p. 67).

Mengelola konfigurasi sumber statisDalam konfigurasi ini, Anda perlu menambahkan sumber multicast secara statis dalam grup. Hosttidak menggunakan protokol IGMP untuk bergabung atau meninggalkan grup multicast. Anda perlumenambahkan anggota grup yang menerima lalu lintas multicast secara statis.






5. Buat domain multicast yang dikonfigurasi tanpa dukungan IGMP, dan dukungan untuk menambahkansumber secara statis. Untuk informasi selengkapnya, lihat the section called “Membuat domainmulticast sumber statis” (p. 63).


• nonaktifkanDukungan IGMPv2.• Untuk menambahkan sumber secara manual, aktifkanDukungan sumber statis.

Sumber adalah satu-satunya sumber daya yang dapat mengirim lalu lintas multicast saat atributdiaktifkan. Jika tidak, setiap instance yang ada di subnet yang terkait dengan domain multicast dapatmengirim lalu lintas multicast, dan anggota grup menerima lalu lintas multicast.

61



https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet








7. Jika Anda mengaktifkanDukungan sumber statis, tambahkan sumber ke grup multicast.Untuk informasi selengkapnya, lihat the section called “Mendaftarkan sumber dengan grupmulticast” (p. 66).

8. Tambahkan anggota ke grup multicast. Untuk informasi selengkapnya, lihat the section called“Mendaftarkan anggota dengan grup multicast” (p. 67).

Mengelola konfigurasi anggota grup statisDalam konfigurasi ini, Anda perlu menambahkan anggota multicast secara statis ke grup. Host tidak dapatmenggunakan protokol IGMP untuk bergabung atau meninggalkan grup multicast. Setiap contoh yangada di subnet yang terkait dengan domain multicast dapat mengirim lalu lintas multicast, dan anggota grupmenerima lalu lintas multicast.






5. Buat domain multicast yang dikonfigurasi tanpa dukungan IGMP, dan dukungan untuk menambahkansumber secara statis. Untuk informasi selengkapnya, lihat the section called “Membuat domainmulticast sumber statis” (p. 63).


• nonaktifkanDukungan IGMPv2.• nonaktifkanDukungan sumber statis.


7. Tambahkan anggota ke grup multicast. Untuk informasi selengkapnya, lihat the section called“Mendaftarkan anggota dengan grup multicast” (p. 67).

Mengelola domainUntuk mulai menggunakan multicast dengan gateway transit, buat domain multicast, dan kemudian kaitkansubnet dengan domain.

Isi• Membuat domain multicast IGMP (p. 63)• Membuat domain multicast sumber statis (p. 63)• Mengaitkan lampiran VPC dan subnet dengan domain multicast (p. 64)• Melihat asosiasi domain multicast (p. 64)• Disassociating subnet dari domain multicast (p. 65)• Menambahkan tag ke domain multicast (p. 65)

62






• Menghapus domain multicast (p. 65)

Membuat domain multicast IGMP

Jika Anda belum melakukannya, tinjau atribut domain multicast yang tersedia. Untuk informasiselengkapnya, lihat the section called “Bekerja dengan multicast” (p. 59).

Console

Untuk membuat domain multicast IGMP menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. PilihBuat domain multicast gateway transit.4. UntukTag nama, masukkan nama untuk domain.5. UntukID transit, pilih transit gateway yang memproses lalu lintas multicast.6. UntukDukungan IGMPv2, pilih kotak centang.7. UntukDukungan sumber statis, kosongkan kotak centang.8. Untuk secara otomatis menerima asosiasi subnet lintas-akun untuk domain multicast ini, pilihAuto

menerima asosiasi bersama.9. PilihBuat domain multicast gateway transit.

Command line

Untuk membuat domain multicast IGMP menggunakanAWS CLI

Menggunakanmembuat-transit-gateway-multicast-domainperintah.

aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable

Membuat domain multicast sumber statis

Jika Anda belum melakukannya, tinjau atribut domain multicast yang tersedia. Untuk informasiselengkapnya, lihat the section called “Bekerja dengan multicast” (p. 59).

Console

Untuk membuat domain multicast statis menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. PilihBuat domain multicast gateway transit.4. UntukTag nama, masukkan nama untuk mengidentifikasi domain.5. UntukID transit, pilih transit gateway yang memproses lalu lintas multicast.6. UntukDukungan IGMPv2, kosongkan kotak centang.7. UntukDukungan sumber statis, pilih kotak centang.8. Untuk secara otomatis menerima asosiasi subnet lintas-akun untuk domain multicast ini, pilihAuto

menerima asosiasi bersama.9. PilihBuat domain multicast gateway transit.

63


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html



Command line

Untuk membuat domain multicast statis menggunakanAWS CLI

Menggunakanmembuat-transit-gateway-multicast-domainperintah.

aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable

Mengaitkan lampiran VPC dan subnet dengan domain multicast

Gunakan prosedur berikut untuk mengaitkan lampiran VPC dengan domain multicast. Saat Anda membuatasosiasi, Anda kemudian dapat memilih subnet untuk disertakan dalam domain multicast.

Sebelum memulai, Anda harus membuat lampiran VPC di gateway transit Anda. Untuk informasiselengkapnya, lihat Lampiran gateway ke VPC (p. 30).

Console

Mengaitkan lampiran VPC dengan domain multicast menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast, dan kemudian pilihTindakan,Buat asosiasi.4. UntukPilih lampiran untuk diasosiasikan, pilih lampiran gateway transit.5. UntukPilih subnet untuk diasosiasikan, pilih subnet untuk disertakan dalam domain multicast.6. Pilih Buat asosiasi.

Command line

Mengaitkan lampiran VPC dengan domain multicast menggunakanAWS CLI

Menggunakanberasosiasi transit-gateway-multicast-domainperintah.

Melihat asosiasi domain multicast

Anda dapat melihat domain multicast Anda untuk memverifikasi bahwa domain tersebut tersedia, dan berisisubnet dan lampiran yang sesuai.

Console

Untuk melihat domain multicast menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast.4. PilihAsosiasitab

Command line

Untuk melihat domain multicast menggunakanAWS CLI

Menggunakanmenjelaskan-transit-gateway-multicast-domainperintah.

64

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html


Disassociating subnet dari domain multicastGunakan prosedur berikut untuk memisahkan subnet dari domain multicast.

Console

Untuk memisahkan subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast.4. PilihAsosiasitab5. Pilih subnet, dan kemudian pilihTindakan,Hapus asosiasi.

Command line

Untuk memisahkan subnet menggunakanAWS CLI

Menggunakandisasosiasi-transit-gateway-multicast-domainperintah.

Menambahkan tag ke domain multicastTambahkan tag ke sumber daya Anda untuk membantu mengatur dan mengidentifikasi sumber dayatersebut, misalnya berdasarkan tujuan, pemilik, atau lingkungan. Anda dapat menambahkan beberapa tagke setiap domain multicast. Kunci tag harus unik untuk setiap domain multicast. Jika Anda menambahkantag dengan kunci yang sudah terkait dengan domain multicast, kunci akan memperbarui nilai tag tersebut.Untuk informasi selengkapnya, lihatPenandaan Sumber daya Amazon EC2.

Console

Untuk menambahkan tag ke domain multicast menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast.4. Pilih Tindakan, Kelola tag.5. Untuk setiap tag, pilihTambahkan tagdan masuklahKuncidanNilaiuntuk tag.6. Pilih Save (Simpan).

Command line

Untuk menambahkan tag ke domain multicast menggunakanAWS CLI

Menggunakancreate-tagsperintah.

Menghapus domain multicastGunakan prosedur berikut untuk menghapus domain multicast.

Console

Untuk menghapus domain multicast menggunakan konsol


65


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html



2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast, dan kemudian pilihTindakan,Menghapus domain multicast.4. Ketika diminta konfirmasi, masukkan delete lalu pilih Hapus.

Command line

Untuk menghapus domain multicast menggunakanAWS CLI

Menggunakanmenghapus-transit-gateway-multicast-domainperintah.

Mengelola grup multicastIsi

• Mendaftarkan sumber dengan grup multicast (p. 66)• Mendaftarkan anggota dengan grup multicast (p. 67)• Deregistering sumber dari grup multicast (p. 67)• Deregistering anggota dari grup multicast (p. 67)• Melihat grup multicast (p. 68)

Mendaftarkan sumber dengan grup multicastNote

Prosedur ini hanya diperlukan bila Anda telah mengaturDukungan sumberstatisatributmemungkinkan.

Gunakan prosedur berikut untuk mendaftarkan sumber dengan grup multicast. Sumbernya adalahantarmuka jaringan yang mengirimkan lalu lintas multicast.

Anda memerlukan informasi berikut sebelum menambahkan sumber:

• ID domain multicast• ID antarmuka jaringan sumber• Alamat IP grup multicast

Console

Untuk mendaftarkan sumber menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast, dan kemudian pilihTindakan,Menambahkan sumber grup.4. UntukAlamat IP, masukkan blok IPv4 CIDR atau blok IPv6 CIDR untuk menetapkan ke domain

multicast.5. Di bawahPilih antarmuka jaringan, pilih antarmuka jaringan pengirim multicast.6. PilihMenambahkan sumber.

Command line

Untuk mendaftarkan sumber menggunakanAWS CLI

Menggunakanmendaftar-transit-gateway-multicast-group-sumberperintah.

66

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html




Mendaftarkan anggota dengan grup multicastGunakan prosedur berikut untuk mendaftarkan anggota grup dengan grup multicast.

Anda memerlukan informasi berikut sebelum menambahkan anggota:

• ID domain multicast• ID antarmuka jaringan anggota grup• Alamat IP grup multicast

Console

Untuk mendaftarkan anggota menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast, dan kemudian pilihTindakan,Tambahkan anggota grup.4. UntukAlamat IP, masukkan blok IPv4 CIDR atau blok IPv6 CIDR untuk menetapkan ke domain

multicast.5. Di bawahPilih antarmuka jaringan, pilih antarmuka jaringan penerima multicast.6. PilihTambahkan anggota.

Command line

Untuk mendaftarkan anggota menggunakanAWS CLI

Menggunakanmendaftar-transit-gateway-multicast-kelompok-anggotaperintah.

Deregistering sumber dari grup multicastAnda tidak perlu mengikuti prosedur ini kecuali jika Anda secara manual menambahkan sumber ke grupmulticast.

Console

Untuk menghapus sumber menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast.4. Pilih tab Grup.5. Pilih sumbernya, lalu pilihHapus sumber.

Command line

Untuk menghapus sumber menggunakanAWS CLI

Menggunakanderegister-transit-gateway-multicast-kelompok-sumberperintah.

Deregistering anggota dari grup multicastAnda tidak perlu mengikuti prosedur ini kecuali jika Anda secara manual menambahkan anggota ke grupmulticast.

67


https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html


Console

Untuk membatalkan daftar anggota menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast.4. Pilih tab Grup.5. Pilih anggota, lalu pilihHapus anggota.

Command line

Untuk membatalkan daftar anggota menggunakanAWS CLI

Menggunakanderegister-transit-gateway-multicast-kelompok-anggotaperintah.

Melihat grup multicast

Anda dapat melihat informasi tentang grup multicast Anda untuk memverifikasi bahwa anggota ditemukanmenggunakan protokol IGMPv2. Jenis anggota(di konsol), atauMemberType(diAWS CLI) menampilkanIGMP saatAWSmenemukan anggota dengan protokol.

Console

Untuk melihat grup multicast menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit Gateway.3. Pilih domain multicast.4. Pilih tab Grup.

Command line

Untuk melihat grup multicast menggunakanAWS CLI

Menggunakanpencarian-transit-gateway-multicast-kelompokperintah.

Contoh berikut menunjukkan bahwa protokol IGMP ditemukan anggota kelompok multicast.

aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE{ "MulticastGroups": [ { "GroupIpAddress": "224.0.1.0", "TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE", "SubnetId": "subnet-0187aff814EXAMPLE", "ResourceId": "vpc-0065acced4EXAMPLE", "ResourceType": "vpc", "NetworkInterfaceId": "eni-03847706f6EXAMPLE", "MemberType": "igmp" } ]}

68


https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html


Bekerja dengan domain multicast bersamaDengan berbagi domain multicast, pemilik domain multicast dapat berbagi domain dengan yanglainAWSakun di dalam organisasinya diAWS Organizations. Sebagai pemilik domain multicast, Anda dapatmembuat dan mengelola domain multicast secara terpusat. Konsumen dapat melakukan operasi berikut didomain multicast bersama:

• Daftar dan deregister anggota grup atau sumber grup dalam domain multicast• Mengaitkan subnet dengan domain multicast, dan memisahkan subnet dari domain multicast

Pemilik domain multicast dapat berbagi domain multicast dengan:

• AWSakun di dalam organisasinya atau di seluruh organisasi diAWS Organizations• Sebuah unit organisasi di dalam organisasi di AWS Organizations• Seluruh organisasi di AWS Organizations

Isi• Prasyarat untuk berbagi domain multicast (p. 69)• Layanan terkait (p. 69)• Berbagi di seluruh Availability Zone (p. 69)• Berbagi domain multicast (p. 70)• Membatalkan berbagi domain multicast bersama (p. 70)• Mengidentifikasi domain multicast bersama (p. 71)• Izin domain multicast bersama (p. 71)• Penagihan dan pengukuran (p. 72)• Quotas (p. 72)

Prasyarat untuk berbagi domain multicast

• Untuk membagikan domain multicast, Anda harus memilikinya diAWSakun. Anda tidak dapatmembagikan domain multicast yang telah dibagikan dengan Anda.

• Untuk berbagi domain multicast dengan organisasi Anda atau unit organisasi diAWS Organizations,Anda harus mengaktifkan berbagi denganAWS Organizations. Untuk informasi selengkapnya,lihatAktifkan Berbagi denganAWS Organizationsdi dalamAWS RAMPanduan Pengguna.

Layanan terkait

Berbagi domain multicast terintegrasi denganAWS Resource Access Manager(AWS RAM).AWSRAMadalah layanan yang memungkinkan Anda untuk berbagiAWSsumber daya denganAWSakun ataumelaluiAWS Organizations. Dengan, AWS RAMAnda dapat berbagi sumber daya yang Anda miliki denganmembuat berbagi sumber daya. Pembagian sumber daya menentukan sumber daya yang akan dibagikan,dan konsumen yang akan dibagikan. Konsumen dapat berupa akun AWS individu, atau unit organisasiatau seluruh organisasi di AWS Organizations.

Untuk informasi selengkapnya tentang AWS RAM, lihat Panduan Pengguna AWS RAM.

Berbagi di seluruh Availability Zone

Untuk memastikan bahwa sumber daya didistribusikan di seluruh Availability Zone untuk suatu Wilayah,kami secara independen memetakan Availability Zone ke nama untuk setiap akun. Hal ini dapatmenyebabkan perbedaan penamaan Availability Zone di seluruh akun. Misalnya, Availability Zone us-

69

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs

https://docs.aws.amazon.com/ram/latest/userguide/


east-1a untuk akun AWS Anda mungkin tidak memiliki lokasi yang sama karena us-east-1a untukakun AWS lainnya.

Untuk mengidentifikasi lokasi domain multicast Anda yang terkait dengan akun Anda, Anda harusmenggunakanID Ketersediaan(AZ ID). ID AZ adalah pengenal unik dan konsisten untuk Availability Zone disemua akun AWS. Misalnya, use1-az1 adalah ID AZ untuk Wilayah us-east-1 dan lokasinya sama disetiap akun AWS.

Untuk melihat ID AZ untuk Availability Zone di akun Anda

1. Buka konsol AWS RAM di https://console.aws.amazon.com/ram.2. ID AZ untuk Wilayah saat ini ditampilkan di panel ID AZ Anda di sisi kanan layar.

Berbagi domain multicastKetika pemilik berbagi domain multicast dengan konsumen, konsumen dapat melakukan hal berikut:

• Mendaftar dan membatalkan daftar anggota kelompok atau sumber kelompok• Mengasosiasikan dan memisahkan subnet

Untuk membagikan domain multicast, Anda harus menambahkannya ke berbagi sumber daya. Berbagisumber daya adalah sumber daya AWS RAM yang memungkinkan Anda berbagi sumber daya di seluruhakun AWS. Pembagian sumber daya menentukan sumber daya untuk dibagikan, dan konsumen dengansiapa mereka berbagi. Saat Anda membagikan domain multicast menggunakanAmazon Virtual PrivateCloud Console, Anda menambahkannya ke berbagi sumber daya yang ada. Untuk menambahkan domainmulticast ke berbagi sumber daya baru, Anda harus terlebih dahulu membuat berbagi sumber dayamenggunakanAWS RAMkonsol.

Jika Anda adalah bagian dari organisasi diAWS Organizationsdan berbagi di dalam organisasi Andadiaktifkan, konsumen di organisasi Anda secara otomatis diberikan akses ke domain multicast bersama.Jika tidak, konsumen menerima undangan untuk bergabung dengan berbagi sumber daya dan diberikanakses ke domain multicast bersama setelah menerima undangan.

Anda dapat membagikan domain multicast yang Anda miliki menggunakan *Amazon Virtual Private CloudConsolekonsol,AWS RAMkonsol, atauAWS CLI.

Untuk membagikan domain multicast yang Anda miliki menggunakan *Amazon Virtual PrivateCloud Console

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihDomain Multicast.3. Pilih domain multicast Anda, dan kemudian pilihTindakan,Bagikan domain multicast.4. Pilih berbagi sumber daya Anda dan pilihBagikan domain multicast.

Untuk membagikan domain multicast yang Anda miliki menggunakanAWS RAMkonsol

Lihat Membuat Berbagi Sumber Daya di Panduan Pengguna.AWS RAM

Untuk membagikan domain multicast yang Anda miliki menggunakanAWS CLI

Gunakan perintah create-resource-share.

Membatalkan berbagi domain multicast bersamaKetika domain multicast bersama tidak dibagikan, hal berikut ini terjadi pada sumber daya domain multicastkonsumen:

70


https://console.aws.amazon.com/ram


https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create

https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html


• Subnet konsumen dipisahkan dari domain multicast. Subnet tetap berada di akun konsumen.• Sumber grup konsumen dan anggota grup dipisahkan dari domain multicast, dan kemudian dihapus dari

akun konsumen.

Untuk membatalkan berbagi domain multicast, Anda harus menghapusnya dari berbagi sumber daya. Andadapat melakukannya dariAWS RAMkonsol atauAWS CLI.

Untuk membatalkan berbagi domain multicast bersama yang Anda miliki, Anda harus menghapusnyadari berbagi sumber daya. Anda dapat melakukannya menggunakan *Amazon Virtual Private CloudConsole,AWS RAMkonsol, atauAWS CLI.

Untuk membatalkan berbagi domain multicast bersama yang Anda miliki menggunakan *AmazonVirtual Private Cloud Console

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihDomain Multicast.3. Pilih domain multicast Anda, dan kemudian pilihTindakan,Berhenti berbagi.

Untuk membatalkan berbagi domain multicast bersama yang Anda miliki menggunakanAWS RAMkonsol

Lihat Memperbarui Berbagi Sumber Daya di Panduan Pengguna.AWS RAM

Untuk membatalkan berbagi domain multicast bersama yang Anda miliki menggunakanAWS CLI

Gunakan perintah disassociate-resource-share.

Mengidentifikasi domain multicast bersama

Pemilik dan konsumen dapat mengidentifikasi domain multicast bersama menggunakan *Amazon VirtualPrivate Cloud ConsoledanAWS CLI

Untuk mengidentifikasi domain multicast bersama menggunakan *Amazon Virtual Private CloudConsole

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihDomain Multicast.3. Pilih domain multicast Anda.4. PadaDetail Domain Multicast Transithalaman, melihatID Pemilikuntuk mengidentifikasiAWSID akun

domain multicast.

Untuk mengidentifikasi domain multicast bersama menggunakanAWS CLI

Gunakanmenjelaskan-transit-gateway-multicast-domainperintah. Perintah mengembalikandomain multicast yang Anda miliki dan domain multicast yang dibagikan denganAnda.OwnerIdmenunjukkanAWSID akun dari pemilik domain multicast.

Izin domain multicast bersama

Izin untuk pemilik

Pemilik bertanggung jawab untuk mengelola domain multicast dan anggota serta lampiran yang merekadaftarkan atau kaitkan dengan domain. Pemilik dapat mengubah atau mencabut akses bersama kapansaja. Mereka dapat menggunakanAWSOrganizations untuk melihat, memodifikasi, dan menghapus sumberdaya yang dibuat konsumen di domain multicast bersama.

71


https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update

https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html


Izin untuk konsumen

Konsumen dapat melakukan operasi berikut pada domain multicast bersama dengan cara yang samaseperti yang mereka lakukan pada domain multicast yang mereka buat:

• Daftar dan deregister anggota grup atau sumber grup dalam domain multicast• Mengaitkan subnet dengan domain multicast, dan memisahkan subnet dari domain multicast

Konsumen bertanggung jawab untuk mengelola sumber daya yang mereka buat di domain multicastbersama.

Pelanggan tidak dapat melihat atau mengubah sumber daya yang dimiliki oleh konsumen lain atau olehpemilik domain multicast, dan mereka tidak dapat mengubah domain multicast yang dibagikan denganmereka.

Penagihan dan pengukuran

Tidak ada biaya tambahan untuk berbagi domain multicast untuk pemilik atau konsumen.

Quotas

Domain multicast bersama dihitung terhadap kuota domain multicast pemilik dan konsumen.

72


Pertimbangan berbagi gatewayAnda dapat menggunakanAWSResource Access Manager (RAM) untuk berbagi gateway transit untuklampiran VPC di seluruh akun atau di seluruh organisasi Anda diAWS Organizations. Pertimbangkan halberikut saat Anda ingin berbagi transit gateway.

SesiAWS Site-to-Site VPNlampiran harus dibuat dalamAWSakun yang memiliki transit gateway.

Lampiran ke gateway Direct Connect menggunakan asosiasi gateway transit dan bisa samaAWSakunsebagai gateway Direct Connect, atau gateway Direct Connect.

Secara default, pengguna IAM tidak memiliki izin untuk membuat atau memodifikasiAWS RAMsumberdaya. Untuk mengizinkan pengguna IAM membuat atau memodifikasi sumber daya dan melakukantugas, Anda harus membuat kebijakan IAM yang memberikan izin untuk menggunakan sumber daya dantindakan API tertentu. Kemudian Anda melampirkan kebijakan tersebut ke pengguna atau grup IAM yangmemerlukan izin tersebut.

Hanya pemilik sumber daya yang dapat melakukan operasi berikut:

• Buat berbagi sumber daya.• Memperbarui berbagi sumber daya.• Lihat berbagi sumber daya.• Lihat sumber daya yang dibagikan oleh akun Anda, di semua saham sumber daya.• Lihat prinsipal dengan siapa Anda berbagi sumber daya Anda, di semua saham sumber daya. Melihat

prinsipal dengan siapa Anda berbagi memungkinkan Anda menentukan siapa yang memiliki akses kesumber daya bersama Anda.

• Menghapus berbagi sumber daya.• Jalankan semua gateway transit, lampiran gateway transit, dan API tabel rute gateway transit.

Anda dapat melakukan operasi berikut pada sumber daya yang dibagi dengan Anda:

• Menerima, atau menolak undangan berbagi sumber daya.• Lihat berbagi sumber daya.• Lihat sumber daya bersama yang dapat Anda akses.• Lihat daftar semua prinsipal yang berbagi sumber daya dengan Anda. Anda dapat melihat sumber daya

dan sumber daya berbagi yang telah mereka bagikan dengan Anda.• Dapat menjalankanDescribeTransitGatewaysAPI• Jalankan API yang membuat dan mendeskripsikan lampiran,

misalnyaCreateTransitGatewayVpcAttachmentdanDescribeTransitGatewayVpcAttachments,di VPC mereka.

• Tinggalkan bagian sumber daya.

Ketika gateway transit dibagi dengan Anda, Anda tidak dapat membuat, memodifikasi, atau menghapustabel rute transit gateway, atau propagasi tabel rute transit gateway dan asosiasi.

Saat Anda membuat gateway transit, gateway transit, dibuat di Availability Zone yang dipetakan keakun Anda dan independen dari akun lain. Saat gateway transit dan entitas lampiran berada di akunyang berbeda, gunakan ID Availability Zone untuk mengidentifikasi Availability Zone secara unik dankonsisten. Misalnya, use1-az1 adalah ID AZ untuk us-east-1 Wilayah dan peta ke lokasi yang sama disetiapAWSakun.

73

Amazon VPC AWSTransit GatewayBatalkan transit gateway

Batalkan transit gatewaySaat pemilik saham membatalkan pembagian transit gateway, berlaku aturan berikut:

• Lampiran gateway transit tetap fungsional.• Akun bersama tidak dapat menggambarkan gateway transit.• Pemilik gateway transit, dan pemilik saham dapat menghapus lampiran gateway transit.

74


Logging lalu lintas jaringanmenggunakan Transit Gateway FlowLogs

Log Alur Transit Gateway adlaah fitur yang membuat Anda dapat menangkap informasi tentang lalu lintasIP yang pergi ke dan dari transit gateway. Data log alur dapat diterbitkan ke Amazon CloudWatch Log atauAmazon S3. Setelah membuat log alur, Anda dapat mengambil dan melihat datanya di tujuan yang dipilih.Data log alur dikumpulkan di luar jalur lalu lintas jaringan Anda, dan oleh karena itu tidak mempengaruhithroughput atau latensi jaringan. Anda dapat membuat atau menghapus log alur tanpa risiko dampakterhadap kinerja jaringan. Transit Gateway Flow Logs menangkap informasi yang hanya terkait dengangateway transit, yang dijelaskan dithe section called “Catatan Log Aliran Transit Gateway” (p. 76).Jika Anda ingin menangkap informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC Anda,gunakan Log Alur VPC. LihatLogging lalu lintas IP menggunakan VPC Flow Logsdi dalamPanduanPengguna Amazon VPCUntuk informasi lebih lanjut.

Note

Untuk membuat log aliran gateway transit, Anda harus menjadi pemilik gateway transit, atau jikaAnda bukan pemiliknya, pemilik gateway transit harus memberi Anda izin.

Data log aliran untuk gateway transit yang dipantau dicatat sebagaiCatatan log alur, yang merupakan logacara yang terdiri dari bidang yang menggambarkan arus lalu lintas. Untuk informasi selengkapnya, lihatCatatan Log Aliran Transit Gateway (p. 76).

Untuk membuat log alur, Anda menentukan:

• Sumber daya untuk membuat log alur• Jenis lalu lintas untuk menangkap (lalu lintas yang diterima, lalu lintas yang ditolak, atau semua lalu

lintas)• Tujuan publikasi data log alur Anda

Setelah Anda membuat log alur, perlu beberapa menit untuk mulai mengumpulkan dan menerbitkan datake tujuan yang dipilih. Log alur tidak menangkap pengaliran log waktu nyata untuk gateway transit Anda.Untuk informasi selengkapnya, lihat Membuat log alur (p. 91).

Anda dapat memberikan tag ke log alur Anda. Setiap tanda terdiri dari sebuah kunci dan sebuah nilaiopsional, yang keduanya Anda tentukan. Tag dapat membantu Anda mengatur log alur, misalnyaberdasarkan tujuan atau pemilik.

Jika Anda tidak lagi membutuhkan log alur, Anda dapat menghapusnya. Menghapus log alurmenonaktifkan layanan log alur untuk sumber daya, dan tidak ada catatan log alur baru yang dibuat atauditerbitkan untuk CloudWatch Log atau Amazon S3. Menghapus log alur tidak menghapus catatan log aluryang ada atau pengaliran log (untuk CloudWatch Log) atau objek berkas log (untuk Amazon S3) untuktransit gateway. Untuk menghapus pengaliran log yang ada, gunakan CloudWatch Log konsol. Untukmenghapus objek file berkas log yang ada, gunakan konsol Amazon S3. Setelah Anda menghapus logalur, perlu beberapa menit untuk menghentikan pengumpulan data. Untuk informasi selengkapnya, lihatMenghapus log alur (p. 93).

75

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html

Amazon VPC AWSTransit GatewayCatatan Log Aliran Transit Gateway

Note

Mengkueri log aliran gateway transit menggunakan Amazon Athena tidak didukung.

Daftar Isi• Catatan Log Aliran Transit Gateway (p. 76)• Terbitkan log alur ke CloudWatch Beberapa catatan (p. 80)• Terbitkan log alur ke Amazon S3 (p. 85)• Bekerja dengan Log Aliran Transit Gateway (p. 90)

Catatan Log Aliran Transit GatewayCatatan log alur mewakili aliran jaringan di gateway transit gateway Anda. Setiap catatan adalah stringdengan bidang yang dipisahkan oleh spasi. Sebuah catatan termasuk nilai-nilai untuk komponen yangberbeda dari arus lalu lintas, misalnya, sumber, tujuan, dan protokol.

Ketika Anda membuat log alur, Anda dapat menggunakan format default untuk catatan log alur, atau Andadapat menentukan format kustom.

Daftar Isi• Format default (p. 76)• Format kustom (p. 76)• Bidang yang tersedia (p. 76)

Format defaultDengan format default, catatan log alur termasuk bidang versi 2, dalam urutan yang ditunjukkan dalamtabel bidang yang tersedia (p. 76). Anda tidak dapat menyesuaikan atau mengubah format default.Untuk menangkap bidang tambahan atau subset bidang yang berbeda, tentukan format kustom sebagaigantinya.

Format kustomDengan format kustom, Anda menentukan bidang yang disertakan dalam catatan log alur dan urutannya.Hal ini mengizinkan Anda untuk membuat log alur yang khusus untuk kebutuhan Anda, dan untukmenghilangkan bidang yang tidak relevan. Menggunakan format kustom dapat mengurangi kebutuhanuntuk proses terpisah untuk mengekstrak informasi spesifik dari log alur yang diterbitkan. Anda dapatmenentukan berapa pun bidang log alur yang tersedia, tetapi Anda harus menentukan setidaknya satubidang log alur.

Bidang yang tersediaTabel berikut menjelaskan semua bidang yang tersedia untuk catatan log alur transit gateway.YangVersikolom menunjukkan versi bidang diperkenalkan di.

Saat menerbitkan data log alur ke Amazon S3, jenis data untuk bidang tergantung pada format log alur.Jika formatnya adalah teks biasa, semua bidang adalah tipeSTRING. Jika formatnya Parket, lihat tabeluntuk tipe data bidang.

Jika suatu bidang tidak berlaku atau tidak dapat dihitung untuk catatan tertentu, catatan akan menampilkansimbol '-' untuk entri tersebut. Bidang metadata yang tidak datang langsung dari header paket merupakanperkiraan upaya terbaik, dan nilai-nilainya mungkin meleset atau tidak akurat.

76

Amazon VPC AWSTransit GatewayBidang yang tersedia

Bidang Deskripsi Versi

version Menunjukkan versi di mana bidang diperkenalkan. Format defaultmencakup 2 bidang semua versi, dalam urutan yang sama sebagaimanayang tercantum di tabel.

Parket tipe data: INT_32

2

tgw-id ID dari transit gateway yang lalu lintasnya dicatat.

Parket tipe data:STRING

6

tgw-attachment-id ID lampiran transit gateway yang lalu lintasnya dicatat.

Parket tipe data: STRING

6

srcaddr Alamat sumber untuk lalu lintas masuk, atau alamat IPv4 atau IPv6 daritransit gateway untuk lalu lintas keluar pada transit gateway. Alamat IPv4dari transit gateway selalu merupakan alamat IPv4 privatnya.


2

dstaddr Alamat tujuan untuk lalu lintas keluar, atau alamat IPv4 atau IPv6 daritransit gateway untuk lalu lintas masuk pada transit gateway. AlamatIPv4 dari transit gateway selalu merupakan alamat IPv4 privatnya.


2

srcport Port sumber lalu lintas.

Parket tipe data:INT_32

2

dstport Port tujuan lalu lintas.


2

protocol Nomor protokol IANA lalu lintas. Untuk informasi selengkapnya, lihat Nomor Protokol Internet yang Ditugaskan.


2

packets Jumlah paket yang ditransfer selama aliran.


2

bytes Jumlah byte yang ditransfer selama aliran.


2

start Waktu, dalam detik Unix, ketika paket pertama aliran diterimadalam interval agregasi. Ini mungkin sampai 60 detik setelah paketditransmisikan atau diterima pada transit gateway.


2

end Waktu, dalam detik Unix, ketika paket terakhir dari aliran diterimadalam interval agregasi. Ini mungkin sampai 60 detik setelah paketditransmisikan atau diterima pada transit gateway.


2

77

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml



packets-lost-no-route

Paket hilang karena tidak ada rute yang ditentukan.


6

packets-lost-blackhole

Paket-paket hilang karena lubang hitam.


6

packets-lost-mtu-exceeded

Paket hilang karena ukuran melebihi MTU.


6

packets-lost-ttl-expired

Paket hilang karena berakhirnya time-to-live.


6

tgw-src-vpc-account-id

YangAWSID akun untuk lalu lintas sumber VPC.


6

tgw-dst-vpc-account-id

YangAWSID akun untuk lalu lintas VPC tujuan.


6

tgw-src-vpc-id ID dari sumber VPC untuk transit gateway


6

tgw-dst-vpc-id ID VPC tujuan transit gateway.


6

tgw-src-subnet-id ID subnet untuk lalu lintas sumber transit gateway.


6

tgw-dst-subnet-id ID subnet untuk lalu lintas tujuan transit gateway.


6

78



tcp-flags Nilai bitmask untuk bendera TCP berikut:

• FIN — 1• SYN — 2• RST — 4• PSH — 8• ACK — 16• SYN-ACK — 18• URG — 32

Important

Ketika entri log aliran hanya terdiri dari paket ACK, nilai benderaadalah 0, bukan 16.

Untuk informasi umum tentang bendera TCP (seperti arti bendera sepertiFIN, SYN, dan ACK), lihatStruktur segmen TCPdi Wikipedia.

Bendera TCP dapat OR-ed selama interval agregasi. Untuk koneksipendek, bendera mungkin diatur pada baris yang sama dalam catatanlog alur, misalnya, 19 untuk SYN-ACK dan FIN, dan 3 untuk SYN danFIN.


3

type Jenis lalu lintas. Nilai yang mungkin adalah IPv4 | IPv6 | EFA. Untukinformasi selengkapnya, lihatElastic Fabric Adapterdi dalamPanduanPengguna Amazon EC2 untuk Instans Linux.


3

region Wilayah yang berisi transit gateway tempat lalu lintasnya dicatat.


4

tgw-src-az-id ID dari Availability Zone yang berisi gateway transit sumber yang lalulintasnya dicatat. Jika lalu lintas berasal dari sublokasi, catatan akanmenampilkan simbol '-' untuk bidang ini.


6

tgw-dst-az-id ID dari Availability Zone yang berisi gateway transit tujuan yang lalulintasnya dicatat.


6

flow-direction Arah aliran sehubungan dengan antarmuka di mana lalu lintas ditangkap.Kemungkinan nilai adalah: ingress | egress.


5

79

https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html

Amazon VPC AWSTransit GatewayPublikasikan ke CloudWatch Beberapa catatan


pkt-src-aws-service

Nama bagian dariRentang alamat IPuntuksrcaddrjika alamatIP sumber adalah untukAWSlayanan. Kemungkinan nilaiadalah:AMAZON|AMAZON_APPFLOW|AMAZON_CONNECT|API_GATEWAY|CHIME_MEETINGS|CHIME_VOICECONNECTOR|CLOUD9|CLOUDFRONT|CODEBUILD|DYNAMODB|EBS|EC2|EC2_INSTANCE_CONNECT|GLOBALACCELERATOR|KINESIS_VIDEO_STREAMS|ROUTE53|ROUTE53_HEALTHCHECKS|ROUTE53_HEALTHCHECKS_PUBLISHING|ROUTE53_RESOLVER|S3|WORKSPACES_GATEWAYS.


5

pkt-dst-aws-service

Nama subset dari rentang alamat IP untuk bidang dstaddr ,jika alamat IPtujuan adalah untuk layanan AWS. Untuk daftar kemungkinan nilai, lihatbidang pkt-src-aws-service.Parket tipe data: STRING

5

resource-type Jenis sumber daya di mana langganan dibuat. Ini bisajadiTransitGatewayatauTransitGatewayAttachment.Parket tipe data: STRING

6

account-id YangAWSID akun pemilik gateway transit sumber.


2

Terbitkan log alur ke CloudWatch Beberapa catatanArus log dapat menerbitkan data log alur langsung ke Amazon CloudWatch.

Saat dipublikasikan ke CloudWatch Log, data log alur diterbitkan ke grup log, dan setiap transit gatewaymemiliki pengaliran log unik di grup log. Pengaliran log berisi catatan log alur. Anda dapat membuatbeberapa log alur yang menerbitkan data ke grup log yang sama. Jika transit gateway hadir dalam satuatau lebih log alur di grup log yang sama, maka akan memiliki satu pengaliran log gabungan. Jika Andatelah menetapkan bahwa satu log alur harus menangkap lalu lintas yang ditolak, dan log alur lainnya harusmenangkap lalu lintas yang diterima, maka pengaliran log gabungan menangkap semua lalu lintas.

Biaya penggunaan dan pengarsipan data untuk log penjual otomatis berlaku saat Anda menerbitkan logalur ke CloudWatch Log. Untuk informasi selengkapnya, lihatAmazon CloudWatch Harga.

Masuk CloudWatch Log,timestampbidang sesuai dengan waktu mulai yang ditangkap dalam catatanlog alur. YangingestionTimebidang memberikan tanggal dan waktu ketika catatan log alur diterima olehCloudWatch Log. Stempel waktu lebih lambat dari waktu akhir yang ditangkap dalam catatan log alur.

Untuk informasi lebih lanjut tentang CloudWatch Log, lihatLog yang dikirim ke CloudWatch Beberapacatatandi dalamAmazon CloudWatch Panduan Pengguna Logs.

Daftar Isi• IAM role untuk menerbitkan log alur ke CloudWatch Beberapa catatan (p. 81)• Izin bagi pengguna IAM untuk meneruskan peran (p. 82)• Membuat log alur yang menerbitkan ke CloudWatch Beberapa catatan (p. 82)• Catatan log alur proses di CloudWatch Beberapa catatan (p. 84)

80

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

http://aws.amazon.com/cloudwatch/pricing

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL

Amazon VPC AWSTransit GatewayIAM role untuk menerbitkan log alurke CloudWatch Beberapa catatan

IAM role untuk menerbitkan log alur ke CloudWatchBeberapa catatanIAM role yang dikaitkan dengan log alur harus memiliki izin yang memadai untuk menerbitkan log alur kegrup log tertentu di CloudWatch Log. IAM role harus menjadi milik akun AWS.

Kebijakan IAM yang dilampirkan ke IAM role Anda harus menyertakan setidaknya izin berikut.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ]}

Juga memastikan bahwa peran Anda memiliki hubungan kepercayaan yang memungkinkan layanan logalur untuk menjalankan peran.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Sebaiknya Anda menggunakanaws:SourceAccountdanaws:SourceArnkunci kondisi untuk melindungidiri dariMasalah bingung. Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakankepercayaan sebelumnya. Akun sumber adalah pemilik log aliran dan sumber ARN adalah log aliran ARN.Jika Anda tidak mengetahui ID log alur, Anda dapat mengganti bagian ARN tersebut dengan wildcard (*)dan kemudian memperbarui kebijakan setelah membuat log alur.

"Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id" }}

81

https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html

Amazon VPC AWSTransit GatewayIzin bagi pengguna IAM untuk meneruskan peran

Membuat atau memperbarui IAM role untuk log alurAnda dapat memperbarui peran yang ada atau menggunakan prosedur berikut untuk membuat peran baruuntuk digunakan dengan log alur.

Untuk membuat IAM role untuk log alur

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.2. Dalam panel navigasi, pilih Roles (Peran), lalu Create role (Buat peran).3. Untuk Pilih jenis entitas tepercaya, pilih layanan AWS. Untuk Kasus penggunaan, pilih EC2. Pilih

Berikutnya: Izin.4. PadaMelampirkan kebijakan izinhalaman, pilihSelanjutnya: TandaDan menambahkan tanda secara

opsional. Pilih Berikutnya: Peninjauan.5. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional. Pilih Create role (Buat

peran).6. Pilih nama peran Anda. Untuk Izin, pilih Tambahkan kebijakan selaras, JSON.7. Salin kebijakan pertama dari IAM role untuk menerbitkan log alur ke CloudWatch Beberapa

catatan (p. 81) dan tempel di window. Pilih Tinjau kebijakan.8. Masukkan nama untuk kebijakan Anda dan pilih Buat kebijakan.9. Pilih nama peran Anda. Untuk Hubungan kepercayaan, pilih Edit hubungan kepercayaan.

Dalam dokumen kebijakan yang ada, ubah layanan dari ec2.amazonaws.com ke vpc-flow-logs.amazonaws.com. Pilih Perbarui Kebijakan Kepercayaan.

10. Pada halaman Ringkasan, perhatikan ARN untuk peran Anda. Anda perlu ARN ini ketika Andamembuat log alur Anda.

Izin bagi pengguna IAM untuk meneruskan peranPengguna juga harus memiliki izin untuk menggunakan tindakan iam:PassRole untuk IAM role yangterkait dengan log alur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ]}

Membuat log alur yang menerbitkan ke CloudWatchBeberapa catatanAnda dapat membuat log alur untuk transit gateway. Jika Anda melakukan langkah-langkah ini sebagaipengguna IAM, pastikan bahwa Anda memiliki izin untuk menggunakan Tindakan iam:PassRole. Untukinformasi selengkapnya, lihat Izin bagi pengguna IAM untuk meneruskan peran (p. 82).

Prasyarat

Membuat grup log tujuan. BukaHalaman grupdi dalam CloudWatchkonsol dan pilihBuat grup log. Masukkannama untuk grup log, lalu pilih Buat.

82

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/cloudwatch/home#logsV2:log-groups

Amazon VPC AWSTransit GatewayMembuat log alur yang menerbitkanke CloudWatch Beberapa catatan

Untuk membuat log alur transit menggunakan konsol

1. Masuk ke AWS Management Console dan buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilihTransit gateway.3. Pilih kotak centang untuk satu atau lebih transit gateway dan pilihTindakan,Buat log alur.4. Untuk Filter, tentukan jenis lalu lintas ke log. Pilih Semua ke log lalu lintas diterima dan ditolak, Tolak

ke log hanya lalu lintas yang ditolak, atau Terima ke log hanya lalu lintas yang diterima.5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dan

dikumpulkan ke dalam satu catatan log alur.6. UntukTujuanMemiilih ilihKirim ke CloudWatchBeberapa catatan.7. UntukGrup log tujuan, pilih nama grup log tujuan yang Anda buat.8. UntukPeran IAM, tentukan nama peran yang memiliki izin untuk menerbitkan log CloudWatch Log.9. Untuk Format catatan log, pilih format untuk catatan log alur.

• Untuk menggunakan format default, pilih format default AWS.• Untuk menggunakan format kustom, pilih Format kustom dan kemudian pilih bidang dari Format log.

10. (Opsional) Pilih Tambahkan tag baru untuk menerapkan tag ke log alur.11. Pilih Buat log alur.

Untuk membuat log alur untuk VPC atau subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit gatewayatauLampiran gateway transit.3. Pilih kotak centang untuk satu atau beberapa gateway transit atau lampiran gateway transit, lalu

pilihTindakan,Buat alur.4. Untuk Filter, tentukan jenis lalu lintas ke log. Pilih Semua ke log lalu lintas diterima dan ditolak, Tolak

ke log hanya lalu lintas yang ditolak, atau Terima ke log hanya lalu lintas yang diterima.5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dan

dikumpulkan ke dalam satu catatan log alur.6. UntukTujuanMemiilih ilihKirim ke CloudWatchBeberapa catatan.7. UntukGrup log tujuan, pilih nama grup log tujuan yang Anda buat.8. UntukPeran IAM, tentukan nama peran yang memiliki izin untuk menerbitkan log CloudWatch Log.9. Untuk Format catatan log, pilih format untuk catatan log alur.

• Untuk menggunakan format default, pilih format default AWS.• Untuk menggunakan format kustom, pilih Format kustom dan kemudian pilih bidang dari Format log.

10. (Opsional) Pilih Tambahkan tag baru untuk menerapkan tag ke log alur.11. Pilih Buat log alur.

Untuk membuat log alur menggunakan baris perintah

Gunakan salah satu perintah berikut ini.

• create-flow-logs (AWS CLI)• Baru-EC2FlowLogs(AWS Tools for Windows PowerShell)• CreateFlowLogs (Amazon EC2 Query API)

83




https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateFlowLogs.html

Amazon VPC AWSTransit GatewayCatatan log alur proses di CloudWatch Beberapa catatan

Contoh AWS CLI berikut ini membuat log alur yang menangkap semua lalu lintas yang diterima untuksubnet subnet-1a2b3c4d. Log aliran dikirim ke grup log di CloudWatch Log disebutmy-flow-logs, diakun 123456789101, menggunakan peran IAMpublishFlowLogs.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Catatan log alur proses di CloudWatch BeberapacatatanAnda dapat bekerja dengan catatan log alur seperti yang Anda lakukan dengan log acara lainnya yangdikumpulkan oleh CloudWatch Log. Untuk informasi selengkapnya tentang cara pemantauan data log danfilter metrik, lihatMencari dan Memfilter Data Logdi dalamAmazon CloudWatch Panduan Pengguna.

Contoh: Buat CloudWatch filter metrik dan alarm untuk log alurDalam contoh ini, Anda memiliki log alur untuk eni-1a2b3c4d. Anda ingin membuat alarm yangmemperingatkan Anda jika ada 10 percobaan penolakan atau lebih untuk terkoneksi ke instans Andamelalui TCP port 22 (SSH) dalam jangka waktu 1 jam. Pertama, Anda harus membuat filter metrik yangsesuai dengan pola lalu lintas yang untuknya harus membuat alarm. Setelah itu, Anda dapat membuatalarm untuk filter metrik.

Untuk membuat filter metrik untuk lalu lintas SSH yang ditolak dan membuat alarm untuk filter

1. Buka CloudWatch konsolhttps://console.aws.amazon.com/cloudwatch/.2. Di panel navigasi, pilihBeberapa catatan,Grup log.3. Pilih kotak centang untuk grup log, dan kemudian pilihTindakan,Buat filter metrik.4. Untuk Pola Filter, masukkan perintah berikut.

[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

5. UntukPilih data log untuk diuji, pilih pengaliran log untuk transit gateway Anda. (Opsional) Untukmelihat baris data log yang cocok dengan pola filter, pilihPola uji. Saat Anda siap, pilihSelanjutnya.

6. Masukkan nama filter, namespace metrik, dan nama metrik. Tetapkan nilai metrik ke1. Setelah selesai,pilihlahSelanjutnyadan kemudian pilihBuat filter metrik.

7. Di panel navigasi, pilihAlarm,Semua alarm.8. Pilih Create alarm (Buat alarm).9. Pilih namespace untuk filter metrik yang Anda buat.

Diperlukan waktu beberapa menit hingga metrik baru ditampilkan di konsol.10. Pilih nama metrik yang Anda buat, lalu pilihPilih metrik.11. Konfigurasikan alarm sebagai berikut, lalu pilih Next (Selanjutnya):

• Untuk Statistik pilih Jumlah. Hal ini memastikan bahwa Anda menangkap jumlah total titik data untukjangka waktu yang ditentukan.

• UntukPeriodeMemiilih ilih1 jam.• UntukKapan punMemiilih ilihBesar/Samadan masukkan/10untuk ambang batas.• UntukKonfigurasi tambahan,Datapoints ke alarm, meninggalkan default1.

12. UntukNotifikasi, pilih topik SNS yang ada, atau pilihBuat topik baruuntuk membuat yang baru. PilihSelanjutnya.

84

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/MonitoringLogData.html

https://console.aws.amazon.com/cloudwatch/

Amazon VPC AWSTransit GatewayTerbitkan ke Amazon S3

13. Masukkan nama dan deskripsi untuk alarm dan pilihSelanjutnya.14. Setelah selesai mengonfigurasi alarm, pilihBuat alarm.

Terbitkan log alur ke Amazon S3Arus log dapat menerbitkan data log alur ke Amazon S3.

Ketika menerbitkan ke Amazon S3, data log alur diterbitkan ke bucket Amazon S3 yang ada yang Andatentukan. Catatan log alur untuk semua gateway transit yang diterbitkan untuk serangkaian objek fileberkas log yang disimpan dalam bucket.

Biaya penggunaan dan pengarsipan data untuk log penjual otomatis berlaku saat Anda menerbitkan logalur ke Amazon S3. Untuk informasi selengkapnya, lihatAmazon CloudWatch Harga.

Untuk membuat bucket Amazon S3 untuk digunakan dengan log alur, lihatBuat emberdi dalamPanduanPengguna Layanan Penyimpanan Sederhana Amazon.

Untuk informasi selengkapnya tentang pencatatan beberapa akun, lihat Pencatatan Pusat dalamPerpustakaan Solusi AWS.

Untuk informasi lebih lanjut tentang CloudWatch Log, lihatLog yang dikirim ke Amazon S3di dalamAmazonCloudWatch Panduan Pengguna Logs.

Daftar Isi• Berkas log alur (p. 85)• Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3 (p. 87)• Izin bucket Amazon S3 untuk log alur (p. 87)• Kebijakan utama yang diperlukan untuk digunakan dengan SSE-KMS (p. 88)• Izin file berkas log Amazon S3 (p. 89)• Membuat log alur yang menerbitkan ke Amazon S3 (p. 89)• Catatan log alur proses di Amazon S3 (p. 90)

Berkas log alurLog Alur VPC adlaah fitur yang mengumpulkan catatan log alur, mengkonsolidasikannya ke berkas log, dankemudian menerbitkan berkas log untuk bucket Amazon S3 dengan interval 5 menit. Setiap file berkas logberisi catatan log alur untuk lalu lintas IP yang dicatat dalam lima menit sebelumnya.

Ukuran file maksimum untuk berkas log adalah 75 MB. File berkas log mencapai batas ukuran file dalamperiode 5 menit, log alur berhenti menambahkan catatan log alur kepadanya. Kemudian menerbitkan logalur ke bucket Amazon S3, dan membuat file berkas log baru.

Di Amazon S3,Terakhir dimodifikasibidang untuk berkas log alur menunjukkan tanggal dan waktu saat filediunggah ke bucket Amazon S3. Ini lebih lambat dari stempel waktu dalam nama file, dan berbeda denganjumlah waktu yang dibutuhkan untuk mengunggah file ke bucket Amazon S3.

Format file

Anda dapat menentukan salah satu format berikut untuk berkas log. Setiap file dikompresi menjadi satu fileGzip.

• Text— Teks biasa. Ini adalah format default.

85

http://aws.amazon.com/cloudwatch/pricing

https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html

http://aws.amazon.com/solutions/implementations/centralized-logging/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3

Amazon VPC AWSTransit GatewayBerkas log alur

• Parquet- Apache Parquet adalah format data kolumnar. Kueri data dalam format Parket 10 sampai 100kali lebih cepat dibandingkan dengan kueri data dalam teks biasa. Data dalam format Parket dengankompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teks biasa dengankompresi Gzip.

Opsi file

Anda juga dapat menentukan opsi berikut.

• Awalan S3 yang kompatibel dengan sarang- Aktifkan awalan yang kompatibel dengan sarang alih-alihmengimpor partisi ke alat yang kompatibel dengan sarang Anda. Sebelum Anda menjalankan kueri,gunakanMSCK REPAIR TABLEperintah.

• Partisi per jam- Jika Anda memiliki volume log yang besar dan biasanya menargetkan kueri ke jamtertentu, Anda bisa mendapatkan hasil yang lebih cepat dan menghemat biaya kueri dengan mempartisilog setiap jam.

Struktur bucket file S3

Berkas log disimpan ke bucket Amazon S3 tertentu menggunakan struktur folder yang didasarkan pada ID,Wilayah, tanggal pembuatan, dan opsi tujuan.

Secara default, file dikirim ke lokasi berikut.

bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/

Jika Anda mengaktifkan awalan S3 yang kompatibel dengan Hive, file akan dikirim ke lokasi berikut.

bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/

Jika Anda mengaktifkan partisi per jam, file akan dikirim ke lokasi berikut.

bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/

Jika Anda mengaktifkan partisi yang kompatibel dengan sarang dan mempartisi log aliran per jam, file akandikirim ke lokasi berikut.

bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/

Nama file file

Nama file file log didasarkan pada ID log aliran, Wilayah, dan tanggal dan waktu pembuatan. Nama filemenggunakan format berikut.

aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz

Berikut ini adalah contoh file log untuk log alur yang dibuat olehAWSakun123456789012, untuk sumberdaya dius-east-1Wilayah, padaJune 20, 2018pada16:20 UTC. File berisi catatan log alur dengan waktuakhir antara16:20:00dan16:24:59.

123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz

86

Amazon VPC AWSTransit GatewayKebijakan IAM untuk prinsipal IAM yang

menerbitkan log alur ke Amazon S3

Kebijakan IAM untuk prinsipal IAM yang menerbitkanlog alur ke Amazon S3IAM prinsipal yang membuat log alur, seperti pengguna IAM, harus memiliki izin berikut, yang diperlukanuntuk menerbitkan log alur ke bucket Amazon S3 tujuan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*" } ]}

Izin bucket Amazon S3 untuk log alurObjek dan bucket Amazon S3 secara default bersifat privat. Hanya pemilik bucket yang bisa mengaksesbucket dan objek yang tersimpan di dalamnya. Namun, pemilik bucket dapat memberikan akses kepadasumber daya dan pengguna lain dengan menulis kebijakan akses.

Jika pengguna membuat log aliran memiliki bucket danmemilikiPutBucketPolicydanGetBucketPolicyizin untuk bucket, kami secara otomatis melampirkankebijakan berikut ke bucket. Kebijakan ini akan menggantikan kebijakan yang sebelumnya sudah melekatpada bucket.

Jika tidak, pemilik bucket harus menambahkan kebijakan ini ke bucket, dengan menentukanAWSID akunpembuat log aliran, atau pembuatan log aliran gagal. Untuk informasi selengkapnya, lihatMenggunakankebijakan bucketdi dalamPanduan Pengguna Layanan Penyimpanan Sederhana Amazon.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "my-s3-arn", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": account_id }, "ArnLike": { "aws:SourceArn": "arn:aws:logs:region:account_id:*" } } }, { "Sid": "AWSLogDeliveryCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": ["s3:GetBucketAcl", "s3:ListBucket"],

87

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/bucket-policies.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/bucket-policies.html

Amazon VPC AWSTransit GatewayKebijakan utama yang diperlukan

untuk digunakan dengan SSE-KMS

"Resource": "arn:aws:s3:::bucket_name", "Condition": { "StringEquals": { "aws:SourceAccount": account_id }, "ArnLike": { "aws:SourceArn": "arn:aws:logs:region:account_id:*" } } } ]}

ARN yang Anda tentukanmy-s3tergantung pada apakah Anda menggunakan awalan S3 yang kompatibeldengan sarang.

• Prefiks default

arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*

• Awalan S3 yang kompatibel dengan sarang

arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*

Sebagai praktik terbaik, kami merekomendasikan agar Anda memberikan izin ini ke prinsipallayanan pengiriman log bukan individuAWSARN akun. Ini juga merupakan praktik terbaik untukmenggunakanaws:SourceAccountdanaws:SourceArnkunci kondisi untuk melindungiMasalah bingung.Akun sumber adalah pemilik log aliran dan sumber ARN adalah wildcard (*) ARN dari layanan log.

Kebijakan utama yang diperlukan untuk digunakandengan SSE-KMSAnda dapat melindungi data di bucket Amazon S3 Anda dengan mengaktifkan Server-Side Encryptiondengan Amazon S3 S3-Managed Keys (SSE-S3) atau Server-Side Encryption dengan KMS Keys (SSE-KMS). Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi sisi server di PanduanPengguna Amazon S3.

Dengan SSE-KMS, Anda dapat menggunakan salah satuAWSkunci yang dikelola atau kunci terkelolapelanggan. DenganAWSkunci terkelola, Anda tidak dapat menggunakan pengiriman lintas akun. Log alurdikirim dari akun pengiriman log, sehingga Anda harus memberikan akses untuk pengiriman lintas akun.Untuk memberikan akses lintas akun ke bucket S3 Anda, gunakan kunci yang dikelola pelanggan dantentukan Amazon Resource Name (ARN) kunci yang dikelola pelanggan ketika Anda mengaktifkan enkripsibucket. Untuk informasi selengkapnya, lihat Menentukan enkripsi sisi server dengan AWS KMS di PanduanPengguna Amazon S3.

Ketika Anda menggunakan SSE-KMS dengan kunci yang dikelola pelanggan, Anda harus menambahkanhal berikut ke kebijakan utama untuk kunci Anda (bukan kebijakan bucket untuk bucket S3 Anda), sehinggaLog Alur VPC dapat menulis ke bucket S3 Anda.

{ "Sid": "Allow VPC Flow Logs to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] },

88

https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html

https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html

https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html

Amazon VPC AWSTransit GatewayIzin file berkas log Amazon S3

"Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*"}

Izin file berkas log Amazon S3Selain kebijakan bucket yang diperlukan, Amazon S3 menggunakan daftar kontrol akses (ACL) untukmengelola akses ke berkas log yang dibuat oleh log alur. Secara default, pemilik bucket memiliki izinFULL_CONTROL pada setiap file berkas log. Pemilik pengiriman log, jika berbeda dari pemilik bucket,tidak memiliki izin. Akun pengiriman log memiliki izin READ dan WRITE. Untuk informasi selengkapnya,lihatIkhtisar Daftar Kontrol Akses (ACL)di dalamPanduan Pengguna Layanan Penyimpanan SederhanaAmazon.

Membuat log alur yang menerbitkan ke Amazon S3Setelah Anda membuat dan mengkonfigurasi bucket Amazon S3 Anda, Anda dapat membuat log aluruntuk transit gateway.

Untuk membuat log alur transit gateway yang menerbitkan ke Amazon S3 menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit gatewayatauLampiran gateway transit.3. Pilih kotak centang untuk satu atau beberapa gateway transit atau lampiran gateway transit.

Pilih kotak centang untuk satu atau beberapa transit gateway.4. Memiilih ilihTindakan,Buat log alur.5. Konfigurasikan pengaturan log aliran. Untuk informasi selengkapnya, lihatUntuk mengonfigurasi

pengaturan log alur (p. 89).

Untuk mengonfigurasi pengaturan log alur menggunakan konsol

1. Untuk Filter, tentukan jenis data lalu lintas IP ke log.

• Diterima— Log hanya diterima lalu lintas.• Ditolak— Log hanya ditolak lalu lintas.• Semua— Log diterima dan ditolak lalu lintas.

2. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dandikumpulkan ke dalam satu catatan log alur.

3. UntukTujuanMemiilih ilihKirim ke bucket S3.4. Untuk ARN bucket S3, tentukan Amazon Resource Name (ARN) dari bucket Amazon S3 yang ada.

Anda dapat menyertakan subfolder. Misalnya, untuk menentukan subfolder bernama my-logs dalamsebuah bucket bernama my-bucket, gunakan ARN berikut:

arn:aws::s3:::my-bucket/my-logs/

Bucket tidak dapat menggunakan AWSLogs sebagai nama subfolder, karena ini adalah istilah yangdicadangkan.

89

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html


Amazon VPC AWSTransit GatewayCatatan log alur proses di Amazon S3

Jika Anda memiliki bucket, kami secara otomatis membuat kebijakan sumber daya danmelampirkannya ke bucket. Untuk informasi selengkapnya, lihat Izin bucket Amazon S3 untuk logalur (p. 87).

5. UntukFormat catatan, tentukan format untuk catatan log alur.

• Untuk menggunakan format catatan log alur default, pilih format default AWS.• Untuk membuat format kustom, pilih Format kustom. Untuk Format log, pilih bidang untuk disertakan

dalam catatan log alur.6. UntukFormat file, tentukan format untuk berkas log.

• Text— Teks biasa. Ini adalah format default.• Parquet- Apache Parquet adalah format data kolumnar. Kueri data dalam format Parket 10 sampai

100 kali lebih cepat dibandingkan dengan kueri data dalam teks biasa. Data dalam format Parketdengan kompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teksbiasa dengan kompresi Gzip.

7. (Opsional) Untuk menggunakan awalan S3 yang kompatibel dengan sarang, pilihAwalan S3 yangkompatibel dengan sarang,Aktifkan.

8. (Opsional) Untuk mempartisi log aliran Anda per jam, pilihSetiap 1 jam (60 menit).9. (Opsional) Untuk menambahkan tag ke log alur, pilihTambahkan tag barudan tentukan tombol tag dan

nilai.10. Pilih Buat log alur.

Untuk membuat log alur yang menerbitkan ke Amazon S3 menggunakan alat baris perintah

Gunakan salah satu perintah berikut ini.

• create-flow-logs (AWS CLI)• Baru-EC2FlowLogs(AWS Tools for Windows PowerShell)• CreateFlowLogs (Amazon EC2 Query API)

Contoh AWS CLI berikut ini membuat log alur yang menangkap semua lalu lintas untuk VPCvpc-00112233344556677 Dan mengirimkan log alur ke bucket Amazon S3 yang disebut flow-log-bucket. Parameter --log-format menentukan format kustom untuk catatan log alur.

aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Catatan log alur proses di Amazon S3Berkas log dikompresi. Jika Anda membuka berkas log menggunakan konsol Amazon S3, berkas log akandidekompresi dan catatan log alur ditampilkan. Jika Anda mengunduh berkas, Anda harus mendekompresimereka untuk melihat catatan log alur.

Bekerja dengan Log Aliran Transit GatewayAnda dapat bekerja dengan Log Alur Transit Gateway menggunakan Amazon EC2, Amazon VPC,CloudWatch, dan konsol Amazon S3.

90


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html


Amazon VPC AWSTransit GatewayMengontrol penggunaan log alur

sedih

Tugas• Mengontrol penggunaan log alur (p. 91)• Membuat log alur (p. 91)• Melihat log alur (p. 91)• Menambahkan atau menghapus tag untuk log alur (p. 92)• Melihat catatan log alur (p. 92)• Cari catatan log alur (p. 92)• Menghapus log alur (p. 93)• Gambaran umum dan batasan API dan CLI (p. 93)

Mengontrol penggunaan log alurSecara default, pengguna IAM tidak memiliki izin untuk bekerja dengan log alur. Anda dapat membuatkebijakan pengguna IAM yang memberikan izin kepada pengguna untuk membuat, menjelaskan, danmenghapus log alur. Untuk informasi selengkapnya, lihat Pemberian Izin Pengguna IAM yang Diperlukanuntuk Sumber Daya Amazon EC2 dalam Referensi API Amazon EC2.

Berikut ini adalah contoh kebijakan yang memberikan izin penuh kepada pengguna untuk membuat,menjelaskan, dan menghapus log alur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ]}

Beberapa konfigurasi izin dan IAM role diperlukan, tergantung pada apakah Anda menerbitkannyaCloudWatch Log atau Amazon S3. Untuk informasi selengkapnya, lihat Terbitkan log alur ke CloudWatchBeberapa catatan (p. 80) dan Terbitkan log alur ke Amazon S3 (p. 85).

Membuat log alurAnda dapat membuat log alur untuk gateway transit gateway yang dapat menerbitkan data ke CloudWatchLog atau Amazon S3.

Untuk informasi selengkapnya, lihat Membuat log alur yang menerbitkan ke CloudWatch Beberapacatatan (p. 82) dan Membuat log alur yang menerbitkan ke Amazon S3 (p. 89).

Melihat log alurAnda dapat melihat informasi tentang log alur Anda di konsol Amazon VPC dengan menampilkanLogalurTab untuk sumber daya tertentu. Ketika Anda memilih sumber daya, semua log alur untuk sumberdaya tersebut terdaftar. Informasi yang ditampilkan termasuk ID log alur, konfigurasi log alur, dan informasitentang status log alur.

91

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html

Amazon VPC AWSTransit GatewayMenambahkan atau menghapus tag untuk log alur

Untuk melihat informasi tentang log alur untuk transit gateway

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit gatewayatauLampiran gateway transit.3. Pilih gateway transit atau lampiran gateway transit dan pilihLog alur. Informasi tentang log alur

ditampilkan pada tab. Parameter kolom Jenis tujuan menunjukkan tujuan tempat penerbitan log alur.

Menambahkan atau menghapus tag untuk log alurAnda dapat menambahkan atau menghapus tag untuk log alur di konsol Amazon EC2 dan Amazon VPC.

Untuk menambah atau menghapus tag untuk log alur transit gateway

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit gatewayatauLampiran gateway transit.3. Pilih gateway transit atau lampiran gateway transit4. Pilih Kelola Tag untuk log alur yang diperlukan.5. Untuk menambahkan tag baru, pilih Buat Tag. Untuk menghapus sebuah tag, pilih tombol hapus (x).6. Pilih Save (Simpan).

Melihat catatan log alurAnda dapat melihat catatan log alur menggunakan CloudWatch Konsol log atau konsol Amazon S3,tergantung pada jenis tujuan yang dipilih. Mungkin diperlukan beberapa menit setelah Anda membuat logalur agar dapat terlihat di konsol.

Untuk melihat catatan log alur yang diterbitkan ke CloudWatch Beberapa catatan

1. Buka CloudWatch konsolhttps://console.aws.amazon.com/cloudwatch/.2. Di panel navigasi, pilih Log, dan pilih grup log yang berisi log alur Anda. Daftar pengaliran log untuk

setiap transit gateway ditampilkan.3. Pilih pengaliran log yang berisi ID dari transit gateway yang ingin Anda lihat catatan log alur untuk.

Untuk informasi selengkapnya, lihat Catatan Log Aliran Transit Gateway (p. 76).

Untuk melihat catatan log alur yang diterbitkan ke Amazon S3

1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.2. Untuk Nama bucket, pilih bucket tempat tujuan penerbitan log alur.3. Untuk Nama, pilih kotak centang di samping file berkas log. Di halaman gambaran umum, pilih Unduh.

Cari catatan log alurAnda dapat mencari catatan log alur yang diterbitkan ke CloudWatch Log dengan menggunakanCloudWatch Log konsol. Anda dapat menggunakan filter metrik untuk menyaring catatan log alur. Catatanlog alur adalah ruang yang dibatasi.

Untuk mencari catatan log alur menggunakan CloudWatch Konsol log

1. Buka CloudWatch konsol dihttps://console.aws.amazon.com/cloudwatch/.2. Pada panel navigasi, pilih Log, lalu pilih Grup log.

92




https://console.aws.amazon.com/s3/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html


Amazon VPC AWSTransit GatewayMenghapus log alur

3. Pilih grup log yang berisi log alur Anda. Daftar pengaliran log untuk setiap transit gateway ditampilkan.4. Pilih pengaliran log individu jika Anda tahu transit gateway yang Anda cari. Atau, pilih Cari Grup Log

untuk mencari seluruh grup log. Tindakan ini mungkin membutuhkan waktu lama jika ada banyaktransit gateway di grup log Anda, atau tergantung pada rentang waktu yang Anda pilih.

5. Untuk Filter peristiwa, masukkan string berikut. Ini mengasumsikan bahwa catatan log alurmenggunakan format default (p. 76).

[version, accountid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end,]

6. Ubah filter sesuai kebutuhan dengan menentukan nilai untuk bidang. Contoh berikut adalah filterberdasarkan alamat IP sumber tertentu.

[version, accountid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end][version, accountid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end]

Contoh berikut adalah filter berdasarkan port tujuan, jumlah byte, dan apakah lalu lintas ditolak.

[version, accountid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end][version, accountid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end]

Menghapus log alurAnda dapat menghapus log alur transit gateway menggunakan konsol Amazon VPC.

Prosedur ini menonaktifkan layanan log alur untuk sumber daya. Menghapus log alur tidak menghapuspengaliran log yang ada dari CloudWatch File log atau log dari Amazon S3. Data log alur yang ada harusdihapus menggunakan konsol layanan masing-masing. Selain itu, penghapusan log alur yang menerbitkanke Amazon S3 tidak menghapus kebijakan bucket dan daftar kontrol akses (ACL) file berkas log.

Untuk menghapus log aliran gateway transit

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilihTransit gateway.3. Memiilih sebuahID transit gateway transit.4. Di bagian Flow logs, pilih log aliran yang ingin Anda hapus.5. Memiilih ilihTindakan, lalu pilihHapus log alur.6. Konfirmasi bahwa Anda ingin menghapus alur dengan memilihHapus.

Gambaran umum dan batasan API dan CLIAnda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API.

Pembatasan berikut berlaku saat menggunakanCreateFlowLogsAPI ataucreate-flow-logsCLI:

• --resource-idsmemiliki kendala maksimum25TransitGatewayatauTransitGatewayAttachmentjenis sumber daya.

• --traffic-typebukan bidang wajib secara default. Galat ditampilkan jika Anda menyediakan ini untukjenis sumber daya gateway transit. Batas ini hanya berlaku untuk jenis sumber daya transit gateway.

93




Amazon VPC AWSTransit GatewayGambaran umum dan batasan API dan CLI

• --max-aggregation-intervalmemiliki nilai default dari60, dan merupakan satu-satunya nilai yangditerima untuk jenis sumber daya transit gateway. Kesalahan dikembalikan jika Anda mencoba untuklulus nilai lainnya. Batas ini hanya berlaku untuk jenis sumber daya transit gateway.

• --resource-typemendukung dua jenis sumber dayabaru,TransitGatewaydanTransitGatewayAttachment.

• --log-formatmencakup semua bidang log untuk jenis sumber daya gateway transit jika Anda tidakmengatur bidang mana yang ingin Anda sertakan. Ini hanya berlaku untuk jenis sumber daya transitgateway.

Membuat log alur

• create-flow-logs (AWS CLI)• Baru-EC2FlowLog(AWS Tools for Windows PowerShell)• CreateFlowLogs (Amazon EC2 Query API)

Deskripsikan log alur

• describe-flow-logs (AWS CLI)• Dapatkan-EC2FlowLog(AWS Tools for Windows PowerShell)• DescribeFlowLogs (Amazon EC2 Query API)

Melihat catatan log alur Anda (log acara)

• get-log-events (AWS CLI)• DapatkanCWLLogEvent(AWS Tools for Windows PowerShell)• GetLogEvents(CloudWatchAPI)

Menghapus log alur

• delete-flow-logs (AWS CLI)• Remove-EC2FlowLog(AWS Tools for Windows PowerShell)• DeleteFlowLogs (Amazon EC2 Query API)

94


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeFlowLogs.html

https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html

https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteFlowLogs.html

Amazon VPC AWSTransit GatewayCloudWatch metrik

Pantau gateway transit AndaAnda dapat menggunakan fitur berikut ini untuk memantau gateway transit, menganalisis pola lalu lintas,dan memecahkan masalah dengan gateway transit Anda.

CloudWatch metrik

Anda dapat menggunakan Amazon CloudWatch untuk mengambil statistik tentang titik data untukgateway transit Anda sebagai set data deret waktu yang diurutkan, yang dikenal sebagaimetrik. Andadapat menggunakan metrik ini untuk memverifikasi bahwa sistem Anda bekerja sesuai harapan. Untukinformasi selengkapnya, lihat CloudWatch metrik untuk gateway transit Anda (p. 95).

Log aliran Transit Gateway

Anda dapat menggunakan Log Aliran Transit Gateway untuk menangkap informasi rinci tentanglalu lintas jaringan di gateway transit Anda. Untuk informasi selengkapnya, lihat Log alur transitGateway (p. 75).

Log Aliran VPC

Anda dapat menggunakan Log Aliran VPC untuk menangkap informasi rinci tentang lalu lintas ke dandari VPC yang dilampirkan ke gateway transit Anda. Untuk informasi selengkapnya, lihat Log VPCFlow di Panduan Pengguna Amazon VPC.

CloudTrail log

Anda dapat menggunakanAWS CloudTrailuntuk mengambil informasi mendetail tentang panggilanyang dibuat ke API transit gateway dan menyimpannya sebagai berkas log di Amazon S3. Andadapat menggunakan ini CloudTrail log untuk menentukan panggilan mana yang dibuat, alamat IPsumber asal panggilan, siapa yang membuat panggilan, kapan panggilan dibuat, dan seterusnya.Untuk informasi selengkapnya, lihat Log panggilan API untuk gateway transit menggunakanAWSCloudTrail (p. 97).

CloudWatch metrik untuk gateway transit AndaAmazon VPC menerbitkan titik data ke Amazon VPC CloudWatch untuk gateway transit dan lampirangateway transit Anda. CloudWatchmemungkinkan Anda mengambil statistik tentang titik data tersebutsebagai kumpulan data deret waktu yang diurutkan, yang dikenal sebagaimetrik. Anggap metrik sebagaivariabel untuk memantau, dan titik data sebagai nilai variabel tersebut dari waktu ke waktu. Setiap titik datamemiliki timestamp terkait dan pengukuran unit opsional.

Anda dapat menggunakan metrik untuk memverifikasi bahwa sistem Anda bekerja sesuai harapan.Misalnya, Anda dapat membuat CloudWatch alarm untuk memantau metrik tertentu dan memulai tindakan(seperti mengirim notifikasi ke alamat email) jika metrik berada di luar rentang yang menurut Anda dapatditerima.

Amazon VPC mengukur dan mengirimkan metriknya ke CloudWatch dalam interval 60 detik.

Untuk informasi selengkapnya, lihat halamanAmazon CloudWatch Panduan Pengguna.

Daftar Isi• Metrik transit gateway (p. 95)• Dimensi metrik untuk gateway transit (p. 96)

Metrik transit gatewayNamespace AWS/TransitGateway mencakup metrik berikut.

95



https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

Amazon VPC AWSTransit GatewayDimensi metrik untuk gateway transit

Metrik Deskripsi

BytesDropCountBlackholeJumlah byte yang jatuh karena mereka cocok denganblackholerute.

BytesDropCountNoRoute Jumlah byte turun karena mereka tidak cocok dengan rute.

BytesIn Jumlah byte yang diterima oleh gateway transit.

BytesOut Jumlah byte yang dikirim dari gateway transit.

PacketsIn Jumlah paket yang diterima oleh transit gateway.

PacketsOut Jumlah paket yang dikirim oleh transit gateway.

PacketDropCountBlackholeJumlah paket yang jatuh karena mereka cocok denganblackholerute.

PacketDropCountNoRoute Jumlah paket yang jatuh karena tidak cocok dengan rute.

Metrik tingkat lampiran tingkat lampiranMetrik berikut tersedia untuk lampiran gateway transit. Semua metrik lampiran dipublikasikan ke akunpemilik gateway transit. Metrik lampiran individual juga dipublikasikan ke akun pemilik lampiran. Pemiliklampiran hanya dapat melihat metrik untuk lampiran mereka sendiri. Untuk informasi selengkapnya tentangjenis lampiran yang didukung, lihatthe section called “Lampiran sumber daya” (p. 4).

Metrik Deskripsi

BytesDropCountBlackholeJumlah byte yang jatuh karena mereka cocok denganblackholerutepada transit gateway attachment.

BytesDropCountNoRoute Jumlah byte dijatuhkan karena mereka tidak cocok dengan rute padalampiran transit gateway.

BytesIn Jumlah byte yang diterima oleh gateway transit dari lampiran.

BytesOut Jumlah byte yang dikirim dari gateway transit ke attachment.

PacketsIn Jumlah paket yang diterima oleh gateway transit dari lampiran.

PacketsOut Jumlah paket yang dikirim oleh gateway transit ke lampiran.

PacketDropCountBlackholeJumlah paket yang jatuh karena mereka cocok denganblackholerutepada transit gateway attachment.

PacketDropCountNoRoute Jumlah paket turun karena mereka tidak cocok dengan rute pada lampirantransit gateway.

Dimensi metrik untuk gateway transitUntuk memfilter metrik gateway transit Anda, gunakan dimensi berikut.

Dimensi Deskripsi

TransitGateway Memfilter data metrik berdasarkan gateway transit.

TransitGatewayAttachmentMemfilter data metrik berdasarkan transit gateway attachment.

96

Amazon VPC AWSTransit GatewayCloudTrail log

Log panggilan API untuk gateway transitmenggunakanAWS CloudTrail

AWS CloudTrailadalah layanan yang menyediakan catatan tindakan yang diambil oleh pengguna,peran, atauAWSlayanan layanan. CloudTrail menangkap semua transit gateway panggilan API sebagaiperistiwa. Panggilan yang ditangkap termasuk panggilan dariAWS Management Consoledan panggilankode ke operasi API gateway transit. Jika Anda membuat jejak, Anda dapat mengaktifkan pengirimanberkelanjutan CloudTrail peristiwa ke bucket Amazon S3, termasuk peristiwa untuk gateway transit.Jika tidak mengonfigurasi jejak, Anda masih dapat melihat kejadian terbaru di CloudTrail konsol dikonsolRiwayat peristiwa. Menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapatmenentukan permintaan yang dibuat ke API transit gateway, alamat IP tempat permintaan dibuat, kapanpermintaan dibuat, dan detail tambahan.

Untuk informasi selengkapnya tentang API gateway transit, lihatAWSTindakan Transit GatewaydidalamReferensi API Amazon EC2 Referensi API.

Untuk informasi lebih lanjut tentang CloudTrail, lihatAWS CloudTrailPanduan Pengguna.

Informasi transit gateway di CloudTrailCloudTrail diaktifkan padaAWSakun saat Anda membuat akun. Ketika aktivitas terjadi melalui API gatewaytransit, aktivitas tersebut direkam dalam CloudTrail acara bersama dengan lainnyaAWSperistiwa layanandiRiwayat peristiwa. Anda dapat melihat, mencari, dan mengunduh peristiwa terbaru di akun AWS Anda.Untuk informasi selengkapnya, lihatMelihat peristiwa dengan CloudTrail Sejarah peristiwa.

Untuk catatan berkelanjutan tentang peristiwa diAWSakun, termasuk peristiwa untuk API gateway transit,buat jejak. SEBUAHjejakmenyalakan CloudTrail untuk mengirimkan berkas log ke bucket Amazon S3.Secara default, saat Anda membuat jejak di dalam konsol tersebut, jejak diterapkan ke semua Wilayah .Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket AmazonS3 yang Anda tentukan. Selain itu, Anda dapat mengkonfigurasi lainnyaAWSlayanan untuk menganalisislebih lanjut dan bertindak berdasarkan data peristiwa yang dikumpulkan di CloudTrail log. Untuk informasiselengkapnya, lihat yang berikut:

• Ikhtisar untuk Membuat Jejak• CloudTrail Layanan dan Integrasi yang Didukung• Mengonfigurasi Notifikasi Amazon SNS untuk CloudTrail• Menerima menerima CloudTrail File log file log dari Beberapa WilayahdanMenerima menerima

CloudTrail File log file log dari Beberapa Akun

Semua panggilan ke tindakan gateway transit dicatat oleh CloudTrail. Misalnya, panggilankeCreateTransitGatewaytindakan menghasilkan entri di CloudTrail file log file log file log.

Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasiidentitas membantu Anda menentukan hal berikut:

• Bahwa permintaan dibuat dengan kredensial pengguna root atau pengguna AWS Identity and AccessManagement (IAM).

• Bahwa permintaan tersebut dibuat dengan kredensial keamanan sementara untuk peran atau penggunagabungan.

• Bahwa permintaan dibuat oleh layanan AWS lain.

Untuk informasi lain, lihat Elemen userIdentity CloudTrail .

97

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/operation-list-tgw.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

Amazon VPC AWSTransit GatewayMemahami entri berkas log transit gateway

Memahami entri berkas log transit gatewayJejak adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai berkas log ke bucket AmazonS3 yang Anda tentukan. CloudTrail file log berisi satu atau beberapa entri log. Sebuah peristiwa mewakilipermintaan tunggal dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggaldan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail berkas log bukan jejak tumpukanterurut dari panggilan API publik, sehingga berkas tersebut tidak muncul dalam urutan tertentu.

Berkas log menyertakan peristiwa untuk semua panggilan API untuk AndaAWSakun, bukan hanyapanggilan API gateway transit. Anda dapat menemukan panggilan ke API gateway transit denganmemeriksaeventSourceelemen dengan nilaiec2.amazonaws.com. Untuk melihat catatan tindakantertentu, seperti CreateTransitGateway, periksa elemen eventName dengan nama tindakan.

Berikut ini adalah contoh contoh: CloudTrail catatan log untuk API gateway transit untuk penggunayang membuat gateway transit menggunakan konsol. Anda dapat mengidentifikasi konsolmenggunakanuserAgentelemen elemen. Anda dapat mengidentifikasi panggilan API yang dimintamenggunakaneventNameelemen elemen. Informasi tentang pengguna (Alice) dapat ditemukan dielemen userIdentity.

Example Contoh: CreateTransitGateway

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2018-11-15T05:25:50Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateTransitGateway", "awsRegion": "us-west-2", "sourceIPAddress": "198.51.100.1", "userAgent": "console.ec2.amazonaws.com", "requestParameters": { "CreateTransitGatewayRequest": { "Options": { "DefaultRouteTablePropagation": "enable", "AutoAcceptSharedAttachments": "disable", "DefaultRouteTableAssociation": "enable", "VpnEcmpSupport": "enable", "DnsSupport": "enable" }, "TagSpecification": { "ResourceType": "transit-gateway", "tag": 1, "Tag": { "Value": "my-tgw", "tag": 1, "Key": "Name" } } } }, "responseElements": { "CreateTransitGatewayResponse": { "xmlns": "http://ec2.amazonaws.com/doc/2016-11-15/", "requestId": "a07c1edf-c201-4e44-bffb-3ce90EXAMPLE", "transitGateway": {

98

Amazon VPC AWSTransit GatewayMemahami entri berkas log transit gateway

"tagSet": { "item": { "value": "my-tgw", "key": "Name" } }, "creationTime": "2018-11-15T05:25:50.000Z", "transitGatewayId": "tgw-0a13743bd6c1f5fcb", "options": { "propagationDefaultRouteTableId": "tgw-rtb-0123cd602be10b00a", "amazonSideAsn": 64512, "defaultRouteTablePropagation": "enable", "vpnEcmpSupport": "enable", "autoAcceptSharedAttachments": "disable", "defaultRouteTableAssociation": "enable", "dnsSupport": "enable", "associationDefaultRouteTableId": "tgw-rtb-0123cd602be10b00a" }, "state": "pending", "ownerId": 123456789012 } } }, "requestID": "a07c1edf-c201-4e44-bffb-3ce90EXAMPLE", "eventID": "e8fa575f-4964-4ab9-8ca4-6b5b4EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}

99

Amazon VPC AWSTransit GatewayContoh kebijakan untuk mengelola gateway transit

Kontrol autentikasi dan akses untukgateway transit Anda

AWS menggunakan kredensial keamanan untuk mengidentifikasi dan memberi Anda akses menuju AWSsumber daya Anda. Anda dapat menggunakan fitur AWS Identity and Access Management (IAM) untukmemungkinkan pengguna, layanan, dan aplikasi lain untuk menggunakan sumber daya AWS sepenuhnyaatau dengan cara yang terbatas, tanpa berbagi kredensial keamanan Anda.

Secara default, pengguna IAM tidak memiliki izin untuk membuat, melihat, atau memodifikasi sumberdaya AWS. Untuk mengizinkan pengguna IAM mengakses sumber daya, seperti transit gateway, danmelakukan tugas, Anda harus menciptakan kebijakan IAM yang memberikan izin kepada pengguna IAMuntuk menggunakan sumber daya dan tindakan API tertentu yang akan mereka perlukan, lalu melampirkankebijakan ke pengguna IAM atau grup tempat pengguna IAM berada. Saat Anda melampirkan sebuahkebijakan ke pengguna atau grup pengguna, kebijakan itu mengizinkan atau menolak izin pengguna untukmelakukan tugas yang ditentukan pada sumber daya yang ditentukan.

Untuk bekerja dengan gateway transit, salah satu dari berikutAWSkebijakan terkelola mungkin memenuhikebutuhan Anda:

• PowerUserAccess• ReadOnlyAccess• AmazonEC2FullAccess• AmazonEC2ReadOnlyAccess

Untuk informasi selengkapnya, lihatKebijakan IAM untuk Amazon EC2diPanduan Pengguna Amazon EC2.

Contoh kebijakan untuk mengelola gateway transitBerikut ini adalah contoh kebijakan IAM untuk bekerja dengan gateway transit.

Buat transit gateway dengan tag yang diperlukan

Contoh berikut memungkinkan pengguna untuk membuat transit gateway.Parameteraws:RequestTagkondisi kunci mengharuskan pengguna untuk menandai gateway transitdengan tagstack=prod. Parameteraws:TagKeyskunci kondisi menggunakanForAllValuespengubahuntuk menunjukkan bahwa hanya kuncistackdiperbolehkan dalam permintaan (tidak ada tag lain yangdapat ditentukan). Jika pengguna tidak meneruskan tag tertentu ini ketika mereka membuat gatewaytransit, atau jika mereka tidak menentukan tag sama sekali, permintaan akan gagal.

Pernyataan kedua menggunakan kunci syarat ec2:CreateAction untuk memungkinkan para penggunamembuat tanda hanya dalam konteks CreateTransitGateway.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateTaggedTGWs", "Effect": "Allow", "Action": "ec2:CreateTransitGateway", "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*",

100

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html

Amazon VPC AWSTransit GatewayContoh kebijakan untuk mengelola gateway transit

"Condition": { "StringEquals": { "aws:RequestTag/stack": "prod" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "stack" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:region:account-id:transit-gateway/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateTransitGateway" } } } ]}

Bekerja dengan tabel rute transit gateway

Contoh berikut memungkinkan pengguna untuk membuat dan menghapus tabel rute transit gateway untuktransit gateway tertentu saja (tgw-11223344556677889). Pengguna juga dapat membuat dan menggantirute di setiap tabel rute gateway transit, tetapi hanya untuk lampiran yang memiliki tagnetwork=new-york-office.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGatewayRouteTable", "ec2:CreateTransitGatewayRouteTable" ], "Resource": [ "arn:aws:ec2:region:account-id:transit-gateway/tgw-11223344556677889", "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute", "ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*", "Condition": { "StringEquals": { "ec2:ResourceTag/network": "new-york-office" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayRoute",

101

Amazon VPC AWSTransit GatewayContoh kebijakan untuk mengelolaAWSManajer Jaringan

"ec2:ReplaceTransitGatewayRoute" ], "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*" } ]}

Contoh kebijakan untuk mengelolaAWSManajerJaringan

Misalnya kebijakan, lihatContoh kebijakan untuk mengelola Network Manager.

Menggunakan peran tertaut layanan untuk transitgateway

Amazon VPC menggunakan peran tertaut layanan untuk izin yang diperlukan untuk memanggillainnyaAWSlayanan atas nama Anda. Untuk informasi lebih lanjut, lihat Menggunakan peran terkaitlayanan dalam Panduan Pengguna IAM.

Peran terkait layanan transit gatewayAmazon VPC menggunakan peran tertaut layanan untuk izin yang diperlukan untuk memanggillainnyaAWSlayanan atas nama Anda ketika Anda bekerja dengan gateway transit.

Izin yang diberikan oleh peran tertaut layananAmazon VPC menggunakan peran terkait layanan yangbernamaAWSServicerOleforVPCTransitGatewayuntuk memanggil tindakan berikut atas nama Anda ketikaAnda bekerja dengan transit gateway:

• ec2:CreateNetworkInterface

• ec2:DescribeNetworkInterface

• ec2:ModifyNetworkInterfaceAttribute

• ec2:DeleteNetworkInterface

• ec2:CreateNetworkInterfacePermission

• ec2:AssignIpv6Addresses

• ec2:UnAssignIpv6Addresses

AWSServicerOleforVPCTransitGatewaymempercayaitransitgateway.amazonaws.comlayanan untukmengasumsikan peran.

Membuat peran tertaut layananAnda tidak perlu membuatAWSServicerOleforVPCTransitGatewayperan. Amazon VPC menciptakan peranini untuk Anda ketika Anda melampirkan VPC di akun Anda ke gateway transit.

Agar Amazon VPC menciptakan peran tertaut layanan atas nama Anda, Anda harus memiliki izin yangdiperlukan. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan dalam Panduan Pengguna IAM.

102

https://docs.aws.amazon.com/vpc/latest/tgwnm/nm-security-iam.html#nm-example-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

Amazon VPC AWSTransit GatewayKebijakan yang dikelola AWS

Mengedit peran tertaut layananAnda dapat mengedit deskripsiAWSServicerOleforVPCTransitGatewaymenggunakan IAM. Untuk informasilebih lanjut, lihat Mengedit peran terkait layanan dalam Panduan Pengguna IAM.

Hapus peran tertaut layananJika Anda tidak perlu lagi menggunakan gateway transit, kami sarankan AndamenghapusAWSServicerOleforVPCTransitGateway.

Anda dapat menghapus peran tertaut layanan ini hanya setelah menghapus semua lampiran VPC transitgateway diAWSakun. Hal ini untuk memastikan bahwa Anda tidak dapat secara tidak sengaja menghapusizin untuk mengakses lampiran VPC Anda.

Anda dapat menggunakan konsol IAM, IAM CLI, atau IAM API untuk menghapus peran tertaut layanan.Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan dalam Panduan Pengguna IAM.

Setelah Anda menghapusAWSServicerOleforVPCTransitGateway, Amazon VPC membuat peran lagi jikaAnda melampirkan VPC di akun Anda ke gateway transit.

AWSkebijakan terkelola untuk gateway transitdanAWSManajer Jaringan

Untuk menambahkan izin ke para pengguna, grup, dan peran, akan lebih mudah dengan menggunakankebijakan terkelola AWS dibandingkan dengan menulis kebijakan sendiri. Dibutuhkan waktu dan keahlianuntuk membuat kebijakan terkelola pelanggan IAM yang hanya menyediakan izin sesuai kebutuhan timAnda. Untuk mulai dengan cepat, Anda dapat menggunakan kebijakan-kebijakan terkelola AWS kami.Kebijakan-kebijakan ini mencakup kasus penggunaan umum dan tersedia di akun AWS Anda. Untukinformasi lebih lanjut tentang kebijakan-kebijakan terkelola AWS, silakan lihat kebijakan terkelola AWS diPanduan Pengguna IAM.

Layanan AWS mempertahankan dan memperbarui kebijakan-kebijakan terkelola AWS. Anda tidakdapat mengubah izin yang ada dalam kebijakan-kebijakan yang dikelola AWS. Layanan terkadangmenambahkan izin-izin tambahan ke sebuah kebijakan yang dikelola AWS untuk mendukung fitur-fiturbaru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di manakebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelolaAWS saat ada sebuah fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidakmenghapus izin yang ada dalam sebuah kebijakan yang dikelola AWS, sehingga pembaruan-pembaruanyang terjadi pada kebijakan tidak akan membuat izin-izin yang ada rusak.

Selain itu, AWS mendukung kebijakan-kebijakan terkelola untuk fungsi tugas yang mencakup beberapalayanan. Sebagai contoh, kebijakan terkelola AWS ReadOnlyAccess menyediakan akses hanya-bacake semua layanan dan sumber daya AWS. Saat sebuah layanan meluncurkan sebuah fitur baru, AWSmenambahkan izin hanya-baca untuk operasi dan sumber daya yang baru. Untuk melihat daftar dandeskripsi dari kebijakan-kebijakan fungsi tugas, silakan lihat kebijakan terkelola AWS untuk fungsi tugas diPanduan Pengguna IAM.

Informasi tentangAWSkebijakan terkelola untuk Network Manager dapat ditemukan diAWSkebijakanterkelola untuk Network ManagerdiPanduan Pengguna Network Manager.

Cara kerja ACL Jaringan dengan gateway transitDaftar kontrol akses jaringan (NACL) adalah lapisan keamanan opsional.

103

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

https://docs.aws.amazon.com/vpc/latest/tgwnm/security-iam-awsmanpol.html

https://docs.aws.amazon.com/vpc/latest/tgwnm/security-iam-awsmanpol.html

Amazon VPC AWSTransit GatewaySubnet yang sama untuk instansEC2 dan asosiasi gateway transit

Aturan daftar kontrol akses jaringan (NACL) diterapkan secara berbeda, tergantung pada skenario:

• the section called “Subnet yang sama untuk instans EC2 dan asosiasi gateway transit” (p. 104)• the section called “Subnet yang berbeda untuk instans EC2 dan asosiasi gateway transit” (p. 104)

Subnet yang sama untuk instans EC2 dan asosiasigateway transitPertimbangkan konfigurasi di mana Anda memiliki instans EC2 dan asosiasi gateway transit di subnet yangsama. ACL jaringan yang sama digunakan untuk kedua lalu lintas dari instans EC2 ke gateway transit danlalu lintas dari gateway transit ke instans.

Aturan NACL diterapkan sebagai berikut untuk lalu lintas dari instance ke gateway transit:

• Aturan keluar menggunakan alamat IP tujuan untuk evaluasi.• Aturan masuk menggunakan alamat IP sumber untuk evaluasi.

Aturan NACL diterapkan sebagai berikut untuk lalu lintas dari gateway transit ke instance:

• Aturan keluar tidak dievaluasi.• Aturan masuk tidak dievaluasi.

Subnet yang berbeda untuk instans EC2 dan asosiasigateway transitPertimbangkan konfigurasi di mana Anda memiliki instans EC2 dalam satu subnet dan asosiasi gatewaytransit di subnet yang berbeda, dan setiap subnet dikaitkan dengan ACL jaringan yang berbeda.

Aturan ACL jaringan diterapkan sebagai berikut untuk subnet instans EC2:

• Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari instance ke gatewaytransit.

• Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari gateway transit keinstance.

Aturan NACL diterapkan sebagai berikut untuk subnet transit gateway:

• Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari gateway transit keinstance.

• Aturan keluar tidak digunakan untuk mengevaluasi lalu lintas dari instance ke gateway transit.• Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari instance ke gateway

transit.• Aturan masuk tidak digunakan untuk mengevaluasi lalu lintas dari gateway transit ke instance.

Praktik TerbaikGunakan subnet terpisah untuk setiap lampiran VPC gateway transit. Untuk setiap subnet, gunakan CIDRkecil, misalnya /28, sehingga Anda memiliki lebih banyak alamat untuk sumber daya EC2. Saat Andamenggunakan subnet terpisah, Anda dapat mengonfigurasi berikut:

104

Amazon VPC AWSTransit GatewayPraktik Terbaik

• Jauhkan NACL inbound dan outbound yang terkait dengan subnet transit gateway terbuka.• Bergantung pada arus lalu lintas, Anda dapat menerapkan NACL ke subnet beban kerja Anda.

Untuk informasi selengkapnya tentang cara kerja lampiran VPC, lihatthe section called “Lampiran sumberdaya” (p. 4).

105

Amazon VPC AWSTransit GatewayUmum

Kuota untuk transit gatewayKlasterAWSakun memiliki kuota berikut (sebelumnya disebut sebagaimembatasi) terkait dengan gatewaytransit.

Konsol Service Quotas menyediakan informasi tentang kuota Network Manager. Anda dapat menggunakankonsol Service Quotas untuk melihat kuota default dankuota permintaanuntuk kuota yang dapatdisesuaikan. Untuk informasi lebih lanjut, lihat Meminta peningkatan kuota di Panduan Pengguna ServiceQuotas.

Jika kuota yang dapat disesuaikan belum tersedia dalam Service Quotas, Anda dapat membuka kasusdukungan.

UmumNote

AWSTransit Gateway tidak mendukung referensi Grup Keamanan saat bermigrasi dari VPCpeering untuk menggunakan gateway transit.

Nama Default Dapat Disesuaikan

Transit gateway per akun 5 Ya

Blok CIDR per transit gateway 5 Tidak

Blok CIDR digunakan dalamthe section called “Transit gateway Connect lampiran dan rekan TransitGateway Connect” (p. 42)fitur.

PeruteanNama Default Dapat Disesuaikan

Tabel rute transit gateway 20 Ya

Rute statis per transit gateway 10.000 Ya

Rute dinamis yang diiklankan dari alat router virtualke rekan Transit Gateway Connect

1.000 Tidak

Rute yang diiklankan dari rekan Transit GatewayConnect di gateway transit ke alat router virtual

5.000 Tidak

Rute statis untuk awalan ke satu lampiran 1 Tidak

Rute yang diiklankan berasal dari tabel rute yang terkait dengan lampiran Connect.

106

https://console.aws.amazon.com/servicequotas/home?

https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-A2478D36

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-43872EB7

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-BCC1FB47

Amazon VPC AWSTransit GatewayLampiran gateway transit

Lampiran gateway transitGateway transit tidak dapat memiliki lebih dari satu lampiran VPC ke VPC yang sama.


Lampiran per transit gateway 5.000 Tidak

Lampiran gateway transit unik per VPC 5 Tidak

Lampiran peering per transit gateway 50 Ya

Lampiran peering yang tertunda per transitgateway

10 Ya

Mengintip lampiran antara dua gateway transit 1 Tidak

Transit Gateway Connect rekan-rekan (terowonganGRE) per gateway transit Connect lampiran

4 Tidak

BandwidthAda banyak faktor yang dapat memengaruhi bandwidth yang direalisasikan melalui koneksi Site-to-Site VPN, termasuk namun tidak terbatas pada: ukuran paket, bauran lalu lintas (TCP/UDP), kebijakanpembentukan atau pelambatan pada jaringan perantara, cuaca internet, dan persyaratan aplikasi tertentu.


Bandwidth maksimum per lampiran VPC,AWSDirect Connectgateway, atau koneksi gatewaytransit peered

Hingga 50 Gbps Tidak

Paket maksimum per detik per lampiran gatewaytransit (VPC, VPN, Direct Connect, dan lampiranpeering)

Hingga 5.000.000 Tidak

Bandwidth maksimum per terowongan VPN Hingga 1,25 Gbps Tidak

Paket maksimum per detik per terowongan VPN Hingga 140.000 Tidak

Bandwidth maksimum per rekan Transit GatewayConnect (terowongan GRE) per lampiran Connect

Hingga 5 Gbps Tidak

Paket maksimum per detik per rekan Connect Hingga 300.000 Tidak

Anda dapat menggunakan perutean multipath (ECMP) untuk mendapatkan bandwidth VPN yang lebihtinggi dengan menggabungkan beberapa terowongan VPN. Untuk menggunakan ECMP, koneksi VPNharus dikonfigurasi untuk perutean dinamis. ECMP tidak didukung pada koneksi VPN yang menggunakanperutean statis.

Anda dapat membuat hingga 4 rekan Transit Gateway Connect per lampiran Connect (bandwidth totalhingga 20 Gbps per lampiran Connect), selama transportasi yang mendasarinya (VPC atauAWS DirectConnect) lampiran mendukung bandwidth yang diperlukan. Anda dapat menggunakan ECMP untukmendapatkan bandwidth yang lebih tinggi dengan melakukan penskalaan secara horizontal di beberapa

107

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-A1B5A36F

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-62499967

Amazon VPC AWSTransit GatewayAWS Direct Connectliburan

rekan Transit Gateway Connect dari lampiran Connect yang sama atau di beberapa lampiran Connectpada gateway transit yang sama. Gateway transit tidak dapat menggunakan ECMP antara peering BGPdari rekan Transit Gateway Connect yang sama.

AWS Direct ConnectliburanNama Default Dapat Disesuaikan

AWS Direct Connectgateway 20 Tidak

Transit gateway per gateway AWS Direct Connect 3 Tidak

MTU• Maximum transmission unit (MTU) dari koneksi jaringan adalah ukuran, dalam byte, dari paket terbesar

yang dapat diizinkan yang dapat dilewatkan melalui koneksi. Semakin besar MTU suatu koneksi,semakin banyak data yang dapat dilewatkan dalam satu paket tunggal. Gateway transit mendukung MTU8500 byte untuk lalu lintas antara VPC, gateway Direct Connect, dan lampiran peering. Lalu lintas melaluikoneksi VPN dapat memiliki MTU 1500 byte.

• Ketika bermigrasi dari VPC peering untuk menggunakan gateway transit, ketidakcocokan ukuran MTUantara peering VPC dan gateway transit dapat mengakibatkan beberapa paket lalu lintas asimetrismenurun. Perbarui kedua VPC secara bersamaan untuk menghindari paket jumbo jatuh karenaketidakcocokan ukuran.

• Paket dengan ukuran lebih besar dari 8500 byte yang tiba di transit gateway akan dijatuhkan.• Gateway transit tidak menghasilkan FRAG_NEEDED untuk paket ICMPv4, atau Packet Too Big (PTB)

untuk paket ICMPv6. Oleh karena itu, Path MTU Discovery (PMTUD) tidak didukung.• Gateway transit gateway memberlakukan penyepitan Maximum Segment Size (MSS) untuk semua

paket. Untuk informasi lebih lanjut, lihat RFC879.

MulticastNama Default Dapat Disesuaikan

Domain multicast per transit gateway 20 Ya

Antarmuka multicast per transit gateway 1.000 Ya

Anggota per grup multicast transit gateway 100 Ya

Asosiasi domain multicast per VPC 20 Ya

Sumber per grup multicast transit gateway 1 Ya

Anggota grup multicast statis dan IGMPv2 dansumber per gateway transit

10.000 Tidak

Anggota grup multicast statis dan IGMPv2 per grupmulticast gateway transit

100 Tidak

Throughput multicast maksimum per aliran 1 Gbps Tidak

108

https://tools.ietf.org/html/rfc879

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-31775423

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-C673935A

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-C768F2D6

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-9F8FA74B

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-4F2F99E3

Amazon VPC AWSTransit GatewayNetwork Manager


Throughput multicast agregat maksimum perAvailability Zone

20 Gbps Tidak

AWSManajer JaringanNama Default Dapat Disesuaikan

Jaringan global perAWSakun 5 Ya

Perangkat per jaringan global 200 Ya

Tautan per jaringan global 200 Ya

Situs per jaringan global 200 Ya

Koneksi per jaringan global 500 Tidak

Sumber daya kuota tambahanUntuk informasi selengkapnya, lihat yang berikut:

• Kuota Site-to-Site VPN dalam Panduan Pengguna AWS Site-to-Site VPN• Kuota Amazon VPCdi dalamPanduan Pengguna Amazon VPC• Kuota AWS Direct Connect dalam Panduan Pengguna AWS Direct Connect

109

https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html

https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html


Riwayat dokumen untuk gatewaytransit

Tabel berikut menguraikan rilis untuk Transit Gateway.

update-history-change update-history-description update-history-date

AWSLog Aliran Transit Gateway Transit Gateways sekarangmendukung Transit GatewayFlow Logs, memungkinkanAnda untuk memantau danmencatat lalu lintas jaringanantara gateway transit.

14 Juli 2022

Tabel kebijakan Transit Gateway Gunakan tabel kebijakan untukmengatur perutean dinamis untukgateway transit agar secaraotomatis bertukar informasiperutean dan jangkauan dengantipe gateway transit peered.

13 Juli 2022

Panduan Pengguna NetworkManager

Network Manager diciptakansebagai panduan mandiri, dantidak lagi disertakan sebagaibagian dariAWSPanduanPengguna Transit Gateway.

2 Desember 2021

Lampiran Peering Gateway Anda dapat membuat koneksipeering dengan Transit Gatewayyang sama Wilayah yang sama.

1 Desember 2021

Transit Gateway Connect Anda dapat membuat koneksiantara gateway transit danperalatan virtual pihak ketigayang berjalan di VPC.

10 Desember 2020

Mode perangkat Anda dapat mengaktifkan modealat pada lampiran VPC untukmemastikan bahwa lalu lintas duaarah mengalir melalui AvailabilityZone yang sama untuk lampiran.

29 Oktober 2020

Daftar referensi daftar prefiks Anda dapat menyebutkan daftarprefiks dalam tabel rute transitGateway.

24 Agustus 2020

Ubah Transit Gateway Anda dapat memodifikasi opsikonfigurasi untuk gateway transitAnda.

24 Agustus 2020

CloudWatch metrik untuklampiran gateway transit

Anda dapat melihat CloudWatchmetrik untuk lampiran gatewaytransit individual.

6 Juli 2020

110

https://docs.aws.amazon.com/vpc/latest/tgw/logging-tgws.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-policy-tables.html

https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html

https://docs.aws.amazon.com/vpc/latest/tgwnm/what-is-network-manager.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-appliance-scenario.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-prefix-lists.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudwatch-metrics.html#transit-gateway-attachment-metrics

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudwatch-metrics.html#transit-gateway-attachment-metrics


Rute Analyzer Jaringan Manager Anda dapat menganalisis rute ditabel rute gateway transit Anda dijaringan global Anda.

4 Mei 2020

Lampiran Peering Gateway Anda dapat membuat koneksipeering dengan gateway transit diWilayah lain.

3 Desember 2019

Dukungan Multicast Transit Gateway mendukungperutean lalu lintas multicastantara subnet VPC terlampir danberfungsi sebagai router multicastuntuk instance mengirim lalulintas yang ditujukan untukbeberapa instance penerima.

3 Desember 2019

AWSManajer Jaringan Anda dapat memvisualisasikandan memantau jaringan globalAnda yang dibangun di sekitargateway transit.

3 Desember 2019

AWS Direct Connectdukungan Anda dapat menggunakanAWSDirect Connectgateway untukmenghubungkanAWS DirectConnectkoneksi melaluiantarmuka virtual transit ke VPCatau VPN yang terlampir padaTransit Gateway.

27 Maret 2019

Rilis awal (p. 110) Rilis ini memperkenalkan TransitGateway.

26 November 2018

111

https://docs.aws.amazon.com/vpc/latest/tgw/route-analyzer.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-multicast-overview.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html


Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangandengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

cxii

Amazon VPC - AWSTransit Gateway

Documents