Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan penerusan protokol

Penerusan protokol menggunakan aturan penerusan regional untuk mengirimkan paket protokol tertentu ke satu instance virtual machine (VM). Aturan penerusan dapat memiliki alamat IP internal atau eksternal. Penerusan protokol mengirimkan paket sekaligus mempertahankan alamat IP tujuan aturan penerusan. Aturan pengalihan mereferensikan objek yang disebut instance target, yang pada gilirannya mereferensikan satu instance VM.

Anda dapat menggunakan penerusan protokol untuk melakukan hal berikut:

Berikan alamat IP yang dapat dipindahkan dari satu instance ke instance lainnya dengan mengubah VM yang dirujuk oleh objek instance target atau dengan mengubah instance target yang dirujuk oleh aturan penerusan.
Teruskan paket ke VM yang berbeda berdasarkan protokol dan port. Dua aturan penerusan dapat memiliki alamat IP yang sama selama informasi port dan protokolnya unik.
(Khusus penerusan protokol eksternal) Tentukan alamat IP eksternal tambahan untuk antarmuka jaringan tertentu. Tidak seperti antarmuka jaringan dengan konfigurasi NAT 1:1 untuk alamat IPv4 eksternalnya, penerusan protokol mempertahankan alamat IP tujuan aturan penerusan.
Kirim paket yang alamat IP sumbernya cocok dengan alamat IP aturan penerusan.

Penerusan protokol berbeda dengan load balancer pass-through dengan cara berikut:

Tidak ada load balancing. Instance target hanya mendistribusikan paket ke satu VM.
Tidak ada health check. Tidak seperti layanan backend, instance target tidak mendukung health check. Anda harus menggunakan cara lain untuk memastikan bahwa software yang diperlukan berjalan dan beroperasi di VM yang dirujuk oleh instance target.

Arsitektur

Penerusan protokol menggunakan aturan penerusan eksternal regional atau internal regional dan objek instance target zonal. Instance target dan VM yang dirujuknya harus berada di zona dalam region aturan penerusan.

Penerusan protokol eksternal. Anda dapat menyiapkan beberapa aturan penerusan untuk menunjuk ke satu instance target, yang memungkinkan Anda menggunakan beberapa alamat IP eksternal dengan satu instance VM. Anda dapat menggunakannya dalam skenario saat Anda mungkin ingin menayangkan data hanya dari satu instance VM, tetapi melalui alamat IP eksternal yang berbeda atau protokol dan port yang berbeda. Hal ini sangat berguna untuk menyiapkan hosting virtual SSL. Penerusan protokol eksternal dapat menangani koneksi dari klien IPv6.

Penerusan protokol eksternal mendukung protokol berikut: AH, ESP, GRE, ICMP, ICMPv6, SCTP, TCP, dan UDP

Diagram berikut menunjukkan contoh arsitektur penerusan protokol eksternal. Untuk mempelajari cara menyiapkannya, lihat Menyiapkan penerusan protokol eksternal.

Arsitektur penerusan protokol eksternal
Penerusan protokol internal. Penerusan protokol internal menggunakan alamat IPv4 internal regional (dari rentang alamat IPv4 utama subnet) atau alamat IPv6 internal regional (dari rentang alamat IPv6 subnet).

Penerusan protokol internal mendukung protokol TCP dan UDP.

Diagram berikut menunjukkan contoh arsitektur penerusan protokol internal. Untuk mempelajari cara menyiapkannya, lihat Menyiapkan penerusan protokol internal.

Arsitektur penerusan protokol internal

Dengan penerusan protokol internal, Anda dapat mengubah target aturan penerusan untuk beralih antara instance target dan layanan backend load balancer pass-through. Untuk mengetahui detailnya, lihat Beralih antara instance target dan layanan backend.

Aturan penerusan

Setiap aturan penerusan cocok dengan alamat IP, protokol, dan secara opsional, informasi port (jika ditentukan dan jika protokol mendukung port). Saat aturan penerusan mereferensikan instance target, Google Cloud akan merutekan paket yang cocok dengan spesifikasi alamat, protokol, dan port aturan penerusan ke VM yang dirujuk oleh instance target.

Penerusan protokol internal:
- Dukungan alamat IPv4: Alamat IPv4 internal regional (statis yang dicadangkan atau sementara) dari rentang IPv4 utama subnet.
- Dukungan alamat IPv6: Aturan penerusan mereferensikan rentang alamat IP /96 dari rentang alamat IPv6 internal /64 subnet. Subnet harus berupa subnet stack ganda dengan ipv6-access-type ditetapkan ke INTERNAL. Alamat IPv6 internal hanya tersedia di Paket Premium. Pencadangan alamat IPv6 internal regional hanya didukung untuk instance, sehingga Anda harus menggunakan alamat IPv6 sementara untuk aturan penerusan.
- Opsi protokol: TCP(default) dan UDP.
- Opsi spesifikasi port: daftar hingga lima port yang berdekatan atau tidak berdekatan atau semua port.
Penerusan protokol eksternal:
- Dukungan alamat IPv4: Aturan penerusan mereferensikan satu alamat IPv4 eksternal regional. Alamat IPv4 eksternal regional berasal dari kumpulan yang unik untuk setiap region Google Cloud. Alamat IP dapat berupa alamat statis yang dicadangkan atau alamat sementara.
- Dukungan alamat IPv6: Aturan penerusan mereferensikan rentang alamat IP /96 dari rentang alamat IPv6 eksternal /64 subnet. Subnet harus berupa subnet stack ganda dengan ipv6-access-type ditetapkan ke EXTERNAL. Alamat IPv6 eksternal hanya tersedia di Paket Premium. Rentang alamat IPv6 dapat berupa alamat statis yang direservasi atau alamat sementara.
- Opsi protokol: AH, ESP, ICMP, SCTP, TCP (default), UDP, dan L3_DEFAULT :
  - Setelan protokol aturan penerusan L3_DEFAULT dapat digunakan untuk menayangkan semua traffic protokol IP.
  - Aturan penerusan IPv6 tidak mendukung setelan protokol ICMP karena protokol ICMP hanya mendukung alamat IPv4. Untuk menayangkan traffic ICMPv6 dan GRE, tetapkan protokol aturan penerusan ke L3_DEFAULT.
- Opsi spesifikasi port: rentang port yang berurutan atau semua port.

Perhatikan hal-hal berikut saat menggunakan aturan penerusan:

Untuk penerusan protokol, aturan penerusan hanya dapat mereferensikan satu instance target.
Untuk Load Balancer Jaringan passthrough internal dan Load Balancer Jaringan passthrough eksternal berbasis layanan backend, aturan penerusan hanya dapat mereferensikan satu layanan backend.
Anda dapat beralih antara penerusan protokol internal dan Load Balancer Jaringan passthrough internal tanpa menghapus dan membuat ulang aturan penerusan. Untuk beralih antara penerusan protokol eksternal dan Load Balancer Jaringan passthrough eksternal berbasis layanan backend, Anda harus menghapus dan membuat ulang aturan penerusan. Untuk mengetahui detailnya, lihat Beralih antara instance target dan layanan backend.
Informasi port hanya dapat ditentukan untuk protokol yang memiliki konsep port: TCP, UDP, atau SCTP.
Opsi protokol L3_DEFAULT meneruskan semua protokol AH, ESP, GRE, ICMP, ICMPv6, SCTP, TCP, dan UDP. Untuk protokol TCP, UDP, dan SCTP, L3_DEFAULT meneruskan semua port.
Jika Anda mengharapkan paket UDP yang terfragmentasi, lakukan salah satu tindakan berikut untuk memastikan bahwa semua fragmen (termasuk yang tidak memiliki informasi port) dikirim ke instance:
- Menggunakan satu aturan penerusan L3_DEFAULT, atau
- Gunakan satu aturan penerusan UDP yang dikonfigurasi untuk meneruskan semua port.

Instance Target

Instance target adalah resource zona yang mereferensikan satu instance VM di zona yang sama. Aturan penerusan yang mereferensikan instance target harus berada di region yang berisi zona instance target. Karena instance target tidak memiliki kebijakan Cloud NAT yang diterapkan, instance tersebut dapat digunakan untuk traffic IPsec yang tidak dapat melewati NAT.

Dukungan multi-NIC

Instance target mendukung penentuan antarmuka jaringan (NIC) instance VM yang dirujuknya. Gunakan flag --network untuk menentukan nama jaringan VPC tempat VM yang dirujuk memiliki NIC:

Jika Anda menghapus flag --network, instance target akan mengirimkan paket ke antarmuka nic0 VM yang dirujuknya.
Jika Anda menggunakan flag --network, VM yang dirujuk instance target harus memiliki NIC di jaringan VPC tersebut.
Untuk penerusan protokol internal, subnet yang digunakan oleh aturan penerusan harus berada di jaringan VPC yang digunakan oleh antarmuka jaringan instance target.

Dukungan IPv6

Jika Anda ingin deployment penerusan protokol eksternal mendukung traffic IPv6, instance VM harus dikonfigurasi di subnet dual-stack yang berada di region yang sama dengan aturan penerusan IPv6. Anda dapat menggunakan subnet dengan ipv6-access-type yang ditetapkan ke EXTERNAL atau INTERNAL untuk instance VM. Menggunakan subnet dengan ipv6-access-type ditetapkan ke INTERNAL mengharuskan Anda menggunakan subnet dual-stack terpisah dengan ipv6-access-type ditetapkan ke EXTERNAL untuk aturan penerusan eksternal. Untuk mengetahui petunjuknya, lihat Menambahkan subnet stack ganda.

Selain itu, instance VM itu sendiri harus berupa instance dual-stack. Tetapkan stack-type VM ke IPv4_IPv6. VM mewarisi setelan ipv6-access-type (EXTERNAL atau INTERNAL) dari subnet. Untuk mengetahui petunjuknya, lihat Membuat VM dan mengaktifkan IPv6. Jika Anda ingin menggunakan VM yang ada, perbarui VM menjadi dual-stack menggunakan perintah gcloud compute instances network-interfaces update.

Alamat IP untuk paket permintaan dan pengembalian

Saat instance target menerima paket dari klien, alamat IP sumber dan tujuan paket permintaan akan seperti yang ditunjukkan dalam tabel ini.

**Tabel 1.** Alamat IP sumber dan tujuan untuk paket permintaan
Jenis penerusan protokol	Alamat IP Sumber	Alamat IP tujuan
Penerusan protokol eksternal	Alamat IP eksternal yang terkait dengan VM Google Cloud atau alamat IP eksternal klien di internet.	Alamat IP aturan penerusan.
Penerusan protokol internal	Alamat IP internal klien; untuk klien Google Cloud, alamat IPv4 internal utama atau alamat IPv6 atau alamat IPv4 dari rentang IP alias antarmuka jaringan VM.	Alamat IP aturan penerusan.

Software yang berjalan di VM instance target harus dikonfigurasi untuk melakukan hal berikut:

Mendengarkan (mengikat ke) alamat IP aturan penerusan atau alamat IP apa pun (0.0.0.0 atau ::).
Jika protokol aturan penerusan mendukung port, dengarkan (ikat ke) port yang disertakan dalam aturan penerusan.

Paket return dikirim langsung dari instance target ke klien. Alamat IP sumber dan tujuan paket respons bergantung pada protokol:

TCP berorientasi koneksi. Instance target harus membalas dengan paket yang memiliki alamat IP sumber yang cocok dengan alamat IP aturan penerusan. Hal ini memastikan bahwa klien dapat mengaitkan paket respons dengan koneksi TCP yang sesuai.
AH, ESP, GRE, ICMP, ICMPv6, dan UDP bersifat connectionless. Instance target dapat mengirim paket respons yang memiliki alamat IP sumber yang cocok dengan alamat IP aturan penerusan, atau cocok dengan alamat IP apa pun yang ditetapkan ke NIC VM di jaringan VPC yang sama dengan aturan penerusan. Secara praktis, sebagian besar klien mengharapkan respons berasal dari alamat IP yang sama dengan alamat IP tempat mereka mengirim paket.

Tabel berikut merangkum sumber dan tujuan untuk paket yang ditampilkan:

**Tabel 2.** Alamat IP sumber dan tujuan untuk paket yang ditampilkan
Jenis traffic	Alamat IP Sumber	Alamat IP tujuan
TCP	Alamat IP aturan penerusan.	Alamat IP sumber paket permintaan.
AH, ESP, GRE, ICMP, ICMPv6, dan UDP^*	Untuk sebagian besar kasus penggunaan, alamat IP aturan penerusan.^†	Alamat IP sumber paket permintaan.

^* AH, ESP, GRE, ICMP, dan ICMPv6 hanya didukung dengan penerusan protokol eksternal.

^† Dengan penerusan protokol internal, Anda dapat menetapkan sumber paket respons ke alamat IPv4 internal utama atau alamat IPv6 NIC VM atau rentang alamat IP alias. Jika VM mengaktifkan penerusan IP, sumber alamat IP arbitrer juga dapat digunakan. Tidak menggunakan alamat IP aturan penerusan sebagai sumber adalah skenario lanjutan karena klien menerima paket respons dari alamat IP internal yang tidak cocok dengan alamat IP tempat klien mengirim paket permintaan.

Konektivitas internet keluar dari instance target

Instance VM yang dirujuk oleh instance target dapat memulai koneksi ke internet menggunakan alamat IP aturan penerusan terkait sebagai alamat IP sumber koneksi keluar.

Umumnya, instance VM selalu menggunakan alamat IP eksternalnya sendiri atau Cloud NAT untuk memulai koneksi. Anda menggunakan alamat IP aturan penerusan untuk memulai koneksi dari instance target hanya dalam skenario khusus seperti saat Anda memerlukan instance VM untuk memulai dan menerima koneksi di alamat IP eksternal yang sama.

Paket keluar yang dikirim dari VM instance target langsung ke internet tidak memiliki batasan pada protokol dan port traffic. Meskipun paket keluar menggunakan alamat IP aturan penerusan sebagai sumber, protokol dan port sumber paket tidak harus cocok dengan spesifikasi port dan protokol aturan penerusan. Namun, paket respons masuk harus cocok dengan alamat IP, protokol, dan port tujuan aturan penerusan. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Load Balancer Jaringan passthrough eksternal dan penerusan protokol eksternal.

Jalur ke konektivitas internet dari VM instance target adalah perilaku yang diinginkan secara default sesuai dengan aturan firewall implisit Google Cloud. Namun, jika Anda memiliki masalah keamanan terkait membiarkan jalur ini terbuka, Anda dapat menggunakan aturan firewall keluar yang ditargetkan untuk memblokir traffic keluar yang tidak diminta ke internet.

Batasan

Aturan penerusan tidak dapat mengarah ke lebih dari satu instance target.
Health check tidak didukung dengan instance target. Anda harus memastikan bahwa software yang diperlukan berjalan dan beroperasi di VM yang dirujuk oleh instance target.
Penerusan protokol internal untuk traffic IPv6 memiliki batasan berikut:
- Protokol L3_DEFAULT tidak didukung. Gunakan TCP atau UDP.
- Multi-NIC tidak didukung.

Referensi API dan gcloud

Untuk aturan penerusan, lihat hal berikut:

Untuk instance target, lihat hal berikut:

Harga

Penerusan protokol dikenai biaya dengan tarif yang sama seperti load balancing. Ada biaya untuk aturan penerusan dan biaya untuk data masuk yang diproses oleh instance target.

Untuk semua informasi harga, lihat Harga.

Kuota dan batas

Untuk mengetahui kuota pada aturan penerusan untuk penerusan protokol, lihat Kuota dan batas: Aturan penerusan.

Langkah selanjutnya

Memecahkan masalah penerusan protokol