VPC, Networking
& Content Delivery
Bayangkan AWS seperti kota besar, VPC adalah komplek privat, Route 53 adalah buku alamat, CloudFront adalah cabang toko dekat pelanggan.
Kenapa Networking Penting?
Jembatan antara resource, user, kantor, dan internet
Aplikasi cloud tidak hidup sendirian, ia harus bisa dijangkau, diamankan, dan diarahkan dengan benar.
Analogi paling sederhana: sebuah toko online butuh alamat toko, jalan masuk, satpam, gudang belakang, kurir cepat, dan jalur khusus ke kantor pusat. Di AWS, peran itu tersebar ke beberapa layanan networking. VPC adalah area jaringan privat, subnet adalah blok kawasan, route table adalah papan arah, security group dan NACL adalah lapisan keamanan, Route 53 adalah DNS, CloudFront adalah CDN, sedangkan VPN dan Direct Connect adalah jalur dari kantor atau data center ke AWS.
Untuk CLF-C02, kamu tidak perlu menghafal desain routing sedalam Solutions Architect. Fokus utamanya adalah: tahu fungsi layanan, bisa memilih layanan yang tepat dari skenario, dan tidak tertukar antara DNS, CDN, private network, hybrid connection, dan network security. Inilah kenapa modul ini berkali-kali memakai pola “X vs Y”. Soal networking di CLF-C02 jarang menguji syntax, tetapi sangat sering menguji apakah kamu bisa membedakan dua layanan yang sekilas mirip, misalnya security group vs NACL, CloudFront vs Global Accelerator, atau gateway endpoint vs interface endpoint.
Kenapa networking jadi tulang punggung Domain 3? Karena hampir semua layanan AWS lain (EC2, RDS, Lambda di VPC, ECS) berdiri di atas jaringan. Salah pasang security group bisa membuat aplikasi tidak bisa diakses; salah taruh database di public subnet bisa membuka celah keamanan; salah pilih CloudFront padahal yang dibutuhkan static IP global bisa membuat solusi tidak jalan. Jadi memahami networking bukan sekadar menambah satu topik, tetapi memahami fondasi yang menopang topik lain.
VPC seperti komplek perumahan berpagar, subnet seperti blok rumah, route table seperti rambu jalan, security group seperti kunci pintu tiap rumah, NACL seperti gerbang blok, Route 53 seperti buku alamat, dan CloudFront seperti cabang toko yang lebih dekat ke pembeli.
Menurut Exam Guide CLF-C02, layanan networking dan content delivery masuk Domain 3 (Cloud Technology and Services, 34%), domain dengan bobot terbesar. Tetapi modul ini juga menyentuh Domain 2 (security group, NACL, private subnet, endpoint policy) dan Domain 4 (biaya NAT Gateway, data transfer, dan model harga CloudFront), sehingga satu topik bisa menjawab beberapa domain sekaligus.
Soal CLF-C02 biasanya menanyakan layanan mana yang cocok, bukan cara menulis route table kompleks atau menghitung CIDR secara detail. Latih dirimu mengubah kalimat soal menjadi satu kata kunci, lalu petakan kata kunci itu ke satu layanan.
Peta Besar Layanan Networking
Kelompokkan dulu supaya tidak terasa penuh
Networking AWS lebih mudah dipahami jika dibagi menjadi empat kelompok: fondasi jaringan, keamanan, edge, dan koneksi hybrid.
AWS memasukkan layanan networking dan content delivery seperti Amazon VPC, Amazon Route 53, Amazon CloudFront, AWS Direct Connect, AWS VPN, AWS Site-to-Site VPN, AWS Client VPN, AWS PrivateLink, AWS Transit Gateway, AWS Global Accelerator, dan Amazon API Gateway dalam cakupan CLF-C02. Artinya, pemula perlu mengenali tujuan layanan ini, bukan menguasai semua opsi lanjutan. Daftar resmi lengkap ada di CLF-C02 In-Scope Services.
Di exam guide, AWS VPN, AWS Site-to-Site VPN, dan AWS Client VPN ditulis sebagai tiga entri terpisah. Ingat ini: AWS VPN adalah nama payung, sedangkan Site-to-Site VPN (kantor atau data center ke AWS) dan Client VPN (user remote ke VPC) adalah dua produk di bawahnya. Jadi jangan bingung jika ketiganya muncul sebagai pilihan terpisah.
Fondasi jaringan
VPC, subnet, route table, internet gateway, NAT gateway, dan VPC endpoint membentuk jalan internal aplikasi.
Keamanan jaringan
Security group dan NACL mengatur traffic yang boleh masuk dan keluar dari resource atau subnet.
Edge dan delivery
Route 53, CloudFront, dan Global Accelerator membantu user global menemukan dan mengakses aplikasi dengan cepat.
Koneksi hybrid
Site-to-Site VPN, Client VPN, Direct Connect, dan Transit Gateway menghubungkan kantor, data center, user remote, dan banyak VPC.
| Kebutuhan | Layanan yang paling sering dipilih | Ingat sebagai |
|---|---|---|
| Jaringan privat untuk resource AWS | Amazon VPC | Komplek privat di cloud |
| Mengarahkan nama domain ke endpoint | Amazon Route 53 | Buku alamat DNS |
| Cache konten dekat user global | Amazon CloudFront | Gudang cabang di dekat pelanggan |
| Koneksi privat ke layanan AWS atau SaaS | VPC Endpoint, AWS PrivateLink | Pintu khusus tanpa internet publik |
| Koneksi kantor ke AWS lewat internet terenkripsi | AWS Site-to-Site VPN | Terowongan aman lewat jalan umum |
| Koneksi dedicated ke AWS | AWS Direct Connect | Jalur serat optik khusus |
| Menghubungkan banyak VPC dan jaringan on-premises | AWS Transit Gateway | Terminal transit pusat |
| Mempercepat aplikasi TCP atau UDP global | AWS Global Accelerator | Pintu masuk global dengan anycast IP |
| Mengelola API publik atau private | Amazon API Gateway | Front door untuk API |
Mulai dari pertanyaan kebutuhan utama, lalu ikuti cabangnya. Decision tree ini sengaja dibuat sesederhana pola soal: satu kebutuhan mengarah ke satu layanan dominan. Saat ragu di ujian, bayangkan kamu sedang menyusuri pohon ini.
VPC, Subnet, dan Route Table
Fondasi private network di AWS
VPC adalah jaringan virtual yang kamu definisikan sendiri di dalam AWS account.
Amazon VPC memungkinkan kamu menjalankan resource AWS di jaringan yang terisolasi secara logis. Kamu memilih rentang alamat IP, membagi jaringan menjadi subnet, mengatur rute, dan menempelkan kontrol keamanan. Untuk pemula, VPC bisa dianggap sebagai tanah kavling privat tempat kamu membangun rumah aplikasi.
Subnet adalah potongan rentang IP di dalam VPC. Satu subnet selalu hidup di satu Availability Zone saja, ia tidak bisa membentang ke dua AZ. Ini penting karena arsitektur yang tahan gangguan menyebar resource ke lebih dari satu Availability Zone, jadi kamu biasanya membuat satu subnet per AZ. Route table menentukan ke mana traffic dari subnet diarahkan. Inilah inti yang sering jadi jebakan: yang membuat subnet “public” atau “private” bukan namanya, tetapi isi route table-nya. Jika route table punya rute ke internet gateway, subnet tersebut menjadi public subnet. Jika tidak punya rute langsung ke internet gateway, subnet tersebut adalah private subnet.
Kenapa pembagian ini ada? Bayangkan kamu tidak ingin semua resource bisa dijangkau langsung dari internet. Dengan memisahkan subnet dan mengatur route table, kamu menentukan mana yang boleh “menghadap jalan raya” (public) dan mana yang harus “di ruang belakang” (private). Konsep ini menjadi pondasi keamanan jaringan di AWS.
VPC
Area jaringan privat milik account kamu di sebuah Region. Di sinilah banyak resource seperti EC2, RDS, dan load balancer ditempatkan.
Subnet
Bagian dari VPC untuk menaruh resource. Public subnet untuk komponen yang perlu menerima traffic internet, private subnet untuk komponen internal.
Route table
Daftar aturan arah traffic. Route table menjawab pertanyaan: tujuan IP ini harus lewat target mana?
VPC adalah komplek, subnet adalah blok, route table adalah papan arah, internet gateway adalah gerbang ke jalan raya internet.
Komponen yang sering muncul di skenario
- Internet Gateway, gerbang agar resource di public subnet bisa berkomunikasi dengan internet.
- NAT Gateway, jalan keluar untuk resource di private subnet menuju internet tanpa menerima koneksi masuk langsung dari internet.
- Route Table, pengarah traffic berdasarkan destination dan target.
- VPC Flow Logs, catatan metadata traffic IP yang berguna untuk observability dan troubleshooting.
Subnet disebut public bukan karena namanya mengandung kata public, tetapi karena route table subnet itu mengarah ke internet gateway dan resource terkait punya konfigurasi publik yang sesuai.
Public Subnet, Private Subnet, dan NAT
Memisahkan pintu depan dan ruang belakang aplikasi
Desain network yang umum: hanya komponen depan yang publik, komponen belakang tetap privat.
Bayangkan restoran. Area kasir boleh terlihat pelanggan, tetapi dapur, gudang, dan brankas tidak boleh langsung diakses dari jalan. Di AWS, load balancer bisa berada di public subnet untuk menerima traffic user, sedangkan EC2 application server dan database berada di private subnet.
User mengetik domain, DNS mengarah ke CloudFront, load balancer, atau endpoint aplikasi.
Public subnet biasanya menampung Application Load Balancer atau bastion yang benar-benar diperlukan.
EC2, container, atau database tidak perlu punya public IP jika hanya melayani traffic internal.
Untuk update package atau akses layanan AWS, private subnet bisa memakai NAT gateway atau VPC endpoint sesuai kebutuhan.
| Istilah | Makna pemula | Contoh |
|---|---|---|
| Public subnet | Subnet dengan rute menuju internet gateway | Application Load Balancer publik |
| Private subnet | Subnet tanpa rute langsung ke internet gateway | Application server, database, cache |
| NAT Gateway | Mengizinkan outbound dari private subnet ke internet | EC2 private subnet mengunduh update |
| Internet Gateway | Gerbang VPC ke internet | ALB publik menerima traffic HTTPS |
Internet Gateway vs NAT Gateway, beda arah traffic
Dua komponen ini paling sering tertukar karena sama-sama “menghubungkan ke internet”. Bedanya ada di arah traffic. Internet Gateway adalah pintu dua arah untuk public subnet: traffic dari internet boleh masuk, traffic ke internet boleh keluar. NAT Gateway hanya satu arah: resource di private subnet boleh keluar ke internet (misalnya mengunduh update), tetapi internet tidak bisa memulai koneksi masuk ke resource itu.
- Dipasang di VPC, menjadi gerbang public subnet ke internet.
- Mengizinkan koneksi masuk (inbound) maupun keluar (outbound).
- Cocok untuk ALB publik atau resource yang memang harus dijangkau dari internet.
- Tidak menambah biaya per-jam tersendiri untuk gateway-nya.
- Dipasang di public subnet, melayani resource di private subnet.
- Hanya mengizinkan koneksi keluar (outbound), tidak menerima inbound dari internet.
- Cocok agar EC2 private bisa update package tanpa membuka diri ke internet.
- Berbiaya per-jam ditambah per-GB data yang diproses, jadi perlu diperhitungkan.
Internet Gateway seperti pintu depan toko yang bisa dilewati dua arah, pelanggan masuk dan keluar. NAT Gateway seperti pintu belakang yang hanya bisa dibuka dari dalam: karyawan boleh keluar mengambil barang, tetapi orang luar tidak bisa masuk lewat situ.
NAT Gateway berbiaya per-jam plus per-GB data yang diproses, jadi sering jadi pertimbangan cost. Salah satu trik hemat: untuk akses ke S3 atau DynamoDB, gateway endpoint (gratis) bisa menggantikan jalur lewat NAT Gateway. Selalu cek AWS Pricing untuk angka terbaru, jangan menghafal nominalnya untuk ujian.
Menaruh database di public subnet karena ingin mudah dites adalah pola berisiko. Untuk skenario ujian, database biasanya berada di private subnet.
Security Group vs Network ACL
Kunci pintu resource vs gerbang subnet
Security group dan NACL sama-sama firewall, tetapi bekerja di level yang berbeda.
Security group mengontrol traffic inbound dan outbound untuk resource seperti EC2 atau load balancer. Ia bersifat stateful, artinya jika request diizinkan keluar, response yang kembali otomatis diizinkan. Network ACL bekerja di level subnet. Ia bersifat stateless, artinya aturan inbound dan outbound harus dipikirkan dua arah.
Kenapa “stateful” begitu penting? Karena membuat hidup lebih mudah. Pada security group, kamu cukup mengizinkan request keluar, maka jawabannya otomatis boleh kembali tanpa kamu menulis rule balikan. Pada NACL yang stateless, AWS tidak mengingat koneksi, jadi kamu harus eksplisit mengizinkan return traffic, biasanya pada rentang port ephemeral. Inilah sumber bug klasik pada NACL: lupa membuka return traffic, lalu koneksi terasa “setengah jalan”.
Security Group
Menempel pada resource atau network interface. Cocok sebagai kontrol utama karena lebih dekat ke workload. Mengevaluasi semua rule sebelum memutuskan.
Network ACL
Menempel pada subnet. Cocok sebagai guardrail tambahan, misalnya menolak traffic dari rentang IP tertentu. Mengevaluasi rule berurutan dari nomor kecil ke besar sampai ada yang cocok.
| Perbandingan | Security Group | Network ACL |
|---|---|---|
| Level | Resource atau network interface | Subnet |
| Sifat | Stateful | Stateless |
| Rule deny eksplisit | Tidak, hanya allow | Ada allow dan deny |
| Urutan rule | Semua rule dievaluasi sebagai izin | Dievaluasi berdasarkan nomor rule dari kecil ke besar |
| Penggunaan umum | Firewall utama workload | Lapisan tambahan di batas subnet |
- Beroperasi di level instance atau network interface (ENI).
- Hanya punya rule allow, tidak ada rule deny eksplisit.
- Mengevaluasi semua rule sebelum memutuskan, urutan tidak penting.
- Stateful: return traffic otomatis diizinkan tanpa rule balikan.
- Beroperasi di level subnet, melindungi semua resource di dalamnya.
- Punya rule allow dan deny, jadi bisa memblokir IP tertentu.
- Mengevaluasi rule berurutan dari nomor terkecil sampai ada yang cocok.
- Stateless: return traffic harus diizinkan eksplisit (port ephemeral).
Security group seperti kunci pintu tiap rumah. NACL seperti pos satpam di gerbang blok. Rumah tetap harus punya kunci walaupun komplek punya satpam.
Untuk membiasakan diri, di AWS Console buka VPC → Subnets, pilih sebuah subnet, lalu cek tab Route table. Jika ada rute 0.0.0.0/0 menuju target igw-xxxx, subnet itu public. Di EC2 → Security Groups kamu bisa melihat hanya ada tab Inbound dan Outbound rules tanpa kolom deny, itu menegaskan sifat allow-only. Langkah baca ini aman dan tidak menambah biaya.
Jika soal menanyakan firewall stateful di level instance, jawab security group. Jika menanyakan firewall stateless di level subnet dengan allow dan deny, jawab network ACL.
VPC Endpoint dan AWS PrivateLink
Akses privat ke layanan tanpa lewat internet publik
VPC endpoint adalah pintu privat dari VPC ke layanan, PrivateLink adalah teknologi koneksi privat untuk banyak skenario endpoint.
Tanpa endpoint, resource di private subnet sering perlu NAT gateway untuk mengakses layanan AWS seperti S3 melalui public endpoint. Dengan VPC endpoint, traffic bisa diarahkan secara privat dari VPC ke layanan yang didukung. Ini mengurangi kebutuhan melewati internet publik dan membantu kontrol keamanan.
Ada dua istilah yang sering tertukar. VPC endpoint adalah resource yang kamu buat di VPC. AWS PrivateLink adalah teknologi yang memungkinkan resource di VPC terhubung ke layanan AWS memakai private IP, seolah-olah layanan tersebut di-host di dalam VPC kamu, tanpa internet gateway atau NAT device. PrivateLink dipakai oleh interface endpoint untuk menjangkau layanan AWS, layanan milik account lain, atau layanan partner secara privat.
Gateway endpoint
Dipakai untuk Amazon S3 dan DynamoDB. Route table akan mendapatkan rute ke endpoint, gratis tanpa biaya tambahan, dan tidak memakai AWS PrivateLink.
Interface endpoint
Memakai elastic network interface dengan private IP di subnet, memakai AWS PrivateLink, dan berbayar (per-jam per-AZ ditambah per-GB data processing).
- Hanya untuk Amazon S3 dan DynamoDB.
- Gratis, tidak ada biaya tambahan.
- Bekerja lewat entri di route table (prefix list).
- Bukan teknologi PrivateLink.
- Mendukung banyak layanan AWS dan layanan partner.
- Berbayar per-jam per-AZ ditambah per-GB data processing.
- Bekerja lewat elastic network interface dengan private IP di subnet.
- Memakai teknologi AWS PrivateLink.
Kapan dipakai?
- EC2 di private subnet perlu mengambil objek dari S3 tanpa NAT gateway.
- Aplikasi internal perlu memanggil layanan AWS memakai private IP.
- Perusahaan ingin mengekspos layanan antar VPC atau antar account tanpa membuka akses publik.
- Tim keamanan ingin membatasi akses memakai endpoint policy, bucket policy, atau kondisi seperti VPC endpoint tertentu.
Untuk S3 atau DynamoDB dari VPC yang sama, gateway endpoint sering menjadi jawaban ujian. Untuk banyak layanan AWS lain atau layanan partner, pikirkan interface endpoint dan PrivateLink.
PrivateLink bukan VPN dan bukan Direct Connect. PrivateLink adalah koneksi privat ke layanan, sedangkan VPN dan Direct Connect menghubungkan network seperti kantor atau data center ke AWS.
DNS dengan Amazon Route 53
Buku alamat untuk aplikasi cloud
Route 53 membantu user menemukan endpoint aplikasi melalui nama domain yang mudah diingat.
DNS menerjemahkan nama seperti www.example.com menjadi alamat tujuan yang bisa dipakai jaringan. Amazon Route 53 adalah layanan DNS yang highly available dan scalable. Ia dapat dipakai untuk registrasi domain, DNS routing, dan health checking. Nama “53” mengacu pada port 53, port standar protokol DNS, sekaligus cara mudah mengingat bahwa ini layanan DNS. Di skenario ujian, Route 53 sering muncul saat aplikasi perlu diarahkan ke load balancer, CloudFront distribution, atau endpoint sehat berdasarkan kebijakan routing.
Domain registration
Mendaftarkan nama domain seperti example.com melalui Route 53 jika kebutuhan bisnis mengarah ke sana.
DNS routing
Mengarahkan nama domain ke resource AWS atau non-AWS menggunakan record DNS.
Health checks
Memantau endpoint dan membantu mengalihkan traffic dari resource yang tidak sehat.
Routing policy yang perlu dikenali
Route 53 punya delapan routing policy. Lima yang pertama paling sering muncul, tiga sisanya cukup kamu kenali namanya agar tidak salah jika muncul sebagai distractor. Daftar resmi ada di dokumentasi routing policy Route 53.
| Routing policy | Kapan dipakai | Analogi |
|---|---|---|
| Simple | Satu jawaban DNS sederhana | Satu alamat toko |
| Weighted | Membagi traffic berdasarkan persentase | Uji coba cabang baru dengan sebagian pelanggan |
| Latency | Mengarahkan user ke Region dengan latency lebih rendah | Pilih cabang tercepat |
| Failover | Primary dan secondary untuk ketahanan | Toko utama dan toko cadangan |
| Geolocation | Routing berdasarkan lokasi user | Pelanggan Indonesia diarahkan ke konten Indonesia |
| Geoproximity | Routing berdasarkan jarak geografis, bisa digeser dengan bias | Arahkan ke cabang terdekat, bisa diatur condong ke satu kota |
| Multivalue answer | Mengembalikan beberapa jawaban sehat sekaligus | Beri pelanggan beberapa alamat cabang yang buka |
| IP-based | Routing berdasarkan blok alamat IP klien (CIDR) | Arahkan pelanggan dari ISP tertentu ke jalur tertentu |
Route 53 menjawab pertanyaan “domain ini menuju ke mana?”, CloudFront menjawab “bagaimana konten dikirim lebih cepat dari lokasi edge?”. Keduanya layanan global, tetapi Route 53 adalah DNS dan health check, bukan caching.
CDN dengan Amazon CloudFront
Mendekatkan konten ke user
CloudFront mempercepat distribusi konten dengan menyimpan salinan di edge location yang dekat dengan user.
Jika server aplikasi ada di satu Region, user yang jauh bisa merasakan latency lebih tinggi. Amazon CloudFront adalah CDN yang mempercepat pengiriman konten statis dan dinamis seperti HTML, CSS, JavaScript, gambar, video, API, atau aplikasi. CloudFront memakai jaringan edge global. Saat user meminta konten, request diarahkan ke edge location dengan latency rendah. Jika konten ada di cache, user mendapat response lebih cepat dan origin menerima beban lebih ringan.
Di balik edge location ada lapisan kedua bernama Regional Edge Cache, cache menengah berukuran lebih besar yang berada di antara edge location dan origin. Jika sebuah objek tidak ada di edge location tetapi masih tersimpan di Regional Edge Cache, CloudFront mengambilnya dari sana sebelum repot menghubungi origin. Detail ini opsional untuk CLF-C02, tetapi membantu kamu memahami kenapa cache hit rate CloudFront bisa tinggi.
Browser meminta file, API, atau halaman lewat domain yang mengarah ke CloudFront distribution.
Jika objek masih valid di cache, CloudFront mengirim response langsung dari edge.
Jika cache miss, CloudFront mengambil konten dari origin seperti S3, ALB, EC2, atau HTTP server.
Salinan yang cacheable disimpan sesuai aturan cache agar request berikutnya lebih efisien.
Origin
Sumber konten, misalnya S3 bucket, Application Load Balancer, EC2, atau server HTTP lain.
Distribution
Konfigurasi CloudFront yang mengatur domain, origin, cache behavior, TLS, logging, dan aturan delivery.
Edge location
Lokasi jaringan global tempat CloudFront menerima request user dan menyajikan konten dengan latency rendah.
Cache behavior
Aturan yang menentukan path, metode HTTP, header, cookie, query string, TTL, dan origin yang dipakai.
CloudFront sering dipasangkan dengan AWS WAF, AWS Shield (Standard otomatis aktif untuk proteksi DDoS), TLS certificate dari ACM, dan origin access control untuk membatasi akses langsung ke origin. Lihat juga modul Security untuk peran WAF dan Shield secara lebih dalam.
OAC vs OAI, jangan bingung melihat materi lama
Untuk membatasi akses ke origin Amazon S3 agar hanya CloudFront yang boleh membaca bucket, ada dua mekanisme. Origin Access Control (OAC) adalah pendekatan terkini yang direkomendasikan AWS: mendukung semua Region, enkripsi SSE-KMS, dan request SigV4. Origin Access Identity (OAI) adalah metode legacy yang masih berfungsi pada distribusi lama, tetapi tidak lagi direkomendasikan. Jika kamu menemui istilah OAI di materi lama atau soal, ingat bahwa OAC adalah penggantinya. Detail ada di dokumentasi membatasi akses ke S3.
CloudFront punya free tier yang sekarang “always free” (tidak terbatas 12 bulan pertama): 1 TB data transfer out dan 10 juta HTTP/HTTPS request per bulan. Selain pay-as-you-go, AWS juga memperkenalkan flat-rate pricing plans (Free, Pro, Business, Premium) yang menggabungkan CDN, AWS WAF, Route 53, TLS, dan kredit lain tanpa overage charge. Untuk ujian, cukup tahu bahwa CloudFront punya free tier besar dan beberapa model harga, bukan menghafal angkanya.
Jika soal menekankan cache konten global, static website, video, file download, atau mengurangi latency pengiriman konten, CloudFront biasanya kandidat utama.
VPC Peering vs Transit Gateway
Menghubungkan VPC, dari satu lawan satu hingga hub pusat
Saat aplikasi tumbuh, satu VPC sering tidak cukup. Pertanyaannya: bagaimana banyak VPC saling bicara dengan rapi?
Bayangkan dua kantor yang ingin saling kirim dokumen. Cara termudah adalah membuat jalur langsung antara keduanya. Itulah VPC Peering: koneksi privat satu lawan satu antara dua VPC, sehingga resource di kedua VPC bisa berkomunikasi memakai private IP seolah berada di jaringan yang sama.
Masalah muncul saat kantornya bertambah banyak. VPC Peering bersifat non-transitif. Jika VPC A ter-peering dengan B, dan A ter-peering dengan C, maka B tetap tidak bisa menjangkau C lewat A. Kamu harus membuat peering langsung B ke C. Untuk empat VPC yang semuanya perlu saling terhubung, kamu butuh enam koneksi (rumus n(n-1)/2), dan angkanya meledak seiring jumlah VPC. Inilah yang disebut topologi full mesh, rumit untuk dikelola.
AWS Transit Gateway menyelesaikan kerumitan itu dengan menjadi hub pusat. Setiap VPC dan koneksi on-premises cukup attach satu kali ke hub, lalu Transit Gateway mengatur routing antar semuanya. Karena mendukung transitive routing (hub-and-spoke), VPC B bisa menjangkau VPC C melalui hub tanpa peering langsung. Satu hub menggantikan jaring koneksi yang ruwet.
- Koneksi privat langsung antara dua VPC.
- Non-transitif: B tidak bisa lewat A untuk menjangkau C.
- Banyak VPC berarti full mesh yang sulit dikelola.
- Cocok untuk jumlah VPC sedikit dan hubungan sederhana.
- Hub pusat tempat banyak VPC dan on-premises attach.
- Transitive routing: semua spoke bisa saling menjangkau lewat hub.
- Tiap VPC cukup satu attachment, jauh lebih sederhana di skala besar.
- Cocok untuk banyak VPC, banyak account, dan koneksi hybrid.
VPC Peering seperti membangun jalan langsung antara dua kota; kalau ada banyak kota, jalannya jadi banyak sekali. Transit Gateway seperti membangun satu stasiun pusat: tiap kota cukup punya satu jalur ke stasiun, lalu bisa pergi ke kota mana saja lewat sana.
Dua VPC saja yang perlu terhubung privat: VPC Peering. Banyak VPC dan on-premises yang perlu hub terpusat dengan transitive routing: Transit Gateway. Kata kunci “non-transitif” dan “full mesh” mengarah ke peering; “hub”, “cloud router”, dan “simplify connectivity” mengarah ke Transit Gateway.
VPN dan Direct Connect
Menghubungkan AWS dengan kantor, data center, dan user remote
Hybrid connectivity berarti AWS tidak berdiri sendiri, tetapi tersambung ke jaringan perusahaan atau user remote.
AWS Site-to-Site VPN membuat koneksi aman antara jaringan on-premises dan VPC melalui tunnel IPsec terenkripsi di atas internet publik. Cocok untuk setup cepat, backup koneksi, atau kebutuhan yang tidak menuntut jalur dedicated. Tiap koneksi menyediakan dua tunnel ke dua endpoint berbeda untuk high availability, jadi jika satu tunnel bermasalah, yang lain tetap melayani. AWS Client VPN dipakai untuk remote user, misalnya karyawan dari laptop yang perlu masuk ke resource VPC secara aman. Keduanya berada di bawah payung AWS VPN.
AWS Direct Connect menghubungkan jaringan internal ke AWS melalui koneksi privat dedicated di lokasi Direct Connect, tidak melewati internet publik. Karena jalurnya dedicated, performanya lebih konsisten dan latency lebih predictable. Untuk ujian, ingat kata kunci: koneksi dedicated, performa stabil, dan workload hybrid yang serius.
Jebakan yang sering muncul: Direct Connect tidak dienkripsi secara default, berbeda dari VPN yang selalu IPsec terenkripsi. Jalurnya memang privat dan tidak lewat internet, tetapi jika kamu butuh enkripsi, kamu menambahkannya sendiri, misalnya lewat MACsec (di koneksi berkecepatan tinggi tertentu) atau dengan menjalankan VPN di atas Direct Connect. Jangan asumsikan “privat berarti terenkripsi”.
| Layanan | Kapan dipakai | Kata kunci ujian |
|---|---|---|
| Site-to-Site VPN | Kantor atau data center ke AWS lewat internet terenkripsi | Cepat, IPsec, encrypted tunnel, dua tunnel HA |
| Client VPN | User remote ke VPC | Karyawan remote, laptop, akses privat |
| Direct Connect | Koneksi dedicated dari jaringan perusahaan ke AWS | Dedicated, predictable, private, tidak lewat internet |
Site-to-Site VPN seperti jalur aman terenkripsi di jalan umum yang ramai, Client VPN seperti kartu akses pribadi untuk masuk gedung dari mana saja, Direct Connect seperti rel khusus milik perusahaan langsung ke AWS.
Jika soal menyebut koneksi cepat disiapkan dan terenkripsi lewat internet, pilih VPN. Jika menyebut dedicated private connection, performa konsisten, dan tidak lewat internet, pilih Direct Connect. Ingat: VPN terenkripsi otomatis, Direct Connect tidak.
Global Accelerator dan API Gateway
Routing global dan front door API
Tidak semua percepatan global berarti caching, kadang yang dibutuhkan adalah routing jaringan yang lebih optimal atau API front door.
AWS Global Accelerator membantu meningkatkan availability dan performance aplikasi untuk user lokal maupun global. Ia mengalokasikan dua static anycast IPv4 (dari dua network zone independen) sebagai pintu masuk global, lalu mengarahkan traffic lewat AWS global network ke endpoint yang sehat dan optimal. Global Accelerator beroperasi di Layer 4 (TCP dan UDP) dan dilindungi AWS Shield Standard secara default. Cocok untuk aplikasi gaming (UDP), IoT (MQTT), VoIP, atau workload yang butuh IP statis global, failover regional cepat, dan traffic yang tidak bisa dicache.
Kenapa static anycast IP penting? Karena beberapa skenario tidak bisa mengandalkan DNS yang berubah-ubah, misalnya whitelisting IP di firewall pelanggan atau aplikasi yang menyimpan IP secara hardcode. Dengan dua IP tetap, kamu punya entry point stabil sementara AWS mengatur jalur tercepat di belakang layar.
- Layer 7 (HTTP dan HTTPS), berfokus pada konten.
- Menyimpan salinan konten (caching) di edge location.
- Cocok untuk gambar, video, file download, static website, API cacheable.
- Domain CloudFront, bukan static IP tetap.
- Layer 4 (TCP dan UDP), berfokus pada jalur jaringan.
- Tidak menyimpan cache, hanya mengoptimalkan rute ke endpoint sehat.
- Cocok untuk gaming, VoIP, IoT, dan traffic non-cacheable.
- Memberi dua static anycast IP sebagai entry point global.
Amazon API Gateway adalah layanan managed untuk membuat, memublikasikan, memelihara, memonitor, dan mengamankan API. Ia mendukung REST API, HTTP API, dan WebSocket API, lengkap dengan throttling, otentikasi, dan stages. Dalam peta networking CLF-C02, API Gateway berperan sebagai front door untuk API, sering terhubung ke AWS Lambda, service berbasis container, EC2, atau backend HTTP. Ia bukan load balancer umum dan bukan accelerator.
| Layanan | Masalah yang diselesaikan | Jangan tertukar dengan |
|---|---|---|
| CloudFront | Cache dan delivery konten dari edge | Global Accelerator |
| Global Accelerator | Routing traffic global lewat AWS network dengan static anycast IP | Route 53 dan CloudFront |
| Route 53 | DNS routing dan health check | CDN atau accelerator |
| API Gateway | Front door API, auth, throttling, stages, monitoring API | Load balancer umum |
CloudFront unggul saat konten bisa dicache atau dioptimalkan di edge. Global Accelerator unggul saat aplikasi butuh static anycast IP, routing global, dan failover endpoint untuk traffic non-cacheable.
Skenario dan Walkthrough Konseptual
Latihan berpikir seperti arsitek cloud pemula
Bagian ini bukan lab klik per klik, tetapi simulasi desain yang membantu kamu membaca soal skenario.
Skenario 1, aplikasi web sederhana
Pilih rentang IP privat, lalu siapkan subnet di minimal dua Availability Zone untuk pola high availability.
ALB menerima traffic HTTPS dari internet, sedangkan application server tetap berada di private subnet.
Database tidak perlu public IP dan hanya menerima traffic dari security group aplikasi.
Record DNS mengarah ke CloudFront atau ALB sesuai desain akses publik.
CloudFront mengurangi latency dan beban origin, terutama untuk static assets dan konten yang cacheable.
Skenario 2, EC2 private subnet perlu akses S3
EC2 private subnet perlu membaca file dari S3, tetapi tidak perlu menerima koneksi internet masuk.
Untuk S3 dari VPC, gateway endpoint membantu akses privat tanpa internet gateway atau NAT device.
Route ke prefix list S3 diarahkan ke gateway endpoint pada route table subnet terkait.
Gunakan IAM, bucket policy, dan endpoint policy untuk mempersempit akses sesuai kebutuhan.
Skenario 3, perusahaan punya data center
Pilih Site-to-Site VPN jika kebutuhan awal adalah koneksi aman dari data center ke VPC lewat internet, terenkripsi dan cepat disiapkan.
Pilih Direct Connect jika workload membutuhkan koneksi privat dedicated dengan performa lebih konsisten dan tidak lewat internet.
Pertimbangkan Transit Gateway sebagai hub agar topologi tidak berubah menjadi banyak koneksi satu per satu seperti VPC Peering full mesh.
Skenario 4, dua VPC vs banyak VPC
Buat VPC Peering satu lawan satu, lalu tambahkan rute ke CIDR VPC lawan di route table masing-masing.
Begitu jumlah VPC bertambah dan semuanya perlu saling terhubung, full mesh peering jadi sulit. Beralih ke Transit Gateway sebagai hub.
Peering non-transitif, jadi B tidak otomatis menjangkau C lewat A. Transit Gateway transitive, jadi semua spoke saling terhubung lewat hub.
Latihan observasi aman di Console
Buka VPC → Subnets, pilih subnet, lihat tab Route table. Ada rute 0.0.0.0/0 ke internet gateway berarti public; tidak ada berarti private.
Buka EC2 → Security Groups, perhatikan hanya ada Inbound dan Outbound rules tanpa kolom deny, menegaskan SG hanya bisa allow.
Buka VPC → Network ACLs, lihat kolom Rule number dan Allow/Deny, menegaskan NACL stateless dengan urutan rule dan deny eksplisit.
Pola desain yang sehat
- Komponen publik seminimal mungkin, biasanya load balancer atau CloudFront.
- Workload dan database lebih aman di private subnet.
- Gunakan security group sebagai kontrol utama dan NACL sebagai guardrail tambahan.
- Gunakan endpoint untuk akses privat ke layanan AWS jika sesuai, gateway endpoint untuk S3 dan DynamoDB.
- Gunakan Route 53 untuk DNS, CloudFront untuk CDN, Global Accelerator untuk routing global non-cacheable.
- Dua VPC pakai peering, banyak VPC pakai Transit Gateway.
Kesalahan Umum dan Jebakan Soal
Hal yang sering membuat pemula salah pilih layanan
Banyak jawaban salah muncul bukan karena tidak tahu layanan, tetapi karena mencampur fungsi layanan.
DNS dianggap CDN
Route 53 mengarahkan nama domain, tetapi tidak menyimpan cache konten seperti CloudFront.
CDN dianggap private network
CloudFront mempercepat delivery dari edge, tetapi bukan pengganti VPC, subnet, atau security group.
Private subnet dianggap tidak bisa keluar sama sekali
Private subnet bisa melakukan outbound melalui NAT gateway atau VPC endpoint, tergantung tujuan traffic.
Security group dan NACL tertukar
Security group stateful di level resource, NACL stateless di level subnet.
PrivateLink dianggap VPN
PrivateLink menghubungkan VPC ke LAYANAN secara privat, VPN dan Direct Connect menghubungkan JARINGAN seperti kantor atau data center ke VPC.
Direct Connect dianggap selalu terenkripsi otomatis seperti VPN
Direct Connect tidak dienkripsi secara default. VPN selalu IPsec terenkripsi, Direct Connect privat tetapi butuh MACsec atau VPN overlay jika ingin enkripsi.
Internet Gateway dan NAT Gateway tertukar
Internet Gateway dua arah untuk public subnet. NAT Gateway hanya outbound dari private subnet, tidak menerima koneksi masuk dari internet.
VPC Peering dianggap transitif
Peering non-transitif, B tidak bisa lewat A menjangkau C. Untuk banyak VPC dan transitive routing, pakai Transit Gateway sebagai hub.
Gateway dan interface endpoint disamakan
Gateway endpoint gratis, hanya S3 dan DynamoDB, lewat route table, bukan PrivateLink. Interface endpoint berbayar, banyak layanan, lewat ENI, memakai PrivateLink.
OAI dianggap satu-satunya cara
OAI adalah metode legacy untuk membatasi akses S3 dari CloudFront. Pendekatan terkini yang direkomendasikan adalah OAC.
Kata kunci soal dan jawaban cepat
| Kata kunci di soal | Arah jawaban | Kenapa |
|---|---|---|
| Stateful firewall untuk EC2 | Security group | Menempel ke resource dan otomatis mengizinkan response traffic |
| Stateless subnet firewall, allow dan deny | Network ACL | Bekerja di level subnet dan rule dievaluasi berurutan |
| Private access dari VPC ke S3 | Gateway VPC endpoint | S3 mendukung gateway endpoint |
| Domain registration atau DNS routing | Route 53 | Layanan DNS AWS |
| Cache global, static assets, video delivery | CloudFront | CDN global dengan edge location |
| Dedicated network connection ke AWS | Direct Connect | Koneksi privat dedicated dari jaringan perusahaan |
| Encrypted tunnel lewat internet | Site-to-Site VPN | Menghubungkan on-premises ke AWS melalui VPN |
| Dua VPC saling terhubung privat, satu lawan satu | VPC Peering | Koneksi langsung non-transitif antar dua VPC |
| Hub untuk banyak VPC dan on-premises, transitive | Transit Gateway | Cloud router terpusat hub-and-spoke |
| Static anycast IP global dan routing optimal TCP/UDP | Global Accelerator | Mengarahkan traffic lewat AWS global network tanpa caching |
| Front door untuk REST, HTTP, atau WebSocket API | API Gateway | Managed API service |
Untuk CLF-C02, jangan habiskan waktu menghafal semua tipe route propagation, BGP detail, atau desain multi-account networking yang kompleks. Kenali fungsi dan pilihan layanan utama.
Ringkasan & Tips Ujian
Peta cepat untuk mengingat sebelum latihan soal
Networking di CLF-C02 adalah tentang memilih jalur, pintu, satpam, buku alamat, cabang cache, dan koneksi hybrid yang tepat.
Poin Penting
- Amazon VPC adalah jaringan virtual terisolasi untuk resource AWS.
- Subnet membagi VPC, satu subnet hidup di satu Availability Zone; public vs private ditentukan oleh route table, bukan namanya.
- Route table mengarahkan traffic ke target seperti internet gateway, NAT gateway, transit gateway, atau VPC endpoint.
- Internet Gateway dua arah untuk public subnet, NAT Gateway hanya outbound dari private subnet (berbiaya per-jam plus per-GB).
- Security group adalah firewall stateful di level instance, allow-only, semua rule dievaluasi.
- NACL adalah firewall stateless di level subnet, allow plus deny, rule dievaluasi berurutan by number.
- Gateway endpoint gratis untuk S3 dan DynamoDB lewat route table; interface endpoint berbayar lewat ENI memakai PrivateLink.
- AWS PrivateLink menghubungkan VPC ke LAYANAN secara privat tanpa public IP, internet gateway, atau NAT.
- Route 53 adalah DNS, domain registration, routing policy (delapan jenis), dan health checking.
- CloudFront adalah CDN (Layer 7, caching di edge); pakai OAC untuk membatasi akses S3, free tier 1 TB out per bulan always free.
- Site-to-Site VPN tunnel IPsec terenkripsi lewat internet (dua tunnel HA); Direct Connect dedicated private connection, tidak terenkripsi default.
- VPC Peering satu lawan satu non-transitif; Transit Gateway hub-and-spoke transitive untuk banyak VPC dan on-premises.
- Global Accelerator memberi dua static anycast IP dan optimasi network path Layer 4 (TCP/UDP) tanpa caching.
- API Gateway adalah front door managed untuk REST, HTTP, dan WebSocket API.
Pemetaan ke domain CLF-C02
| Domain | Relevansi modul | Yang harus kamu kuasai |
|---|---|---|
| Domain 1, Cloud Concepts 24% | Memahami manfaat cloud seperti global reach, elasticity, high availability, dan hybrid model. | Kenapa CDN, Region, Availability Zone, dan koneksi hybrid membantu performa dan ketahanan. |
| Domain 2, Security and Compliance 30% | Network security adalah bagian besar dari keamanan cloud. | Shared responsibility, security group, NACL, private subnet, endpoint policy, dan prinsip least privilege network. |
| Domain 3, Cloud Technology and Services 34% | Ini domain paling langsung untuk layanan networking dan content delivery, bobot terbesar. | Fungsi VPC, subnet, Route 53, CloudFront, Direct Connect, VPN, PrivateLink, VPC Peering, Transit Gateway, Global Accelerator, dan API Gateway. |
| Domain 4, Billing, Pricing, and Support 12% | Beberapa pilihan network berdampak biaya, terutama data transfer, NAT gateway, endpoint, CloudFront, VPN, dan Direct Connect. | Jangan menghafal angka, pahami bahwa arsitektur network memengaruhi biaya dan perlu dicek di AWS Pricing saat implementasi nyata. |
Tips menjawab soal
- Jika soal bicara nama domain, pikirkan Route 53.
- Jika soal bicara cache konten dekat user, pikirkan CloudFront.
- Jika soal bicara private isolated network, pikirkan VPC.
- Jika soal bicara firewall instance yang stateful, pikirkan security group.
- Jika soal bicara subnet firewall yang stateless dan deny rule, pikirkan NACL.
- Jika soal bicara akses privat ke S3 atau DynamoDB dari VPC, pikirkan gateway endpoint.
- Jika soal bicara layanan privat tanpa public IP, pikirkan PrivateLink atau interface endpoint.
- Jika soal bicara koneksi kantor ke AWS lewat internet terenkripsi, pikirkan Site-to-Site VPN.
- Jika soal bicara koneksi dedicated, predictable, dan tidak lewat internet, pikirkan Direct Connect.
- Jika soal bicara dua VPC saling terhubung satu lawan satu, pikirkan VPC Peering.
- Jika soal bicara banyak VPC yang perlu hub pusat dan transitive routing, pikirkan Transit Gateway.
- Jika soal bicara static anycast IP dan routing global aplikasi TCP atau UDP, pikirkan Global Accelerator.
- Jika soal bicara front door untuk API, pikirkan API Gateway.
Sumber resmi untuk pendalaman
- AWS Certified Cloud Practitioner CLF-C02 Exam Guide
- CLF-C02 In-Scope AWS Services
- Amazon VPC Documentation
- Amazon Route 53 Documentation
- Amazon CloudFront Documentation
- Amazon VPC Infrastructure Security (security group dan NACL)
- AWS PrivateLink dan VPC Endpoint
- Route 53 Routing Policies
- AWS Direct Connect FAQs
- AWS Global Accelerator FAQs
- AWS Decision Guide, Networking and Content Delivery
DNS mencari alamat, CDN mendekatkan konten, VPC mengisolasi network, endpoint memprivatkan akses layanan, VPN dan Direct Connect menghubungkan jaringan, security group dan NACL menjaga pintu traffic.