Toàn quyền kiểm soát mạng ảo với Amazon VPC trên AWS

Trong bài viết dưới đây, hãy cùng tìm hiểu về cách sử dụng Amazon VPC để toàn quyền kiểm soát mạng ảo. Ngoài ra, để duy trì tính dự phòng và khả năng chịu lỗi, hãy tạo ít nhất hai mạng con được cấu hình trong hai Vùng khả dụng.

1. Định nghĩa Amazon VPC

Đám mây ảo riêng tư (VPC) là một dịch vụ mạng riêng biệt mà bạn tạo trong AWS Cloud.  Nó cũng tương tự như mạng truyền thống trong trung tâm dữ liệu. Khi tạo Amazon VPC, bạn phải chọn ba yếu tố chính:

  • Tên của VPC
  • Khu vực nơi mà VPC sẽ được khởi tạo. VPC bao gồm tất cả các Vùng khả dụng (AZ) trong Vùng đã chọn (Region)
  • Phạm vi IP cho VPC theo ký hiệu CIDR. Điều này xác định kích thước mạng của bạn. Mỗi VPC có thể có tối đa năm CIDR: một CIDR chính và bốn CIDR phụ cho IPv4. Mỗi phạm vi này có thể có kích thước từ /28 (theo ký hiệu CIDR) đến /16.

Sử dụng các thông tin này, AWS sẽ cung cấp một mạng và các địa chỉ IP cho mạng đấy.

2. Khởi tạo một mạng con (subnet)

Sau khi tạo VPC, bạn phải tạo các mạng con (subnet) bên trong mạng (network). Mạng con là các mạng nhỏ hơn bên trong mạng cơ sở, hoặc các mạng cục bộ ảo (VLAN) trong mạng tại chỗ (on-premises) truyền thống. Trong mạng tại chỗ, trường hợp sử dụng điển hình cho các mạng con là để cô lập hoặc tối ưu hóa lưu lượng mạng. Trong AWS, các mạng con được sử dụng để cung cấp các tùy chọn khả dụng cao và kết nối cho các tài nguyên. Sử dụng mạng con công khai (public subnet) cho các tài nguyên phải được kết nối với internet. Đồng thời sử dụng mạng con riêng (private subnet) cho các tài nguyên sẽ không được kết nối với internet.

Khi tạo một mạng con, bạn phải chỉ định những điều sau:

  • VPC mà bạn muốn mạng con của mình tồn tại. Trong trường hợp này: VPC (10.0.0.0/16)
  • Vùng khả dụng mà bạn muốn mạng con của mình tồn tại. Trong trường hợp này: Vùng khả dụng 1
  • Khối CIDR IPv4 cho mạng con của bạn, phải là một tập hợp con của khối CIDR VPC. Trong trường hợp này: 10.0.0.0/24

Khi chạy một EC2 instance, bạn chạy nó bên trong một mạng con, nơi mà được đặt ở trong Vùng khả dụng (AZ) mà bạn chọn.

3. Tính khả dụng cao với VPC

Khi tạo các mạng con, hãy ghi nhớ tính khả dụng cao. Để duy trì tính dự phòng và khả năng chịu lỗi, hãy tạo ít nhất hai mạng con được cấu hình trong hai Vùng khả dụng.

Hãy nhớ rằng “mọi thứ đều có lúc hỏng”. Với mạng ví dụ, nếu một trong các Vùng khả dụng bị hỏng, bạn vẫn có tài nguyên dự phòng trong Vùng khả dụng khác.

4. IP được bảo lưu (Reserved IPs)

Để AWS cấu hình VPC một cách phù hợp, AWS sẽ dành riêng năm địa chỉ IP trong mỗi mạng con. Các địa chỉ IP này được sử dụng để định tuyến, Hệ thống tên miền (DNS) và quản lý mạng.

Ví dụ, hãy xem xét một VPC có phạm vi IP là 10.0.0.0/22. VPC bao gồm tổng cộng 1.024 địa chỉ IP. Sau đó, VPC được chia thành bốn mạng con có kích thước bằng nhau. Mỗi mạng con có phạm vi IP là /24 với 256 địa chỉ IP. Trong mỗi phạm vi IP đó, chỉ có 251 địa chỉ IP có thể được sử dụng vì AWS dành riêng năm địa chỉ.

Năm địa chỉ IP được dành riêng có thể tác động đến cách bạn thiết kế mạng của mình. Một điểm khởi đầu phổ biến cho những người mới làm quen với đám mây là tạo VPC với dải IP là /16 và tạo các mạng con với dải IP là /24. Điều này cung cấp một lượng lớn địa chỉ IP để làm việc ở cả cấp độ VPC và mạng con.

5. Cổng vào (Gateways)

  • Cổng Internet (Internet Gateway)

Để kích hoạt kết nối internet cho VPC của bạn, bạn phải tạo một cổng internet. Hãy nghĩ về cổng tương tự như một modem. Giống như modem kết nối máy tính của bạn với internet, cổng internet kết nối VPC của bạn với internet. 

Không giống như modem ở nhà, đôi khi bị hỏng hoặc ngoại tuyến, cổng internet có tính khả dụng cao và có thể mở rộng. Sau khi bạn tạo một cổng internet, bạn gắn nó vào VPC của mình.

  • Cổng riêng ảo (Virtual private gateway)

Cổng riêng ảo kết nối VPC của bạn với một mạng riêng khác. Khi tạo và đính kèm một cổng riêng ảo vào VPC, cổng này hoạt động như một điểm neo ở phía AWS của kết nối. 

Ở phía bên kia của kết nối, bạn sẽ cần kết nối một cổng khách hàng với mạng riêng khác. Thiết bị cổng khách hàng là một thiết bị vật lý hoặc ứng dụng phần mềm ở phía kết nối của bạn. 

Khi có cả hai cổng, bạn có thể thiết lập kết nối mạng riêng ảo (VPN) được mã hóa giữa hai phía.

6. Kết nối trực tiếp AWS (AWS Direct Connect)

Để thiết lập kết nối vật lý an toàn giữa trung tâm dữ liệu tại chỗ và Amazon VPC, bạn có thể sử dụng AWS Direct Connect. Với AWS Direct Connect, mạng nội bộ của bạn được liên kết với vị trí AWS Direct Connect qua cáp quang Ethernet tiêu chuẩn. 

Kết nối này cho phép bạn tạo giao diện ảo trực tiếp đến các dịch vụ AWS công cộng hoặc đến VPC của bạn.

Amazon VPC cung cấp giải pháp toàn diện để kiểm soát môi trường mạng ảo trên AWS, từ định nghĩa VPC đến quản lý IP và kết nối. Doanh nghiệp có thể xây dựng cơ sở hạ tầng mạng phù hợp, đảm bảo bảo mật và hiệu suất cao trong điện toán đám mây.

Nguồn tham khảo: CodeGym.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *