Tập tành tìm hiểu Amazon VPC - Virtual Private Cloud

Tập tành tìm hiểu Amazon VPC - Virtual Private Cloud

Tập tành tìm hiểu Amazon VPC - Virtual Private Cloud

Tìm hiểu AWS
 / 23 February 2023 / 0 Comments

Share Everywhere

Share icon
Table of contents

Định nghĩa về Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) cho phép bạn khởi chạy các tài nguyên AWS vào một mạng ảo mà bạn đã xác định.  Mạng ảo này gần giống với mạng truyền thống mà bạn sẽ vận hành trong trung tâm dữ liệu của riêng mình, với lợi ích của việc sử dụng cơ sở hạ tầng có thể mở rộng của AWS.

Tổng quan

Amazon Virtual Private Cloud (Amazon VPC) là dịch vụ cho phép bạn khởi chạy các tài nguyên AWS trong mạng ảo cô lập theo logic mà bạn xác định. Bạn có toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng kết nối mạng. Bạn có thể dùng cả IPv4 và IPv6 cho hầu hết các tài nguyên trong đám mây riêng ảo, giúp bảo mật nghiêm ngặt và truy cập dễ dàng các tài nguyên cũng như ứng dụng.

>> Migrate Server On-Primise lên AWS sử dụng Service CloudEndure Migration

>> Bảo vệ Tài khoản AWS của bạn thông qua tính năng Xác Thực Đa Nhân Tố MFA

Là một trong các dịch vụ nền tảng của AWS, Amazon VPC sẽ giúp bạn dễ dàng tùy chỉnh cấu hình mạng của VPC. Bạn có thể tạo một mạng con công khai cho các máy chủ web có quyền truy cập internet. Dịch vụ này cũng cho phép bạn đặt các hệ thống backend, như máy chủ ứng dụng hoặc cơ sở dữ liệu, trong mạng con riêng tư không có quyền truy cập internet. Với Amazon VPC, bạn có thể sử dụng nhiều lớp bảo mật, bao gồm các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào các phiên bản Amazon EC2 trong mỗi mạng con.

Thành phần của VPC

  1. A Virtual Private Cloud: Một mạng ảo được phân chia một cách logic trên đám mây AWS.
  2. Subnet:. Subnet là chỉ phân đoạn network nhỏ hơn khi mà bạn có VPC rồi chia nó ra thành những phần network nhỏ hơn để quản lý.
  3. Internet Gateway: Internet Gateway là thành phần VPC cho phép truyền tin giữa internet và instance của VPC.
  4. Route Table: Một bảng định tuyến bao gồm các rule được gọi là ‘route’, các route này sẽ giúp xác định đường đi của lưu lượng mạng ra vào. Mỗi subnet trong VPC của bạn sẽ được liên kết với một bảng định tuyến (route table), bảng định tuyến này sẽ quản lý route trong subnet. Một subnet chỉ có thể liên kế với 1 bảng định tuyến tại 1 thời điểm, nhưng chiều ngược lại bạn có thể liên kết nhiều subnet với 1 bảng định tuyến.
  5. NAT Gateway: Một dịch vụ Network Address Translation  (NAT) được quản lý, sẵn có cho các tài nguyên của bạn trong một Private subnet để truy cập Internet.
  6. Virtual private gateway: Kết nối VPN từ phía của Amazon.
  7. Peering Connection: Kết nối ngang hàng cho phép bạn định tuyến lưu lượng qua các địa chỉ Private IP giữa hai VPC ngang hàng. Nó là cơ chế để các instance của VPC sử dụng địa chỉ IP private có thể truyền tin tới các resource khác như là S3, RDS ...
  8. VPC Endpoints: Cho phép kết nối riêng tư với các dịch vụ được lưu trữ trong AWS, từ bên trong VPC của bạn mà không cần sử dụng Cổng Internet, VPN, thiết bị Network Address Translation  (NAT) hoặc proxy Firewall.
  9. Egress-only Internet Gateway: Một cổng kết nối trạng thái để cung cấp quyền truy cập duy nhất cho lưu lượng IPv6 từ VPC đến Internet.
  10. Security Group: Nhóm bảo mật hoạt động như một bức tường lửa cho các phiên bản Amazon EC2 được liên kết, kiểm soát cả lưu lượng truy cập vào và ra ở cấp phiên bản. Khi khởi chạy một phiên bản, bạn có thể liên kết nó với một hoặc nhiều nhóm bảo mật mà bạn đã tạo.  Mỗi phiên bản trong VPC của bạn có thể thuộc một nhóm bảo mật khác nhau.  Nếu bạn không chỉ định nhóm bảo mật khi khởi chạy một phiên bản, phiên bản đó sẽ tự động được liên kết với nhóm bảo mật mặc định cho VPC.
  11. Network Access Control Lists (ACLs): Danh sách kiểm soát truy cập mạng (ACL) là một lớp bảo mật tùy chọn cho VPC của bạn, hoạt động như một bức tường lửa để kiểm soát lưu lượng truy cập vào và ra khỏi một hoặc nhiều mạng con. Bạn có thể thiết lập ACL mạng với các quy tắc tương tự như các nhóm bảo mật của mình để thêm một lớp bảo mật bổ sung vào VPC của bạn.
  12. VPC CIDR Block: mỗi VPC được liên kết (associated) với một dải địa chỉ IP là một phần của Classless Inter-Domain Routing (CIDR) block mà được sử dụng để cấp phát ( hay phân bổ ) địa chỉ IP private đến EC2 Instances ,tất cả VPC mặc định sẽ được liên kết 1 dải địa chỉ 172.31.0.0/16 với IPv4 CIDR block

Các đặc tính của Amazon VPC

  • Kết nối trực tiếp Internet public từ lớp mạng public. Bạn có thể khởi tạo instance từ một subnet public có thể gửi và nhận dữ liệu trực tiếp với Internet.

  • Kết nối đến Internet Public thông qua NAT (private subnet). Nếu bạn chạy các Instance ở phía trong mạng nội bộ và có nhu cầu muốn truy xuất ra Internet public thì có thể định tuyến lưu lượng qua NAT Gateway ở lớp mạng public.

  • Kết nối an toàn tới trung tâm dữ liệu của bạn. Mọi lưu lượng vào và ra máy chủ Instance trong VPC có thể được định tuyến tới Data Center, hỗ trợ VPN phần cứng IPSec.

  • Kết nối riêng (private connect) giữa các VPC peer VPC giúp chia sẻ tài nguyên qua lớp mạng ảo hoá sở hữu của nhiều tài khoản AWS.

  • Kết nối riêng với các dịch vụ của AWS thông qua VPC Endpoint bao gồm các dịch vụ : S3, DynamoDB, Kinesis Streams, Service Catalog, AWS Systems Manager, Elastic Load Balancing (ELB) API, Amazon Elastic Compute Cloud (EC2) API và SNS.

  • Kết nối riêng (private connect) đến các giải pháp SaaS do AWS PrivateLink hỗ trợ.

  • Kết nối riêng (private connect) đến các dịch vụ nội bộ thông qua các tài khoản khác nhau và mô hình VPC khác trong hệ thống của tổ chức/doanh nghiệp của bạn nhằm giúp đơn giản hoá kiến trúc mạng nội bộ.

Các lợi ích khi sử dụng Amazon VPC

  • Kết nối mạng bảo mật và được giám sát: Amazon VPC mang đến các tính năng bảo mật nâng cao, cho phép bạn lọc lưu lượng đến và đi ở cấp độ mạng con và phiên bản. Ngoài ra, bạn có thể lưu trữ dữ liệu trong Amazon S3 và hạn chế quyền truy cập để chỉ có thể truy cập những dữ liệu này từ các phiên bản bên trong VPC. Amazon VPC cũng có các tính năng giám sát để bạn có thể thực hiện các chức năng như giám sát ngoài dải tần và kiểm tra lưu lượng nội tuyến, từ đó giúp sàng lọc và bảo mật lưu lượng truy cập.

  • Thiết lập và sử dụng đơn giản: Với quá trình thiết lập đơn giản của Amazon VPC, bạn không mất thời gian thiết lập, quản lý và xác thực, nhờ đó có thể tập trung xây dựng các ứng dụng chạy trong VPC của mình. Bạn có thể dễ dàng tạo VPC bằng cách dùng Bảng điều khiển quản lý AWS hoặc Giao diện dòng lệnh (CLI). Sau khi bạn chọn cách thiết lập mạng phù hợp nhất với nhu cầu từ các cách thiết lập thông dụng, VPC sẽ tự động tạo mạng con, dải IP, bảng định tuyến và nhóm bảo mật bạn cần.

  • Mạng ảo có thể tùy chỉnh: Với Amazon VPC, bạn có thể tạo dải Địa chỉ IP và mạng con của riêng mình, cũng như đặt cấu hình mạng bảng định tuyến cho mọi cổng sẵn có, nhờ đó quản lý tốt hơn mạng ảo của bạn. Bạn có thể tùy chỉnh cấu hình mạng bằng cách tạo mạng con hướng công khai cho các máy chủ web có quyền truy cập internet. Đặt các hệ thống backend (như máy chủ ứng dụng hoặc cơ sở dữ liệu) trong mạng con hướng riêng tư. Với Amazon VPC, bạn có thể đảm bảo rằng đám mây riêng ảo của mình được đặt cấu hình phù hợp với các nhu cầu kinh doanh cụ thể.

Use Cases

  • Lưu trữ trang web đơn giản: Bạn có thể giúp bảo vệ trang web bằng cách tạo các quy tắc nhóm bảo mật cho phép máy chủ web phản hồi các yêu cầu đến của HTTP và SSL từ Internet, đồng thời ngăn máy chủ web khởi tạo các kết nối đi đến Internet.

  • Lưu trữ các ứng dụng web nhiều tầng: Lưu trữ các ứng dụng web nhiều tầng và nghiêm túc thực thi các hạn chế truy cập cũng như bảo mật giữa các máy chủ web, máy chủ ứng dụng và cơ sở dữ liệu của bạn. Khởi chạy máy chủ web trong mạng con công khai dễ tiếp cận trong khi vận hành cơ sở dữ liệu và máy chủ ứng dụng trong mạng con riêng tư. Điều này sẽ đảm bảo rằng không ai có thể trực tiếp truy cập cơ sở dữ liệu và máy chủ ứng dụng từ Internet. Bạn kiểm soát truy cập giữa các máy chủ và mạng con bằng cách sử dụng tính năng lọc gói đến và đi do các danh sách kiểm soát truy cập mạng và các nhóm bảo mật cung cấp. 

  • Sao lưu và khôi phục dữ liệu sau thảm họa: Bằng cách sử dụng Amazon VPC để khôi phục sau thảm họa, chỉ với một mức chi phí nhỏ là bạn sẽ nhận được tất cả các lợi ích của một trang khôi phục sau thảm họa. Bạn có thể sao lưu theo định kỳ dữ liệu quan trọng từ trung tâm dữ liệu của mình vào một số phiên bản Amazon EC2 bằng ổ đĩa Amazon Elastic Block Store (EBS) hoặc nhập các hình ảnh máy ảo của bạn vào Amazon EC2. Để đảm bảo hoạt động kinh doanh liên tục, VPC cho phép bạn nhanh chóng khởi chạy dung lượng điện toán thay thế trong AWS. Khi thảm họa kết thúc, bạn có thể gửi dữ liệu quan trọng trở lại trung tâm dữ liệu và kết thúc các phiên bản Amazon EC2 mà bạn không còn cần nữa.

  • Mở rộng mạng công ty của bạn trên đám mây:  Di chuyển các ứng dụng của công ty lên đám mây, khởi chạy các máy chủ web bổ sung hoặc thêm dung lượng điện toán cho mạng bằng cách kết nối VPC với mạng của công ty bạn. Vì bạn có thể lưu trữ VPC phía sau tường lửa của công ty nên bạn có thể di chuyển liền mạch tài nguyên CNTT của mình vào đám mây mà không làm thay đổi cách người dùng truy cập vào các ứng dụng này. Ngoài ra, bạn còn có thể lưu trữ các mạng con VPC trong AWS Outposts. Đây là dịch vụ cung cấp các dịch vụ AWS, cơ sở hạ tầng và các mô hình hoạt động gốc cho hầu hết các trung tâm dữ liệu, không gian chung hoặc cơ sở tại chỗ. 

  • Kết nối an toàn các ứng dụng đám mây với trung tâm dữ liệu của bạn: Kết nối VPN IPsec giữa Amazon VPC và mạng công ty bạn sẽ mã hóa tất cả các giao tiếp giữa máy chủ ứng dụng trong đám mây và cơ sở dữ liệu trong trung tâm dữ liệu của bạn. Các máy chủ web và các máy chủ ứng dụng trong VPC của bạn có thể sử dụng tính co giãn của Amazon EC2 và các tính năng Auto Scaling để phát triển và thu hẹp lại khi cần.

Tags
Du học Ireland
Du học New Zealand
Bạn thấy bài viết này như thế nào?
3 reactions

Add new comment

About text formats

Restricted HTML

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

CÔNG TY DIỆT CHUỘT T&C

Diet con trung

Recent Posts

Tài liệu quảng cáo

Video quảng cáo

Bài viết liên quan

Khám phá FinOps

Khám phá FinOps - công nghệ đám mây

17 March 2024
Nhiều doanh nghiệp ngày nay lựa chọn chuyển sang công nghệ đám mây với hi vọng đạt được lợi thế cạnh tranh so với đối thủ nhờ tiềm năng về hiệu quả cao và tiết kiệm chi phí hơn của công nghệ này.
Microservices Roadmap

Microservices Roadmap

27 December 2023
- Kafka, RabbitMQ, Amazon SQS: Efficient and reliable message brokers for seamless communication between microservices.
The Data Analyst Roadmap

The Data Analyst Roadmap

25 December 2023
**Database Knowledge**: Gain proficiency in working with databases like MySQL, PostgreSQL, or MongoDB.
Architectural patterns in software design

Architectural patterns in software design

25 December 2023
Choose the architecture that aligns with your application's unique needs and goals. Each pattern offers a tailored approach to elevate your software system!
Exploring the Technological Marvel Behind Netflix

Exploring the Technological Marvel Behind Netflix

25 December 2023
Ever wondered about the tech wizardry that powers your binge-watching adventures on Netflix?