Get in touch
or send us a question?
CONTACT

[AWS Series] Unit 3: Amazon VPC

Table of contents

1. Giới thiệu Amazon VPC

2. Lợi ích

3. Tính năng

4. Trường hợp sử dụng

=======

1. Giới thiệu Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) cho phép bạn cung cấp một phần AWS Cloud bị cô lập một cách hợp lý, nơi bạn có thể khởi chạy các tài nguyên AWS trong một mạng ảo do bạn xác định. Bạn có toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa chọn phạm vi địa chỉ IP, tạo các mạng con và cấu hình các bảng định tuyến và cổng kết nối mạng. Bạn có thể sử dụng cả IPv4 và IPv6 trong VPC để truy cập an toàn và dễ dàng vào tài nguyên và ứng dụng.

Bạn có thể dễ dàng tùy chỉnh cấu hình mạng cho Amazon VPC. Ví dụ: bạn có thể tạo một mạng con công khai cho máy chủ web có quyền truy cập vào Internet và đặt các hệ thống phụ trợ như máy chủ cơ sở dữ liệu hoặc ứng dụng trong mạng con riêng mà không có quyền truy cập Internet. Bạn có thể tận dụng nhiều lớp bảo mật, bao gồm các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào các phiên bản Amazon EC2 trong mỗi mạng con.

Ngoài ra, bạn có thể tạo kết nối Mạng riêng ảo phần cứng (VPN) giữa trung tâm dữ liệu của doanh nghiệp và VPC của bạn đồng thời tận dụng AWS Cloud như một phần mở rộng trong trung tâm dữ liệu doanh nghiệp của mình.

2. Lợi ích

+ Bảo mật

Amazon VPC cung cấp các tính năng bảo mật tiên tiến, chẳng hạn như các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để cho phép lọc nội dung đến và đi ở cấp độ phiên bản và mạng con. Ngoài ra, bạn có thể lưu trữ dữ liệu trong Amazon S3 và hạn chế quyền truy cập để chỉ có thể truy cập những dữ liệu này từ các phiên bản trong VPC. Bạn cũng có thể tùy ý chọn khởi chạy Các phiên bản chuyên dụng chạy trên phần cứng dành riêng cho một khách hàng nhằm mục đích cô lập thêm.

+ Tính đơn giản

Bạn có thể tạo VPC nhanh chóng và dễ dàng bằng cách sử dụng Bảng điều khiển quản lý AWS. Bạn có thể chọn một trong những thiết lập mạng phổ biến phù hợp nhất với nhu cầu của mình rồi nhấn “Bắt đầu trình hướng dẫn VPC”. Mạng con, phạm vi IP, bảng định tuyến và nhóm bảo mật được tạo tự động cho bạn để bạn có thể tập trung vào việc tạo các ứng dụng cần chạy trong VPC của mình.

+ Khả năng mở rộng và độ tin cậy của AWS

Amazon VPC mang lại tất cả những lợi ích tương tự như phần còn lại của nền tảng AWS. Bạn có thể lập tức mở rộng hoặc thu hẹp tài nguyên của mình, chọn các loại và kích cỡ phiên bản Amazon EC2 thích hợp cho các ứng dụng và chỉ phải trả tiền cho các tài nguyên mà mình sử dụng – tất cả trong cơ sở hạ tầng đã được chứng minh của Amazon.

3. Tính năng

Nhiều lựa chọn kết nối

Có nhiều lựa chọn kết nối cho Amazon VPC của bạn. Bạn có thể kết nối VPC với Internet, trung tâm dữ liệu hoặc các VPC khác dựa trên tài nguyên AWS mà bạn muốn tiết lộ công khai và tài nguyên bạn muốn giữ bí mật.

Kết nối trực tiếp với Internet (mạng con công khai) – Bạn có thể khởi chạy các phiên bản trong một mạng con có thể truy cập công khai, nơi các phiên bản đó gửi và nhận lưu lượng truy cập từ Internet.

Kết nối với Internet bằng cách sử dụng Chuyển đổi địa chỉ mạng (các mạng con riêng) – Có thể sử dụng các mạng con riêng cho những phiên bản mà bạn không muốn định địa chỉ trực tiếp từ Internet. Các phiên bản trong một mạng con riêng có thể truy cập vào Internet mà không phải tiết lộ địa chỉ IP riêng bằng cách định tuyến lưu lượng truy cập thông qua cổng Chuyển đổi địa chỉ mạng (NAT) trong một mạng con công khai.

Kết nối an toàn với trung tâm dữ liệu của công ty – Tất cả lưu lượng truy cập đến và từ các phiên bản trong VPC của bạn có thể được định tuyến đến trung tâm dữ liệu của công ty qua một chuẩn ngành, kết nối VPN phần cứng IPsec đã mã hóa.

Kết nối riêng với các VPC khác – Các VPC ngang hàng sẽ cùng chia sẻ tài nguyên qua nhiều mạng ảo thuộc sở hữu của tài khoản AWS của bạn hoặc các tài khoản AWS khác.

Kết nối riêng với các dịch vụ của AWS mà không cần sử dụng cổng Internet, NAT hoặc proxy tường lửa thông qua điểm cuối VPC. Các dịch vụ AWS hiện có bao gồm S3, DynamoDB, Kinesis Streams, Service Catalog, EC2 Systems Manager (SSM), API Elastic Load Balancing (ELB) và API Amazon Elastic Compute Cloud (EC2) và SNS.

Kết nối riêng với các giải pháp SaaS do AWS PrivateLink hỗ trợ.

Kết nối riêng các dịch vụ nội bộ của bạn qua các tài khoản và VPC khác nhau trong tổ chức của riêng bạn nhằm đơn giản hóa đáng kể cấu trúc mạng nội bộ.

4. Trường hợp sử dụng

+ Lưu trữ trang web đơn giản công khai

Bạn có thể lưu trữ ứng dụng web cơ bản, chẳng hạn như blog hoặc một trang web đơn giản trong VPC đồng thời nhận thêm các lớp riêng tư và bảo mật do Amazon VPC cung cấp. Bạn có thể giúp bảo vệ trang web bằng cách tạo các quy tắc nhóm bảo mật cho phép máy chủ web phản hồi các yêu cầu HTTP và SSL đến từ Internet đồng thời ngăn máy chủ web khởi tạo các kết nối đi đến Internet. Bạn có thể tạo một VPC hỗ trợ trường hợp sử dụng này bằng cách chọn “VPC với duy nhất một mạng con công khai” từ trình hướng dẫn cho bảng điều khiển Amazon VPC.

+ Lưu trữ các ứng dụng web nhiều tầng

Bạn có thể sử dụng Amazon VPC để lưu trữ các ứng dụng web nhiều lớp và thực thi chặt chẽ các hạn chế truy cập cũng như bảo mật giữa các máy chủ web, máy chủ ứng dụng và cơ sở dữ liệu của mình. Bạn có thể khởi chạy các máy chủ web trong mạng con có khả năng truy cập công khai, máy chủ ứng dụng và cơ sở dữ liệu trong các mạng con không thể truy cập công khai. Bạn không thể truy cập trực tiếp các máy chủ ứng dụng và cơ sở dữ liệu từ Internet, tuy nhiên chúng vẫn có thể truy cập Internet qua cổng NAT để tải các bản vá. Bạn có thể kiểm soát truy cập giữa các máy chủ và mạng con bằng cách sử dụng tính năng lọc gói đến và đi do các danh sách điều khiển truy cập mạng và các nhóm bảo mật cung cấp. Để tạo VPC hỗ trợ trường hợp sử dụng này, bạn có thể chọn “VPC có mạng con công khai và riêng tư” trong trình hướng dẫn cho bảng điều khiển Amazon VPC.

+ Lưu trữ các ứng dụng web mở rộng trong đám mây AWS được kết nối với trung tâm dữ liệu của bạn

Bạn có thể tạo một VPC bao gồm các phiên bản trong một mạng con, chẳng hạn như các máy chủ web, giao tiếp với Internet trong khi các phiên bản ở trong một mạng con khác, chẳng hạn như các máy chủ ứng dụng lại giao tiếp với các cơ sở dữ liệu trong mạng công ty của bạn. Kết nối VPN IPsec giữa VPC và mạng công ty của bạn giúp đảm bảo an toàn cho tất cả các giao tiếp giữa máy chủ ứng dụng trong đám mây và cơ sở dữ liệu trong trung tâm dữ liệu của bạn. Các máy chủ web và các máy chủ ứng dụng trong VPC của bạn có thể sử dụng tính linh hoạt của Amazon EC2 và các tính năng Tự động thay đổi quy mô để phát triển và thu hẹp lại khi cần. Bạn có thể tạo một VPC để hỗ trợ trường hợp sử dụng này bằng cách chọn “VPC có mạng con công khai và riêng tư cùng Truy cập VPN phần cứng” trong trình hướng dẫn cho bảng điều khiển Amazon VPC.

Mở rộng mạng công ty của bạn trên đám mây

Bạn có thể di chuyển các ứng dụng của công ty lên đám mây, khởi chạy các máy chủ web bổ sung hoặc thêm khả năng tính toán cho mạng bằng cách kết nối VPC với mạng công ty của bạn. Vì bạn có thể lưu trữ VPC phía sau tường lửa của công ty nên bạn có thể di chuyển tài nguyên CNTT của mình vào đám mây liền mạch mà không làm thay đổi cách người dùng truy cập vào các ứng dụng này. Bạn có thể chọn “VPC chỉ có mạng con riêng tư và Truy cập VPN phần cứng” từ trình hướng dẫn dành cho bảng điều khiển Amazon VPC để tạo VPC hỗ trợ trường hợp sử dụng này.

+ Khôi phục dữ liệu sau thảm họa

Bạn có thể định kỳ sao lưu dữ liệu nhiệm vụ quan trọng từ trung tâm dữ liệu của mình vào một số máy ảo Amazon EC2 bằng ổ đĩa Amazon Elastic Block Store (EBS) hoặc nhập các hình ảnh máy ảo của bạn vào Amazon EC2. Trong trường hợp xảy ra thảm họa với trung tâm dữ liệu, bạn có thể nhanh chóng khởi động dung lượng tính toán thay thế trong AWS để đảm bảo hoạt động kinh doanh liên tục. Khi thảm họa kết thúc, bạn có thể gửi dữ liệu quan trọng của mình đến trung tâm dữ liệu và kết thúc các máy ảo Amazon EC2 mà bạn không còn cần nữa. Bằng cách sử dụng Amazon VPC để khôi phục dữ liệu sau thảm họa, bạn có thể nhận được tất cả các lợi ích của một trang khôi phục sau thảm họa bằng một phần nhỏ mức chi phí bình thường.

Hang in there, don’t give up!