Tìm hiểu về VPC - oPhamThiDao/Devops GitHub Wiki

Virtual private cloud (VPC) là gì?

Cloud (đám mây) là những Data Center (trung tâm dữ liệu) được tạo bởi Computing Storage và được liên kết bởi một mạng lưới.

Nhưng điều gì đã làm cho các Data Center thành một Cloud?

Đó là những tài nguyên này được ảo hóa và liên kết thành một tài nguyên khổng lồ có thể tổ chức thông tin một cách thông minh hơn và tự động hóa hơn rất nhiều. Ngày nay, Cloud trở nên rất thông minh, tự động hóa và dễ dàng đáp ứng.

Vậy Virtual private cloud là gì ?

Đó là việc tách ra hay cô lập một phần Cloud từ một Cloud công cộng. Hay nói cách khác VPC là một nhóm tài nguyên máy tính dùng chung có thể cấu hình theo yêu cầu phân bổ trong Cloud công cộng, cung cấp một mức độ cô lập nhất định giữa các tổ chức khác nhâu khi sử dụng tài nguyên.

Virtual Private Cloud cho phép một doanh nghiệp khai thác các lợi ích của các máy chủ đám mây riêng, chẳng hạn như kiểm soát mạng chi tiết hơn, trong khi không phải đầu tư xây dựng một hệ thống thiết bị dùng riêng mà vẫn sử dụng được tài nguyên trên hạ tầng điện toán đám mây công cộng.

Virtual Private Cloud là một trong những thành phần quan trọng của hệ thống Cloud AWS, bởi VPC là lớp kết nối mạng cho Amazon EC2 (còn EC2 là gì mình sẽ giới thiệu ở bài viết sau). Vì vậy bạn cần học cách làm chủ Amazon VPC để có thể thiết kế được một sơ đồ mạng hợp lý cho các dịch vụ và ứng dụng của bạn theo cách bảo mật cũng như tối ưu nhất.

Amazon VPC là gì?

Amazon Virtual Private Cloud (Amazon VPC) cho phép bạn cung cấp một phần AWS Cloud bị cô lập một cách hợp lý, nơi bạn có thể khởi chạy các tài nguyên AWS trong một mạng ảo do bạn xác định. Bạn có toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng kết nối mạng. Bạn có thể sử dụng cả IPv4 và IPv6 trên VPC để truy cập tài nguyên và ứng dụng một cách bảo mật và dễ dàng.

800px-Virtual_Private_Cloud_(VPC) svg

Bạn có thể dễ dàng tùy chỉnh cấu hình mạng của Amazon VPC.

Ví dụ: Bạn có thể tạo một mạng con công khai cho các máy chủ web có quyền truy cập internet. Bạn cũng có thể đặt các hệ thống backend, như máy chủ ứng dụng hoặc cơ sở dữ liệu, trong mạng con riêng tư không có quyền truy cập internet. Bạn có thể sử dụng nhiều lớp bảo mật, bao gồm các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào các phiên bản Amazon EC2 trong mỗi mạng con.

Ngoài ra, bạn có thể tạo kết nối Mạng riêng ảo phần cứng (VPN) giữa trung tâm dữ liệu của doanh nghiệp và VPC của bạn đồng thời tận dụng AWS Cloud như một phần mở rộng trong trung tâm dữ liệu doanh nghiệp của mình.

Lợi ích

subnets-diagram

Bảo mật

Amazon VPC cung cấp các tính năng bảo mật tiên tiến, chẳng hạn như các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để cho phép lọc nội dung đến và đi ở cấp độ phiên bản và mạng con. Ngoài ra, bạn có thể lưu trữ dữ liệu trong Amazon S3 và hạn chế quyền truy cập để chỉ có thể truy cập những dữ liệu này từ các phiên bản bên trong VPC. Để bảo mật hơn nữa, bạn có thể tạo phiên bản chuyên dụng được cách ly về mặt vật lý với các tài khoản AWS khác, ở cấp độ phần cứng.

Đơn giản

Tạo VPC nhanh chóng và dễ dàng sử dụng Bảng điều khiển quản lý AWS. Chọn từ các thiết lập mạng phổ biến và tìm kết quả phù hợp nhất với nhu cầu của bạn. Mạng con, dải IP, bảng định tuyến và nhóm bảo mật được tạo tự động. Bạn cần ít thời gian hơn để thiết lập và quản lý, nên có thể tập trung vào việc xây dựng các ứng dụng chạy trong VPC.

Có thể tùy chỉnh

Kiểm soát môi trường mạng ảo của bạn, bao gồm lựa chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng kết nối mạng. Tùy chỉnh cấu hình mạng, chẳng hạn như tạo một mạng con công khai cho máy chủ web có quyền truy cập vào Internet và đưa các hệ thống backend như máy chủ ứng dụng hoặc cơ sở dữ liệu vào mạng con riêng tư không có quyền truy cập Internet.

Tính năng

virtual-private-gateway-diagram

Có nhiều lựa chọn kết nối cho Amazon VPC của bạn. Bạn có thể kết nối VPC với Internet, trung tâm dữ liệu hoặc các VPC khác dựa trên tài nguyên AWS mà bạn muốn tiết lộ công khai và tài nguyên bạn muốn giữ bí mật.

  • Kết nối trực tiếp với Internet (mạng con công khai) – Bạn có thể khởi chạy các phiên bản trong một mạng con có thể truy cập công khai, nơi các phiên bản đó gửi và nhận lưu lượng truy cập từ Internet.

  • Kết nối với Internet bằng cách sử dụng Chuyển đổi địa chỉ mạng (các mạng con riêng) – Có thể sử dụng các mạng con riêng cho những phiên bản mà bạn không muốn định địa chỉ trực tiếp từ Internet. Các phiên bản trong một mạng con riêng có thể truy cập vào Internet mà không phải tiết lộ địa chỉ IP riêng bằng cách định tuyến lưu lượng truy cập thông qua cổng Chuyển đổi địa chỉ mạng (NAT) trong một mạng con công khai.

  • Kết nối an toàn với trung tâm dữ liệu của công ty – Tất cả lưu lượng truy cập đến và từ các phiên bản trong VPC của bạn có thể được định tuyến đến trung tâm dữ liệu của công ty qua một chuẩn ngành, kết nối VPN phần cứng IPsec đã mã hóa.

  • Kết nối riêng với các VPC khác – Các VPC ngang hàng sẽ cùng chia sẻ tài nguyên qua nhiều mạng ảo thuộc sở hữu của tài khoản AWS của bạn hoặc các tài khoản AWS khác.

  • Kết nối riêng với các dịch vụ của AWS mà không cần sử dụng cổng Internet, NAT hoặc proxy tường lửa thông qua điểm cuối VPC. Các dịch vụ AWS hiện có bao gồm S3, DynamoDB, Kinesis Streams, Service Catalog, EC2 Systems Manager (SSM), API Elastic Load Balancing (ELB) và API Amazon Elastic Compute Cloud (EC2) và SNS.

  • Kết nối riêng với các giải pháp SaaS do AWS PrivateLink hỗ trợ.

  • Kết nối riêng các dịch vụ nội bộ của bạn qua các tài khoản và VPC khác nhau trong tổ chức của riêng bạn nhằm đơn giản hóa đáng kể cấu trúc mạng nội bộ.

Các thành phần cốt lõi của VPC

vpc-endpoint

  • Subnet: là một dải địa chỉ IP trong VPC của bạn. Bạn có thể khởi tạo tài nguyên AWS với một Subnet chỉ định. Ví dụ sử dụng public subnet để các dịch vụ của bạn truy cập được Internet, còn thì sử dụng Private Subnet để các dịch vụ của bạn trong lớp mạng nội bộ bảo mật không truy cập Internet.
  • Internet Gateway: Internet Gateway cho phép bạn tạo một subnet public có route kết nối ra Internet public. Tất cả Instance sẽ kết nối Internet public qua Gateway này.
  • Security Group: là lớp bảo mật đầu tiên dành cho các Instance, hoạt động như một ảo firewall và bạn sẽ phải định nghĩa rule firewall trước khi traffic ra vào Instance.
  • Route Table: Một bảng định tuyến bao gồm các rule được gọi là ‘route’, các route này sẽ giúp xác định đường đi của lưu lượng mạng ra vào. Mỗi subnet trong VPC của bạn sẽ được liên kết với một bảng định tuyến (route table), bảng định tuyến này sẽ quản lý route trong subnet. Một subnet chỉ có thể liên kế với 1 bảng định tuyến tại 1 thời điểm, nhưng chiều ngược lại bạn có thể liên kết nhiều subnet với 1 bảng định tuyến.
  • Network Access Control Lists (ACLs) : là một lớp bảo mật hoạt động không khác như một firewall giúp bạn kiểm soát lưu lượng ra vào của một hoặc nhiều Subnet khác nhau. Bạn có thể sẽ cấu hình Network ACL
  • VPC CIDR Block : mỗi VPC được liên kết (associated) với một dải địa chỉ IP là một phần của Classless Inter-Domain Routing (CIDR) block mà được sử dụng để cấp phát ( hay phân bổ ) địa chỉ IP private đến EC2 Instances ,tất cả VPC mặc định sẽ được liên kết 1 dải địa chỉ 172.31.0.0/16 với IPv4 CIDR block

Chi phí sử dụng Amazon VPC

Việc sử dụng Amazon VPC là không mất phí nhưng bạn sẽ phải trả mức giá tiêu chuẩn cho các instance và các tính năng khác của Amazon EC2 mà bạn sử dụng. Có các khoản phí khi sử dụng kết nối VPN Site-to-Site, PrivateLink, Traffic Mirroring và cổng NAT. Để biết thêm thông tin, xem các trang giá sau:

Tổng Kết

Ở bài viết này mình mới chỉ giới thiều qua các khái niệm về VPC, Amazon VPC, ở bài tiếp theo sẽ trình bày cách hoạt động của VPC.

Tài liệu: https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html