Tổng quan VPC (Virtual private cloud)
- VPC (Virtual private cloud) giúp bạn tạo ra môi trường tách biệt giữa nhiều hệ thống khác nhau, giữa nhiều môi trường cùng hệ thống
- Bạn có thể toàn quyền quyết định môi trường ảo của bạn từ việc lựa chọn dải IP của riêng bạn, tạo các mạng con (Subnet),bảng định tuyến (route table) hay khả năng kết nối internet (Internet gateway, NAT)…
- Bạn cũng có thể dễ dàng thay đổi cấu hình VPC, tạo các mạng con có khả năng public ra môi trường internet cho web application, tạo các mạng riêng tư không có kết nối internet để đặt máy chủ database.
- Ngoài ra, bạn có thể cài đặt các lớp bảo vệ hạn chế truy cập, từ chối truy cập từ địa chỉ IP nào đó, hoặc chỉ địa chỉ IP nào đó được phép truy cập vào hệ thống của bạn.
- VPC gồm những gì
- Bản thân VPC chỉ có 1 thông tin quan trọng nhất là thông tin thiết lập dải mạng IP mà bạn chọn. Dải mạng này quyết định các IP của các dải mạng con sau này bạn sử dụng.
Subnet chia VPC thành những mạng con khác nhau, trong cùng 1 vpc bạn không được phép chia các Subnet có IP chồng chéo lên nhau. Việc chia để trị này giúp bạn quản lý dễ dàng hơn so với việc phải quản lý một mạng VPC lớn.
Các subnet thường chia thành 2 loại, 1 là public subnet, có quyền truy cập internet từ cả 2 chiều, 2 là private subnet, chỉ được phép truy cập internet từ 1 chiều từ subnet ra ngoài internet và không hỗ trợ chiều ngược lại.
Quyết định private subnet và và public subnet chính là do thông tin route table và internet gateway.
Internet gateway (IG) là một service của VPC, free, được gắn vào cùng VPC cho phép VPC được truy cập internet.
Việc gắn IG là tiền điều kiện, để 1 subnet có thể truy cập internet, bạn còn cần thiết lập thêm route table. Một Subnet là Public subnet khi được gắn route table có IG.
Vậy còn private subnet, một private subnet là 1 subnet không được phép truy cập từ ngoài internet. Vậy ta chỉ cần không gắn IG là được rồi. Thực ra là đúng, nhưng chưa đủ, vì nếu máy chủ của bạn call API từ 1 service bên ngoài hoặc cần update bản vá lối nào đó, hoặc cập nhật phần mềm thì phải làm như nào. Có khá nhiều giải pháp như việc bạn dùng thêm 1 máy chủ trong public subnet, dùng máy chủ này làm máy chủ trung gian cho phép gọi thông tin từ bên ngoài internet.
NAT Gateways cho phép subnet được quyền truy cập ra ngoài internet nhưng các yêu cầu từ bên ngoài internet trục tiếp vào subnet thì không thể. Nó là truy cập 1 chiều, không giống với IG là truy cập được từ cả 2 chiều ra và vào. NAT không được aws free, và mất phí nên các bạn cân nhắc khi sử dụng NAT.
Vừa nói về Public subnet và private subnet rồi phải không, và đây là phần giúp chúng ta định nghĩa được subnet được truy cập IG hay NAT hay không đây này.
Route table giống như 1 bảng chỉ đường, chỉ cho những kết nối tới vị trí cần thiết thì cần phải đi đường nào. Trong hệ thống ứng dụng lớn, Route table có tác dụng rất lớn trong việc chỉ các kết nối tới đúng vị trí résource cần thiết trong hệ thống mạng
Security Group là một tường lửa ảo (Virtual Firewall) để điều khiển cơ chế truy cập vào máy ảo. Khi khởi tạo 1 máy ảo, bạn cần chỉ ra 1 hoặc nhiều security group. Và sau khi tạo 1 máy ảo bạn có thể thay đổi Security Group đó.
Elastic IP là dịch vụ cung cấp IP tĩnh.
Bài viết này có hữu ích không?
Thật tuyệt!
Cám ơn phản hồi của bạn
Rất tiếc là chúng tôi không giúp được nhiều!
Cám ơn phản hồi của bạn
Đã gửi phản hồi
Chúng tôi đánh giá cao nỗ lực của bạn và sẽ cố gắng sửa bài viết