Lession 5: Networking on AWS
You've reached the end
Amazon VPC
Hãy tưởng tượng AWS Cloud là một tòa nhà văn phòng khổng lồ. Amazon VPC là căn phòng riêng mà bạn thuê trong tòa nhà đó — bạn kiểm soát hoàn toàn ai được vào, ai không, và nội thất bố trí thế nào.
Bên trong VPC, bạn chia tài nguyên thành các Subnet:
Loại Subnet | Đặc điểm | Ví dụ dùng cho |
|---|---|---|
Public Subnet | Kết nối được với internet qua Internet Gateway | Website, load balancer |
Private Subnet | Không truy cập trực tiếp từ internet | Database, dữ liệu khách hàng |
Các bước tạo VPC trong AWS Management Console
Tạo Amazon VPC — Chọn Region và xác định dải IP (CIDR block)
Tạo Subnet — Chia thành public và private, trải đều trên ít nhất 2 AZ để đảm bảo high availability
Gắn Internet Gateway & Route Table — Định tuyến traffic internet vào public subnet
Cấu hình bảo mật & thêm tài nguyên — Thiết lập Network ACL và Security Group, rồi triển khai EC2, database vào đúng subnet
2. 4 cách kết nối hạ tầng của bạn vào AWS
👤 AWS Client VPN
Kết nối nhân viên làm việc từ xa vào AWS Cloud hoặc mạng nội bộ. Tự động co giãn theo số lượng người dùng, không cần quản lý phần cứng.
Dành cho: Remote workers
AWS Site-to-Site VPN
Tạo đường hầm VPN mã hóa giữa datacenter / văn phòng chi nhánh và VPC của bạn trên AWS. Phù hợp để migrate ứng dụng hoặc kết nối nhiều văn phòng.
Dành cho: Branch office, datacenter
AWS PrivateLink
Kết nối riêng tư từ VPC của bạn đến dịch vụ AWS hoặc VPC khác — không qua internet public, không cần Internet Gateway hay NAT.
Dành cho: VPC-to-service, VPC-to-VPC
AWS Direct Connect
Đường kết nối vật lý riêng biệt giữa datacenter của bạn và AWS. Không dùng internet public — băng thông cao, độ trễ thấp và ổn định hơn.
Dành cho: High-bandwidth, latency-sensitive apps
"VPN là con đường bí mật trên xa lộ internet. Direct Connect là làn đường riêng, không bao giờ kẹt xe."
3. Bảo mật trong VPC — Network ACL vs Security Group
Khi một gói tin (packet) đi vào VPC, nó phải vượt qua hai lớp kiểm tra bảo mật:
Tính năng | Network ACL | Security Group |
|---|---|---|
Phạm vi | Cấp Subnet | Cấp EC2 Instance |
Trạng thái | Stateless — check cả 2 chiều, không nhớ gì | Stateful — nhớ kết nối, tự cho phép phản hồi |
Loại rule | Allow + Deny | Chỉ Allow |
Mặc định | Cho phép tất cả (default ACL) | Chặn inbound, cho phép outbound |
Dùng khi | Kiểm soát traffic rộng ở mức subnet | Kiểm soát chi tiết từng instance |
Lưu ý Shared Responsibility: Cấu hình Network ACL và Security Group là trách nhiệm của bạn, không phải AWS. Đây là phần "security IN the cloud" theo Shared Responsibility Model.
4. Edge Networking — Đưa nội dung lại gần người dùng
Amazon Route 53
DNS service — "cuốn danh bạ internet" chuyển domain name thành IP address. Hỗ trợ đăng ký tên miền, định tuyến thông minh và tự động scale.
Amazon CloudFront
CDN toàn cầu — cache hình ảnh, video, web content tại các Edge Location gần người dùng nhất. Tăng tốc độ load và giảm tải server gốc.
AWS Global Accelerator
Tạo "làn đường cao tốc riêng" trên mạng AWS global, định tuyến traffic thông minh giúp ứng dụng nhanh hơn và failover tự động khi sự cố.
Route 53 + CloudFront thường được dùng cùng nhau: Route 53 dịch domain → trỏ đến CloudFront distribution → CloudFront serve nội dung từ Edge Location gần nhất với người dùng.
Hết bài
Networking của AWS sẽ có rất nhiều components. Tuy nhiên cần các bạn nắm chắc về VPC, Subnet, ACL & Security Group. Những phần khác mình sẽ đào sâu thêm.
You've reached the end