Amazon VPC là gì? Thông tin chi tiết từ A – Z

Không có phản hồi

Khi bắt đầu tìm hiểu về điện toán đám mây AWS, kiến thức đầu tiên và nền tảng nhất mà bất cứ kỹ sư nào cũng phải nắm vững chính là mạng (Networking).

Thay vì đi theo trình tự lý thuyết khô khan, trong bài viết này, CodeStar Academy sẽ tổng hợp lại những tính năng cốt lõi và các “mẹo” thực tế về Amazon VPC. Đây là những điểm cực kỳ hữu dụng không chỉ giúp bạn làm chủ kiến trúc bảo mật trên AWS phục vụ công việc, mà còn là “cứu cánh” ăn điểm trong các bài thi chứng chỉ AWS (như Solutions Architect hay SysOps).

Amazon VPC là gì?

Amazon VPC (Virtual Private Cloud – Đám mây riêng ảo) là một dịch vụ mạng ảo cô lập, hoạt động như một “trung tâm dữ liệu ảo” nằm trong hạ tầng đám mây công cộng của AWS.

Nói một cách dễ hiểu, VPC cho phép bạn khởi chạy các tài nguyên (như máy chủ EC2, database RDS) trong một vùng mạng riêng tư do chính bạn định nghĩa. Bạn nắm toàn quyền kiểm soát “ngôi nhà” của mình: từ việc chia dải IP, tạo subnet, thiết lập đường đi (bảng định tuyến) cho đến các cổng kết nối. Không có VPC, bạn không thể xây dựng một hệ thống bảo mật đúng nghĩa trên AWS.

Các “Mảnh ghép” cơ bản tạo nên kiến trúc VPC

Để thành thạo VPC, bạn cần nắm rõ bộ 3 thành phần sau:

  • Subnets (Mạng con): Dùng để chia nhỏ không gian mạng VPC.
    • Public Subnet: Có thể truy cập trực tiếp từ Internet (thường dùng để đặt Web Server, Load Balancer).
    • Private Subnet: Mạng nội bộ, cách ly hoàn toàn với Internet (bắt buộc phải dùng để đặt Database, Backend nhằm đảm bảo bảo mật).
  • Route Tables (Bảng định tuyến): Bộ quy tắc giao thông quy định đường đi của lưu lượng mạng (traffic) giữa các subnet và ra bên ngoài.
  • Internet Gateway (IGW): Cổng kết nối gắn vào VPC, cho phép các tài nguyên trong Public Subnet giao tiếp với thế giới Internet.

>> Xem thêm: Route 53 là gì?

Hệ thống Bảo mật: Phân biệt Security Group & NACLs

Đây là hai lớp tường lửa bảo mật kiểm soát truy cập vào/ra. Rất nhiều bạn học viên tại CodeStar hay nhầm lẫn phần này, và đây cũng là phần cực kỳ hay thi:

NACLs (Network Access Control Lists):

  • Vị trí: Bảo vệ ở cấp độ Subnet (kiểm soát toàn bộ 1 mạng con).
  • Cơ chế:Stateless (Không lưu trạng thái). Mẹo: Nếu request đi vào được phép, bạn vẫn phải tự tay tạo rule để cho phép response phản hồi đi ra.
  • Đặc điểm thi: Chứa danh sách các quy tắc đánh số thứ tự (số nhỏ ưu tiên trước).
  • Bí kíp thực chiến: Để Block (chặn) dứt điểm một địa chỉ IP lạ tấn công hệ thống, bạn BẮT BUỘC phải dùng NACLs chứ không dùng Security Group.

Security Group (SG):

  • Vị trí: Bảo vệ ở cấp độ Instance (Bảo vệ từng máy chủ EC2, RDS…).
  • Cơ chế:Stateful (Lưu trạng thái). Nếu request đi vào được phép, response trả về sẽ tự động được đi ra.

Các tính năng mở rộng & Kết nối bắt buộc phải nhớ

NAT (Network Address Translation)

Giúp các instance nằm sâu trong Private Subnet có thể kết nối ra Internet (để tải bản cập nhật, cài đặt package) nhưng chặn đứng mọi nỗ lực kết nối ngược lại từ Internet vào trong.

  • Note đi thi: NAT bắt buộc phải đặt trong Public Subnet. AWS có NAT Gateway (AWS quản lý) và NAT Instance. Thực tế luôn ưu tiên dùng NAT Gateway.
  • Note thực chiến: Để tránh lỗi hệ thống toàn diện, không dùng 1 NAT Gateway chung cho nhiều AZs. Hãy tạo NAT riêng cho từng AZ để đảm bảo High Availability (HA).

VPC Peering (Kết nối các VPC)

Cho phép kết nối 2 VPC lại với nhau, giao tiếp qua IP Private như thể đang nằm trong cùng một mạng.

  • Câu thần chú khi đi thi: NO TRANSITIVE PEERING (Không có tính chất bắc cầu). Nếu A peer với B, B peer với C, thì A và C KHÔNG thể gọi nhau (trừ khi tạo peer trực tiếp A-C).

VPC Endpoints

Giải pháp “đi đêm” an toàn. Giúp các máy chủ trong VPC kết nối đến các dịch vụ AWS khác (như S3, DynamoDB) qua mạng nội bộ AWS mà không cần đi vòng ra Internet hay qua NAT/VPN.

VPC Flow Logs

“Camera an ninh” ghi lại toàn bộ lưu lượng mạng (traffic) đến và đi trong VPC, hiển thị trên CloudWatch Logs.

  • Ghi nhớ: Flow log không theo dõi các traffic đặc thù như: Traffic tới DNS server của AWS, traffic đồng bộ thời gian (169.254.169.123), hay các IP dự trữ của AWS (10.0.0.x). Không thể thay đổi cấu hình Flow Logs sau khi đã tạo.

Giải pháp kết nối doanh nghiệp (Hybrid Cloud)

  • VPN: Kết nối mạng nội bộ công ty (On-premises) với VPC qua Internet có mã hóa.
  • AWS Direct Connect: Cáp quang vật lý kéo trực tiếp từ Data Center của bạn đến AWS. Phù hợp cho doanh nghiệp cần tốc độ cao, băng thông lớn, cực kỳ ổn định.
  • Bastion Host (Jump Box): Máy chủ trung gian siêu bảo mật đặt ở Public Subnet. Admin sẽ SSH/RDP vào đây trước, rồi mới “nhảy” vào cấu hình các máy chủ bên trong Private Subnet.

Bứt phá kỹ năng Điện toán đám mây cùng CodeStar Academy!

Bạn thấy đấy, VPC nói riêng và hệ sinh thái AWS nói chung sở hữu lượng kiến thức vô cùng đồ sộ. Việc tự tìm hiểu qua các bài viết đôi khi sẽ khiến bạn bối rối vì không biết bắt đầu từ đâu, cấu trúc hệ thống sao cho chuẩn Best Practices của AWS, hay làm thế nào để vận dụng vào dự án thực tế của doanh nghiệp.

Để giúp bạn tiết kiệm thời gian, học đúng trọng tâm và tự tin chinh phục chứng chỉ quốc tế, CodeStar Academy tự hào mang đến Khóa học AWS.

Tại sao nên học AWS tại CodeStar?

  • Thực hành trên Lab thật: Xây dựng trực tiếp kiến trúc mạng VPC, tự tay triển khai hệ thống chuẩn bảo mật ngay trên tài khoản AWS thật.
  • Giáo trình bài bản: Hệ thống hóa lại toàn bộ kiến thức từ cơ bản đến nâng cao, đi kèm các mẹo luyện thi “đánh đâu trúng đó”.
  • Mentor giàu kinh nghiệm: Đội ngũ chuyên gia (AWS Certified) trực tiếp cầm tay chỉ việc, chia sẻ case-study từ các dự án “nghìn đô” thực tế.
  • Cam kết hỗ trợ: Đồng hành cùng học viên từ lúc học, làm dự án cuối khóa cho đến khi lấy được chứng chỉ và kết nối việc làm.

Đừng để những khái niệm mạng làm khó bạn! Đăng ký ngay để nhận lộ trình học tập miễn phí và ưu đãi hấp dẫn tháng này

CodeStar Academy – Nơi khởi đầu cho sự nghiệp Cloud Engineer vững chắc của bạn!