Amazon Virtual Private Cloud (Amazon VPC) dịch theo nghĩa đen là “Đám mây Riêng tư Ảo” là một mạng ảo tùy chỉnh nằm bên trong AWS Cloud và tách biệt (hoặc cô lập) mạng Ảo của riêng bạn với toàn bộ thế giới bên ngoài. Khái niệm này tương tự như việc thiết kế và triển khai một mạng độc lập riêng biệt mà hoạt động trong một trung tâm dữ liệu on-premise, loại hình vẫn còn rất phổ biến hiện nay tại Việt Nam.

Bên trong VPC tùy chỉnh đó, bạn có toàn quyền kiểm kiểm soát môi trường mạng ảo của mình, nghĩa là vừa có khả năng khởi tạo và chạy các tài nguyên AWS, vừa có thể lựa chọn phạm vi địa chỉ IP, tạo các mạng con và cấu hình các bảng định tuyến và cổng kết nối mạng. Bạn có thể sử dụng cả IPv4 và IPv6 để truy cập an toàn và dễ dàng vào tài nguyên và ứng dụng trong VPC. Region là khái niệm mô tả một trung tâm dữ liệu cực lớn của AWS đặt tại một vùng lãnh thổ nhất định. Trong một region, ta có thể tạo ra nhiều VPC và mỗi VPC được phân biệt nhau bởi những dải không gian địa chỉ IP khác nhau. Ta chỉ định phạm vi địa chỉ IPv4 bằng cách lựa chọn a Classless Inter-Domain Routing (CIDR), chẳng hạn như 10.0.0.0/16. Phạm vi địa chỉ của Amazon VPC không thể thay đổi sau khi nó đã được tạo. Phạm vi địa chỉ Amazon VPC có thể lớn bằng /16 (tức 65536 địa chỉ khả dụng) hoặc nhỏ bằng /28 (tức 16 địa chỉ khả dụng) và chúng không được phép trùng với bất kỳ mạng nào khác mà chúng sẽ được kết nối tới. Dịch vụ Amazon VPC được ra mắt sau dịch vụ Amazon EC2, vì vậy mà có thời điểm AWS cung cấp hai nền tảng mạng khác nhau đó là EC2-Classic và EC2-VPC. EC2-Classic là nền tảng mạng đầu tiên, trong đó tất cả Amazon EC2 được tạo ra đều nằm trong một mạng phẳng duy nhất, chia sẻ kết nối giữa các khách hàng của AWS. Cho tới tháng 12 năm 2013, AWS chỉ còn hỗ trợ EC2-VPC với VPC mặc định được tạo ra ở mỗi Region cùng một subnet mặc định với CIDR block có giá trị là 172.31.0.0/16.

Một Amazon VPC bao gồm các thành phần sau:

• Subnets
• Route tables
• Internet gateways
• Egress-only internet gateways
• DHCP option sets
• Elastic IPs
• Managed prefix lists
• Endpoints
• Endpoint services
• NAT gateways
• Peering connections

Subnet

Subnet là một phân đoạn của dải địa chỉ IP Amazon VPC, cung cấp trực tiếp dải mạng hoạt động cho các tài nguyên AWS có thể chạy bên trong nó như Amazon EC2, Amazon RDS (CSDL Quan hệ Amazon),… Các subnet cũng được xác định thông qua CIDR block (ví dụ: 10.0.1.0/24 và 192.168.0.0/24) và bắt buộc các CIDR của subnet phải nằm trong CIDR của VPC. Subnet nhỏ nhất có thể tạo được là /28 (16 địa chỉ IP). AWS lưu trữ 4 địa chỉ IP đầu tiên và 1 địa chỉ IP cuối cùng của mỗi subnet cho các mục đích kết nối mạng nội bộ. Ví dụ: subnet /28 có 16 địa chỉ IP khả dụng, nhưng loại bỏ 5 reserved IP cho AWS, như vậy còn lại 11 địa chỉ IP có thể sử dụng cho các tài nguyên hoạt động bên trong subnet này.

Availability Zone hay được viết tắt thành AZ là một trung tâm dữ liệu con, nằm bên trong Region và được xác định dựa treo vị trí địa lý. Bên trong AZ có thể có một hoặc nhiều subnet, nhưng một subnet chỉ có thể nằm trong duy nhất một AZ mà không thể mở rộng sang AZ khác.

Các subnet được chia thành các loại như Public, Private, hoặc VPN-only.

• Public subnet là subnet có route table điều hướng lưu lượng truy cập bên trong subnet đi tới VPC IGW (cũng sẽ thảo luận sau)
• Private subnet thì ngược lại với Public subnet, nó không có route table điều hướng lưu lượng truy cập tới VPC IGW.
• VPN-only subnet là subnet mà có route table điều hướng lưu lượng truy cập tới VPG của Amazon VPC.

Bất kể loại mạng con nào, dải địa chỉ IP nội bộ của subnet luôn là private (nghĩa là từ bên ngoài Internet không thể kết nối trực tiếp tới các địa chỉ thuộc dải này).

Route Tables

Route Tables được sử dụng để xác định cách thức định tuyến traffic giữa các subnet trong một Virtual Private Cloud (VPC). Mỗi VPC có một hoặc nhiều Route Tables, và mỗi Route Table có thể được áp dụng cho một hoặc nhiều subnet.

Một Route Table chứa một loạt các mục nhập định tuyến, mỗi mục nhập đại diện cho một đích mạng cụ thể (ví dụ: một subnet hoặc một địa chỉ IP) và cho biết như thế nào để định tuyến traffic đến đích mạng đó. Mỗi mục nhập định tuyến bao gồm một đích mạng, một địa chỉ IP đích và một tùy chọn tuyến đường (route) để định tuyến traffic đến đích mạng đó.

Các Route Tables trong AWS cho phép quản lý linh hoạt các mạng và định tuyến traffic giữa chúng, giúp tăng tính linh hoạt, bảo mật và hiệu quả của hệ thống AWS.

Internet Gateway

AWS Internet Gateway là một tính năng cung cấp bởi Amazon Web Services (AWS) để kết nối mạng riêng ảo (VPC) trong AWS với internet. Nó cho phép các tài nguyên trong VPC có thể truy cập vào các dịch vụ trên internet và cũng cho phép các dịch vụ trên internet có thể truy cập vào các tài nguyên trong VPC.

Tính năng của AWS Internet Gateway bao gồm:

• Connectivity: AWS Internet Gateway cho phép các tài nguyên trong VPC truy cập vào các dịch vụ trên internet và ngược lại, cho phép các dịch vụ trên internet truy cập vào các tài nguyên trong VPC.
• High Availability: AWS Internet Gateway được thiết kế để đảm bảo tính khả dụng cao. Nó được liên kết với nhiều zone khu vực để đảm bảo rằng nó luôn hoạt động ngay cả khi một khu vực gặp sự cố.
• Security: AWS Internet Gateway hỗ trợ tính năng bảo mật mạnh mẽ để đảm bảo rằng các tài nguyên trong VPC được bảo vệ an toàn trên internet. Nó sử dụng các quy tắc bảo mật để kiểm soát truy cập vào các tài nguyên.
• Scale: AWS Internet Gateway có thể tự động mở rộng để đáp ứng nhu cầu của người dùng. Nó có thể được sử dụng với các VPC lớn và có khả năng mở rộng cao.
• Monitoring: AWS Internet Gateway cung cấp các công cụ giám sát để giám sát việc sử dụng và hoạt động của gateway, cho phép người dùng xem các thông số về lưu lượng mạng, số kết nối và các lỗi.

AWS Internet Gateway là một tính năng quan trọng của AWS và cung cấp tính năng kết nối mạng quan trọng để các tài nguyên AWS có thể được truy cập và sử dụng thông qua internet.

Egress-only Internet Gateways (EGW)

Tính năng Egress-only Internet Gateways (EGW) là một dịch vụ mạng của Amazon Web Services (AWS) được thiết kế để cung cấp khả năng kết nối ra internet cho các tài nguyên trong mạng riêng ảo (VPC) của bạn, mà không cho phép các kết nối từ internet đến các tài nguyên đó.

Một EGW hoạt động như một gateway trên đường đi của các yêu cầu truy cập internet của các tài nguyên trong VPC của bạn. Nó cho phép các tài nguyên trong VPC truy cập internet mà không tiết lộ địa chỉ IP của chúng cho internet. Điều này giúp giữ cho các tài nguyên trong VPC của bạn được bảo vệ khỏi các cuộc tấn công mạng từ bên ngoài.

EGW hoạt động bằng cách sử dụng một địa chỉ IP độc đáo, được gọi là địa chỉ IP Egress-Only, để đại diện cho các tài nguyên trong VPC khi truy cập internet. EGW cũng cho phép bạn quản lý lưu lượng mạng của các tài nguyên trong VPC của bạn khi truy cập internet. Bạn có thể thiết lập quy tắc bảo mật để giới hạn lưu lượng mạng vào và ra của các tài nguyên trong VPC của bạn, bảo vệ chúng khỏi các cuộc tấn công mạng từ bên ngoài.

Tóm lại, EGW là một tính năng quan trọng của AWS để giúp bảo vệ tài nguyên trong VPC của bạn khỏi các cuộc tấn công mạng từ bên ngoài, đồng thời cho phép các tài nguyên trong VPC truy cập internet một cách an toàn và hiệu quả.

DHCP Option Sets

DHCP Option Sets là một tính năng trong Amazon Virtual Private Cloud (VPC) của AWS, cho phép bạn cấu hình các tùy chọn DHCP cho các máy chủ EC2 trong mạng VPC của bạn.

DHCP (Dynamic Host Configuration Protocol) là một giao thức mạng được sử dụng để cấu hình tự động các thiết bị mạng như máy tính và thiết bị mạng khác, như router và switch. Khi một thiết bị mới được kết nối vào mạng, nó sẽ gửi yêu cầu DHCP để lấy địa chỉ IP và các tùy chọn khác như DNS server.

Với DHCP Option Sets của AWS, bạn có thể cấu hình các tùy chọn này cho các máy chủ EC2 trong VPC của bạn. Ví dụ, bạn có thể cấu hình địa chỉ IP của DNS server, tên miền DNS mặc định, địa chỉ IP của NTP server và các tùy chọn khác. Bằng cách cung cấp các tùy chọn này cho các máy chủ EC2, bạn có thể đảm bảo rằng các máy chủ sẽ hoạt động chính xác trong môi trường mạng của bạn.

Ngoài ra, DHCP Option Sets còn cho phép bạn cấu hình các tùy chọn DHCP tùy chỉnh, do đó bạn có thể tùy chỉnh các tùy chọn để đáp ứng các yêu cầu của môi trường mạng của bạn. Ví dụ, bạn có thể cấu hình các tùy chọn để đáp ứng các yêu cầu bảo mật hoặc cấu hình để tối ưu hóa hiệu suất mạng.

Tóm lại, tính năng DHCP Option Sets của AWS VPC cho phép bạn quản lý các tùy chọn DHCP cho các máy chủ EC2 trong mạng VPC của bạn, giúp tối ưu hóa hiệu suất và đảm bảo tính chính xác của các máy chủ trong môi trường mạng của bạn.

Elastic IPs

Elastic IPs (EIPs) là một tính năng trong Amazon Web Services (AWS) Virtual Private Cloud (VPC) cho phép người dùng tạo và sử dụng các địa chỉ IP tĩnh. Địa chỉ IP tĩnh này có thể được gán cho các instance trong VPC của bạn, và nó sẽ không thay đổi trong quá trình thực hiện các hoạt động như khởi động lại hoặc gián đoạn kết nối.

Một số đặc điểm của Elastic IPs:

• Elastic IPs là địa chỉ IP tĩnh và có thể được gán cho các instance trong VPC của bạn.
• Elastic IPs là miễn phí khi được sử dụng với instance EC2 trong VPC.
• Elastic IPs cho phép bạn giữ địa chỉ IP tĩnh của instance ngay cả khi instance đó được khởi động lại hoặc gián đoạn kết nối.
• Elastic IPs có thể được ánh xạ đến địa chỉ IP public của instance, cho phép instance truy cập từ bên ngoài VPC.

Ngoài ra, bạn có thể sử dụng Elastic IPs để:

• Liên kết địa chỉ IP tĩnh với load balancer của bạn.
• Liên kết địa chỉ IP tĩnh với một hệ thống DNS mà bạn quản lý.
• Chuyển đổi địa chỉ IP public giữa các instance trong VPC của bạn.

Tóm lại, Elastic IPs là một tính năng hữu ích trong AWS VPC cho phép bạn tạo và sử dụng các địa chỉ IP tĩnh để giữ cho các instance của bạn truy cập được từ bên ngoài mạng.

Managed Prefix Lists

Tính năng Managed Prefix Lists của Amazon Web Services (AWS) Virtual Private Cloud (VPC) là một công cụ quản lý danh sách tiền tố (prefix list) được quản lý bởi AWS để cung cấp quyền truy cập cho các tài nguyên trong mạng của bạn.

Một prefix list là một danh sách các địa chỉ IP hoặc dải địa chỉ IP, được sử dụng để kiểm soát quyền truy cập vào mạng của bạn. AWS cho phép bạn tạo và quản lý các prefix list bằng cách sử dụng Managed Prefix Lists, cho phép bạn tập trung quản lý các danh sách tiền tố của bạn trên nhiều tài khoản AWS của bạn.

Một số tính năng của Managed Prefix Lists bao gồm:

Tính đồng bộ hóa: Managed Prefix Lists được đồng bộ hóa trên các tài khoản AWS, đảm bảo rằng các danh sách tiền tố của bạn được giữ đồng nhất trên các môi trường khác nhau.

• Tính tùy chỉnh: Managed Prefix Lists cho phép bạn thêm, sửa đổi hoặc xóa các tiền tố một cách linh hoạt. Bạn có thể thêm các tiền tố để kiểm soát truy cập vào các tài nguyên mới hoặc xóa các tiền tố không cần thiết.
• Tính an toàn: Managed Prefix Lists cung cấp tính năng chia sẻ an toàn, giúp đảm bảo rằng các tiền tố của bạn chỉ được truy cập bởi những người được ủy quyền.
• Tính hiệu quả: Managed Prefix Lists giúp giảm thời gian và công sức quản lý các danh sách tiền tố bằng cách cho phép bạn sử dụng lại các danh sách tiền tố có sẵn thay vì tạo mới các danh sách tiền tố.
• Tính linh hoạt: Managed Prefix Lists có thể được sử dụng cho nhiều mục đích khác nhau, bao gồm kiểm soát quyền truy cập vào các tài nguyên VPC, các kết nối VPN, các kết nối Direct Connect và các kết nối Transit Gateway.

Với tính năng Managed Prefix Lists, bạn có thể quản lý các danh sách tiền tố một cách dễ dàng và hiệu quả trên AWS VPC của bạn, đảm bảo rằng các tài nguyên của bạn được bảo vệ và an toàn.

Endpoints

Endpoints là một tính năng quan trọng trong Amazon Virtual Private Cloud (VPC) của AWS, cho phép các tài nguyên trong VPC truy cập vào các dịch vụ AWS mà không cần thông qua Internet.

Trong một môi trường VPC, các tài nguyên như EC2 instances, Lambda functions, và RDS instances có thể cần phải truy cập vào các dịch vụ AWS như S3, DynamoDB, hoặc Kinesis. Truy cập trực tiếp thông qua Internet không phải là một giải pháp an toàn hoặc hiệu quả vì các vấn đề liên quan đến bảo mật và hiệu suất.

Endpoints cho phép các tài nguyên trong VPC truy cập vào các dịch vụ AWS thông qua một kết nối riêng tư và an toàn. Các endpoint cung cấp một IP address tĩnh trong VPC của bạn cho phép tài nguyên trong VPC truy cập vào dịch vụ AWS được chỉ định. Các gói tin được gửi từ các tài nguyên trong VPC đến dịch vụ AWS không đi qua Internet, do đó giảm thiểu các vấn đề liên quan đến bảo mật và hiệu suất.

Endpoints có thể được tạo cho nhiều dịch vụ AWS khác nhau và được cấu hình để hoạt động với các tài nguyên trong một hoặc nhiều subnet của VPC của bạn. Endpoints cũng có thể được cấu hình để hoạt động với các tài khoản AWS khác nhau.

Endpoint Services

Tính năng Endpoint Services của Amazon Web Services (AWS) Virtual Private Cloud (VPC) là một dịch vụ được cung cấp bởi AWS cho phép khách hàng kết nối với các dịch vụ AWS khác mà không cần thông qua internet hoặc VPN. Thay vì định tuyến thông qua một cổng Internet Gateway, dịch vụ Endpoint Services cho phép truy cập vào các dịch vụ AWS như Amazon S3 và DynamoDB thông qua các endpoint của VPC.

Khi sử dụng Endpoint Services, các tài nguyên trong VPC của bạn được giữ trong một mạng riêng ảo và được bảo vệ bởi các cơ chế bảo mật của VPC. Điều này có nghĩa là tất cả các kết nối giữa các dịch vụ AWS và tài nguyên VPC của bạn sẽ không đi qua internet hoặc đi qua mạng công cộng nào khác.

Endpoint Services được thiết kế để giảm thiểu sự phụ thuộc vào các cổng Internet Gateway và VPN, tăng tính an toàn và bảo mật cho các ứng dụng của bạn và cải thiện hiệu suất mạng của các ứng dụng đó. Các dịch vụ AWS khác nhau có các endpoint riêng biệt và các quyền truy cập cũng khác nhau.

Với tính năng Endpoint Services, các khách hàng có thể triển khai các ứng dụng và dịch vụ trên AWS mà không cần bất kỳ kết nối internet nào, giúp cải thiện an ninh và bảo mật của hệ thống.

NAT Gateway

NAT Gateway là một tính năng quan trọng trong Amazon Virtual Private Cloud (VPC) của Amazon Web Services (AWS), được sử dụng để kết nối các mạng riêng ảo trong VPC với Internet hoặc các dịch vụ AWS khác.

NAT Gateway cho phép các instance trong private subnet của VPC có thể truy cập Internet hoặc các dịch vụ AWS khác thông qua một IP public được cung cấp bởi NAT Gateway. NAT Gateway hoạt động như một điểm truy cập duy nhất và an toàn để kết nối các instance trong private subnet của VPC với bên ngoài.

Với NAT Gateway, các instance trong private subnet của VPC không cần có địa chỉ IP public để truy cập Internet hoặc các dịch vụ AWS khác, điều này giúp giảm thiểu sự rủi ro về bảo mật và tăng tính linh hoạt của các instance trong private subnet.

NAT Gateway có thể tự động mở rộng theo nhu cầu, điều này giúp đảm bảo khả năng sẵn sàng và tính khả dụng của hệ thống. Ngoài ra, NAT Gateway còn hỗ trợ các tính năng như quản lý bandwidth và giám sát.

AWS VPC Peering

AWS VPC Peering là một dịch vụ của Amazon Web Services (AWS) cho phép kết nối trực tiếp giữa hai mạng riêng ảo (VPC) khác nhau trong cùng một khu vực hoặc khác khu vực. Kết nối VPC Peering cho phép chia sẻ tài nguyên giữa các VPC như máy chủ, cơ sở dữ liệu và ứng dụng mà không cần sử dụng các kết nối internet công khai.

VPC Peering connections cho phép liên kết các VPC lại với nhau một cách riêng tư, an toàn và bảo mật. VPC Peering connections cho phép các VPC được liên kết với nhau giống như chúng đang được chạy trong cùng một mạng lưới nội bộ.

Một số lợi ích của VPC Peering connections bao gồm:

• Cho phép chia sẻ tài nguyên giữa các VPC một cách dễ dàng và hiệu quả hơn
• Giảm chi phí vì không cần phải sử dụng các kết nối internet công khai
• Tăng cường bảo mật bởi vì không cần phải chia sẻ các tài nguyên qua internet công khai
• Đơn giản hóa quản lý và triển khai các ứng dụng và dịch vụ trên AWS

Tuy nhiên, việc thiết lập VPC Peering connections cũng cần cân nhắc kỹ lưỡng để đảm bảo rằng không có sự xung đột hoặc trùng lặp về các địa chỉ IP của các VPC khác nhau.