Thường xuyên gặp các thiết kế mạng trên AWS với tài nguyên thuộc về nhiều tài khoản AWS khác nhau. Ví dụ, bạn có thể có một số tài khoản AWS với Virtual Private Clouds (VPCs) trong những tài khoản đó được kết nối với AWS Transit Gateway trong một tài khoản mạng trung tâm. Bạn có thể cần xác định hoặc chẩn đoán khả năng kết nối mạng giữa các tài nguyên AWS ở các tài khoản AWS khác nhau. Ví dụ, bạn có thể muốn xác định khả năng kết nối mạng giữa một cặp Amazon Elastic Compute Cloud (Amazon EC2) instances nằm trong các tài khoản AWS khác nhau trong tổ chức AWS của bạn.

Trong bài viết này, chúng tôi sẽ hướng dẫn cách sử dụng Reachability Analyzer trong mạng trải rộng qua nhiều tài khoản AWS. Đầu tiên, chúng tôi sẽ mô tả một thiết kế mạng mẫu.

Mạng đa tài khoản mẫu trên AWS Bạn có thể triển khai các khối công việc vào nhiều tài khoản AWS khác nhau để thực hiện một số lợi ích, chẳng hạn như khả năng nhóm công việc theo mục đích kinh doanh và sở hữu, hoặc khả năng áp dụng các quyền kiểm soát bảo mật khác nhau theo môi trường. Ví dụ, bạn có thể áp dụng các quy tắc bảo mật, mạng và chính sách hoạt động khác nhau cho các môi trường không sản xuất và sản xuất cho một khối công việc cụ thể bằng cách triển khai chúng vào các tài khoản AWS riêng biệt. Hơn nữa, bạn có thể có chính sách bảo mật để đảm bảo rằng các tài nguyên trong các môi trường không sản xuất không có đường truyền mạng đến các tài nguyên trong môi trường sản xuất.

Biểu đồ trong hình dưới đây cho thấy một ví dụ về cấu hình đa tài khoản với bốn VPCs mỗi VPC đều thuộc sở hữu của các tài khoản AWS khác nhau. Hơn nữa, tất cả các VPC này được kết nối với một Transit Gateway, được triển khai trong tài khoản Network Admin. Có một máy chủ web trong VPC của tài khoản Account-1 phải giao tiếp với một instance cơ sở dữ liệu được triển khai trong VPC của tài khoản Account-4.

Bây giờ khi chúng ta đã hiểu mạng mẫu, hãy tưởng tượng bạn phải xác định xem máy chủ web có thể kết nối được với cơ sở dữ liệu RDS hay không. Trình phân tích tính khả thi (Reachability Analyzer) hiện có khả năng theo dõi các đường dẫn mạng qua các tài nguyên triển khai trong nhiều tài khoản AWS khác nhau. Trong bài viết này, chúng tôi sẽ hướng dẫn cách thiết lập Reachability Analyzer trong một triển khai đa tài khoản.

Cách hoạt động của Reachability Analyzer đa tài khoản Reachability Analyzer là một tính năng của Amazon VPC (Virtual Private Cloud) giúp phân tích cấu hình mạng của bạn và trả lời câu hỏi liệu có tồn tại một đường dẫn mạng giữa tài nguyên nguồn và tài nguyên đích trong mạng của bạn hay không. Bạn có thể chỉ định các tài nguyên AWS khác nhau như các thùng EC2, Giao diện Mạng (Network Interfaces), Điểm cuối VPC (VPC Endpoints), Cổng thông tin Trung tâm (Transit Gateways), vv. Để biết danh sách đầy đủ các tài nguyên được hỗ trợ, hãy xem tài liệu VPC Reachability Analyzer.

Với sự hỗ trợ cho Tổ chức AWS (AWS Organizations) trong VPC Reachability Analyzer, bạn hiện có thể phân tích tính khả thi của mạng giữa tài nguyên nguồn và tài nguyên đích nằm trong các tài khoản AWS khác nhau trong tổ chức của bạn.

Hãy xem xét các bước cần thiết để sử dụng Reachability Analyzer trong một triển khai đa tài khoản.

Bước 1: Bật quyền truy cập đáng tin cậy cho Reachability Analyzer từ AWS Organizations Đầu tiên, hãy bật quyền truy cập đáng tin cậy (trusted access) cho Reachability Analyzer từ tài khoản quản lý của tổ chức của bạn. Việc bật quyền truy cập đáng tin cậy cho phép Reachability Analyzer tạo các vai trò dịch vụ (service-linked roles) quản lý danh tính và truy cập (IAM) cần thiết để chạy các phân tích mạng qua các tài khoản AWS trong tổ chức của bạn.

Để thực hiện việc này, đăng nhập vào tài khoản quản lý của tổ chức của bạn, di chuyển đến bảng điều khiển (console) và chọn “Cài đặt” (Settings) dưới mục Reachability Analyzer từ thanh điều hướng bên trái. Hình dưới đây minh họa quá trình này:

Hình 2: Kích hoạt quyền truy cập đáng tin cậy của Reachability Analyzer

Bước 2: Chọn tài khoản Quản trị ủy nhiệm cho Reachability Analyzer Bạn có thể chỉ định một số tài khoản AWS cụ thể trong tổ chức của bạn là tài khoản quản trị ủy nhiệm cho Reachability Analyzer. Chỉ các tài khoản quản trị ủy nhiệm và tài khoản quản lý của tổ chức mới có thể chạy phân tích khả năng tiếp cận mạng chéo tài khoản.

Để chọn tài khoản quản trị ủy nhiệm, từ tài khoản quản lý của tổ chức, chọn “Đăng ký quản trị ủy nhiệm” và chọn các tài khoản để đăng ký làm tài khoản quản trị ủy nhiệm từ danh sách thả xuống. Hai hình sau đây sẽ thể hiện quá trình này.

Hình 3: Đăng ký quản trị viên được ủy quyền.

Hình 4: Chọn tài khoản quản trị được ủy quyền

Việc đăng ký một tài khoản quản trị được ủy quyền cho Reachability Analyzer là một hoạt động toàn cầu. Sau khi bạn giao cho một tài khoản AWS làm tài khoản quản trị được ủy quyền, bạn có thể sử dụng Reachability Analyzer từ tài khoản này để theo dõi các đường mạng trong bất kỳ Khu vực AWS nào thuộc phân vùng đó.

Bây giờ, bạn có thể chạy các phân tích về khả năng tiếp cận mạng qua các tài khoản AWS trong tổ chức của bạn từ tài khoản quản lý của tổ chức hoặc từ các tài khoản AWS được ủy quyền đã được chọn.

Bước 3: Phân tích đường mạng Trong phần này, chúng ta sẽ tạo và phân tích đường mạng từ một tài khoản AWS được ủy quyền. Dưới đây là ví dụ về cấu trúc mạng mẫu mà chúng ta sẽ tạo đường mạng cho nó.

Hình 5: Topologia Mạng

Biểu đồ trước đây cho thấy các tài nguyên khác nhau mà Bộ phân tích Khả năng Tiếp cận VPC sẽ kiểm tra. Ví dụ, các nhóm bảo mật đính kèm vào giao diện mạng của mỗi máy chủ, Danh sách Kiểm soát Truy cập Mạng (NACLs) đính kèm vào từng mạng con, bảng định tuyến của từng mạng con và bảng định tuyến của Transit Gateway. Các tài nguyên cấu hình này được tô màu tím trong hình, và một số trong số các tài nguyên này được làm nổi bật bằng vòng tròn màu vàng có số. Chúng tôi sẽ đề cập đến các số trong các vòng tròn này sau trong bài viết này.

Để tạo đường dẫn, hãy điều hướng đến VPC -> Quản lý Mạng AWS -> Giám sát và Xử lý sự cố -> Bộ phân tích Khả năng Tiếp cận. Chọn Tạo và phân tích đường dẫn. Chọn Loại nguồn, Tài khoản nguồn, Nguồn, Loại đích, Tài khoản đích và Đích, và chọn Tạo và phân tích đường dẫn. Trong trường hợp này, nguồn là một phiên bản EC2 và đích là giao diện mạng đàn hồi của máy chủ cơ sở dữ liệu RDS. Chúng tôi cũng bao gồm cổng TCP 3306 trong định nghĩa đường dẫn, vì đây là cổng mà máy chủ web sẽ giao tiếp với cơ sở dữ liệu. Hình dưới đây hiển thị chi tiết của đường dẫn.

Hình 6: Chi tiết Đường dẫn của Reachability Analyzer

Sau đây, Reachability Analyzer phân tích đường dẫn giữa nguồn và điểm đích, và cung cấp kết quả của phân tích trên bảng điều khiển. Trong ví dụ này, phân tích cho thấy rằng đường dẫn không thể đạt được. Phần Chi tiết Đường dẫn hiển thị mã lỗi, như thể hiện trong hình dưới đây.

Hình 7: Kết quả Phân tích Đường đi

Các số trong các vòng màu vàng trong hình trước tương ứng với các số trong biểu đồ mạng trong Hình 5. Trong trường hợp này, Reachability Analyzer đã theo dõi đường mạng qua các tài nguyên triển khai trong các tài khoản khác nhau và phát hiện rằng không có sự giao tiếp giữa máy chủ web và bản thể cơ sở dữ liệu RDS. Mã giải thích “ENI_SG_RULES_MISMATCH” có nghĩa là giao tiếp giữa nguồn và điểm đến bị chặn bởi một Nhóm Bảo mật. Khi phân tích phát hiện một đường đi bị chặn, VPC Reachability Analyzer sẽ làm nổi bật nó bằng màu đỏ trên trang chi tiết đường đi. Trong ví dụ trong hình trước, đó là Giao diện Mạng Đàn hồi gắn với bản thể cơ sở dữ liệu RDS nơi đường đi bị chặn. Trong trường hợp bạn có nhiều tài nguyên trung gian khác nhau chặn đường mạng, VPC Reachability Analyzer sẽ hiển thị tất cả các tài nguyên này trong một phân tích đường đi duy nhất.

Hơn nữa, bạn có thể xem kết quả của phân tích đường đi dưới dạng đối tượng JSON bằng cách mở rộng dropdown Chi tiết trong phần Giải thích, như được hiển thị trong hình sau. Chi tiết JSON có thể đọc được bằng máy tính bao gồm trường explanationCode có thể được sử dụng với tự động hóa để phản hồi kết quả phân tích.

Như bạn có thể thấy, Reachability Analyzer (Bộ phân tích khả năng tiếp cận) cho thấy có một đường mạng giữa máy chủ web và phiên bản cơ sở dữ liệu RDS. Chọn Chi tiết đường để xem toàn bộ đường mạng giữa nguồn và đích.

Trong ví dụ này, chúng ta đã thảo luận về cách Reachability Analyzer có thể giúp trong việc sửa lỗi một đường mạng kết nối từ đầu đến cuối trong một triển khai đa tài khoản, trong đó các tài nguyên nguồn, tài nguyên đích và tất cả các tài nguyên mạng trung gian đều được triển khai trong các tài khoản AWS khác nhau.

Kết luận Trong bài viết này, bạn đã tìm hiểu cách sử dụng VPC Reachability Analyzer để đánh giá các đường mạng kết nối qua các tài nguyên trong nhiều tài khoản AWS khác nhau, mang lại cái nhìn tốt hơn về cấu hình mạng của bạn. Chúng tôi đã thể hiện một ví dụ về việc đánh giá một đường mạng để xác định khả năng tiếp cận giữa các tài nguyên kéo dài qua ba tài khoản AWS. Bạn có thể mở rộng ý tưởng này bằng cách tạo nhiều đường mạng và định kỳ phân tích chúng để đánh giá tuân thủ các chính sách bảo mật mạng. Tính năng này đã sẵn sàng từ hôm nay, vì vậy hãy thử nó và cho chúng tôi biết nếu bạn có bất kỳ câu hỏi nào về tính năng hoặc bài viết này bằng cách liên hệ với Hỗ trợ AWS.