Bài viết này sẽ giải thích những lợi ích của việc sử dụng Amazon VPC endpoints và giới thiệu một self-paced workshop, chúng tôi sẽ giúp bạn tìm hiểu thêm về chúng. Amazon Virtual Private Cloud (Amazon VPC) cho phép bạn khởi chạy các tài nguyên của Amazon Web Services (AWS) vào một mạng ảo mà bạn đã xác định. Mạng ảo này giống mạng truyền thống mà bạn sẽ vận hành trong trung tâm dữ liệu của riêng mình. Lợi ích bổ sung là khả năng sử dụng cơ sở hạ tầng có thể mở rộng của AWS.

VPC endpoint cho phép bạn kết nối riêng VPC của mình với các dịch vụ mà AWS hỗ trợ. Nó không yêu cầu bạn triển khai internet gateway và thiết bị network address translation (NAT) , kết nối Virtual Private Network (VPN), hoặc kết nối AWS Direct Connect. Endpoints là các thiết bị ảo được mở rộng qui mô theo chiều ngang, có dự phòng, và tính khả dụng cao. VPC endpoints cho phép giao tiếp giữa các instances trong VPC và các dịch vụ của bạn mà không gây ra bất cứ rủi ro nào về tính khả dụng hoặc hạn chế băng thông đối với network traffic của bạn.

Bạn có thể tối ưu hóa network path bằng cách tránh lưu lượng truy cập đến các internet gateways và các chi phí phát sinh đến NAT gateways,  NAT instances hoặc phải duy trì các firewalls. VPC endpoints cũng cung cấp cho bạn khả năng kiểm soát tốt hơn nhiều đối với người dùng và các ứng dụng truy cập các dịch vụ của AWS. Có ba loại VPC endpoints: gateway load balancer endpoints, gateway endpoints và interface endpoints. Hãy cùng xem xét từng loại endpoint và cách chúng được sử dụng.

Loại endpoint đầu tiên, Gateway Load Balancer endpoint, cho phép bạn chặn lưu lượng và định tuyến nó đến mạng hoặc các dịch vụ bảo mật mà bạn đã cấu hình bằng  Gateway Load Balancer. Gateway Load Balancer cho phép bạn triển khai, mở rộng quy mô và quản lý các thiết bị ảo, chẳng hạn như tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập và hệ thống kiểm tra gói tin chi tiết. Đồng nghiệp của chúng tôi, Justin Davies đã viết một bài đăng trên blog xuất sắc về supported architectural patterns using AWS Gateway Load Balancers.

Loại endpoint thứ hai, Gateway endpoint, cho phép bạn cung cấp quyền truy cập vào Amazon Simple Storage Service (S3) và Amazon DynamoDB. Bạn có thể cấu hình resource policies trên cả gateway endpoint và tài nguyên AWS mà endpoint cung cấp quyền truy cập. VPC endpoint policy là resource policy AWS Identity and Access Management (AWS IAM) mà bạn có thể đính kèm vào một endpoint. Đây là một policy riêng để kiểm soát truy cập từ endpoint đến dịch vụ được chỉ định. Điều này cho phép kiểm soát truy cập chi tiết và kết nối mạng riêng từ bên trong VPC. Ví dụ: bạn có thể tạo một policy hạn chế quyền truy cập vào một DynamoDB table cụ thể. Policy này sẽ chỉ cho phép một số người dùng hoặc nhóm nhất định truy cập vào bảng thông qua VPC endpoint.

Hình 1: Truy cập Amazon S3 thông qua một Gateway VPC endpoint

Loại endpoint thứ ba, Interface endpoint, cho phép bạn kết nối với các dịch vụ được hỗ trợ bởi  AWS PrivateLink. Điều này bao gồm một số lượng lớn các dịch vụ AWS. Nó cũng có thể bao gồm các dịch vụ được quản lý  bởi các khách hàng AWS khác và các đối tác của AWS Partner Network (APN) trong VPCs của riêng họ. Bằng cách sử dụng AWS partner services thông qua AWS PrivateLink, bạn không còn phải phụ thuộc các quyền truy cập vào public internet. Phí truyền dữ liệu cho lưu lượng truy cập từ Amazon EC2 đến internet thay đổi tùy theo khối lượng. Sau 1 GB / tháng đầu tiên (0,00 đô la mỗi GB), dữ liệu được tính phí ở mức 0,09 đô la / GB (đối với AWS US-East 1 Virginia). Giống như gateway endpoints, interface endpoints có thể được bảo mật bằng cách sử dụng các resource policies trên chính endpoint và resource mà endpoint cung cấp quyền truy cập. Interface endpoints cho phép sử dụng các security group để hạn chế quyền truy cập vào endpoint.

Hình 2: Truy cập vào  QLDB thông qua một interface VPC endpoint

Thiết kế mạng hiện có của một số tổ chức có thể ảnh hưởng đến nơi triển khai các VPC Endpoints. Trong các môi trường có nhiều tài khoản AWS, thiết kế mạng có thể khác nhau đáng kể. Hãy xem xét một tổ chức đã xây dựng kiến trúc network  hub-and-spoke với AWS Transit Gateway. VPCs đã được cấp phép cho nhiều tài khoản AWS, để tạo điều kiện  giúp tách biệt các network  hoặc để cho phép tính năng quản trị network uỷ quyền.

Đối với các kiến trúc phân tán, bạn có thể xây dựng một “shared services” VPC, cung cấp quyền truy cập tập trung vào các dịch vụ được chia sẻ theo yêu cầu của khối lượng công việc trong mỗi VPC. Các dịch vụ dùng chung này có thể bao gồm các tài nguyên như  directory services hoặc VPC endpoints. Chia sẻ resources từ một vị trí trung tâm thay vì xây dựng chúng trong từng VPC có thể giảm chi phí và các chi phí quản lý.

Cách tiếp cận này đã được đồng nghiệp của chúng tôi là Bhavin Desai nêu ra trong bài đăng trên blog của anh ấy, Centralized DNS management of hybrid cloud with Amazon Route 53 and AWS Transit Gateway. Thay vì tập trung triển khai VPC endpoint, người thiết kế network có thể chọn triển khai endpoints trong một spoke VPC để đảm bảo nó gần với một workload duy nhất sẽ sử dụng endpoint. Điều này có thể hỗ trợ các vấn đề về bảo mật hoặc hiệu suất cụ thể của workload. Với mỗi cách tiếp cận, tập trung và phân quyền, đều mang lại những lợi ích riêng. Người ta thường sử dụng cả hai để đáp ứng các yêu cầu cụ thể của mình trong từng trường hợp.

Hình 3:  VPC endpoints tập trung ( nhiều  VPCs)

Ngoài ra, một tổ chức đã tập trung network của mình và chọn tận dụng chia sẻ VPC để cho phép nhiều tài khoản AWS tạo tài nguyên ứng dụng. Cách tiếp cận như vậy cho phép tổng hợp các EC2 instance, cơ sở dữ liệu Amazon Relational Database Service (RDS) và các AWS Lambda functions hoạt động thành một mạng chia sẻ, được quản lý tập trung. Với cả hai mô hình, việc thiết lập một bộ kiểm soát chi tiết để hạn chế quyền truy cập vào tài nguyên là rất quan trọng để hỗ trợ các bảo mật cho tổ chức và đáp ứng các mục tiêu về compliance. Đồng thời giúp duy trì hiệu quả hoạt động.

Hình 4:  VPC endpoints tập trung ( nhiều  VPCs)

Tìm hiểu cách sử dụng với VPC Endpoint Workshop

Để hiểu hơn về cách hạn chế quyền truy cập vào các endpoints và các dịch vụ mà chúng kết nối có thể gây nhầm lẫn. Tìm hiểu thêm bằng cách tham gia VPC Endpoint Workshop. Nó sẽ giúp bạn cải thiện tình trạng bảo mật của các workload trên cloud của bạn bằng cách sử dụng các network controls và VPC endpoint policies để quản lý quyền truy cập vào tài nguyên AWS.

---

Bài được dịch từ bài viết trên AWS Blogs, bạn có thể xem bài viết gốc tại đây.