Tác giả: Nilo Bustani, Luis Rodolfo Moreno Concha, và Rahul Popat
Ngày phát hành: 28 JAN 2026
Chuyên mục: Amazon CloudWatch, Management & Governance, Management Tools, Monitoring and observability, Networking & Content Delivery

Giới thiệu

Các kiến trúc AWS phân tán, toàn cầu là xương sống cho những khách hàng tìm kiếm tính sẵn sàng cao, khả năng phục hồi và tuân thủ quy định. Các workload thường được triển khai trên nhiều AWS Regions và Availability Zones (AZs), thường sử dụng AWS PrivateLink để kết nối các dịch vụ một cách an toàn và riêng tư trên các mạng Amazon Virtual Private Cloud (Amazon VPC). Cách tiếp cận này tăng cường bảo mật và phân tách đồng thời yêu cầu các khả năng giám sát bổ sung để duy trì khả năng quan sát toàn diện.

Để phát hiện các “lỗi xám” tinh vi, cụ thể theo đường dẫn trong kiến trúc phân tán của bạn, bạn cần Amazon CloudWatch Network Synthetic Monitor, dịch vụ này chạy các thăm dò (probe) end-to-end chống lại các đường dẫn VPC, điểm cuối PrivateLink và cổng dịch vụ thực tế của bạn. Bạn có thể cần mức độ giám sát mục tiêu này để phát hiện mất gói hoặc độ trễ trên một đường dẫn quan trọng.

Để bổ sung cho việc kiểm tra cụ thể theo đường dẫn của Network Synthetic Monitor, AWS Network Manager Infrastructure Performance công bố các phép đo độ trễ và tính sẵn sàng trên các Region, AZ và các điểm biên AWS Direct Connect. Dữ liệu đo từ xa cấp độ xương sống này có giá trị để hiểu các điều kiện mạng AWS rộng hơn, chẳng hạn như độ trễ tăng cao giữa hai Region. Ngoài ra, bạn có thể giám sát các sự kiện AWS Health để nhận thông báo về tính sẵn sàng của dịch vụ và các tác động cụ thể đến tài khoản có thể ảnh hưởng đến tài nguyên của bạn.

Network Synthetic Monitor triển khai cơ sở hạ tầng thăm dò do AWS quản lý trực tiếp trong các subnet VPC của bạn, cho phép nó giám sát bất kỳ mạng nào có thể truy cập bằng địa chỉ IP riêng, bao gồm các điểm cuối PrivateLink, liên kết xuyên VPC và các đường dẫn đa AZ hoặc đa Region. Bản thân Network Synthetic Monitor sử dụng PrivateLink nội bộ để kết nối an toàn cơ sở hạ tầng giám sát mà không cần đi qua internet. Sự tích hợp gốc này giúp Network Synthetic Monitor cung cấp các số liệu chính xác, theo thời gian thực về độ trễ mạng, mất gói và tình trạng trên các kiến trúc AWS phân tán.

Với Network Synthetic Monitor, khách hàng có được khả năng quan sát mạng nâng cao cho cả các kịch bản kết nối workload AWS lai và nội bộ để giúp phát hiện và chẩn đoán các suy giảm mạng ảnh hưởng đến các workload quan trọng của họ, với các chỉ số tình trạng cấp độ mạng như mất gói và thời gian khứ hồi (RTT) kết hợp với các bảng điều khiển và chi phí bảo trì tối thiểu.

Tổng quan giải pháp

Hình 1 – Dịch vụ hỗ trợ PrivateLink đa vùng với Network Synthetic Monitor

Sơ đồ kiến trúc giải pháp minh họa cách tiếp cận giám sát end-to-end cho các đường dẫn mạng đa vùng hỗ trợ PrivateLink bằng cách sử dụng Network Synthetic Monitor. Một nhà cung cấp dịch vụ trong Region us-east-1 cung cấp các dịch vụ thông qua PrivateLink đằng sau một Network Load Balancer. Người tiêu dùng dịch vụ trong Region us-west-2 kết nối qua một VPC Endpoint với địa chỉ IP riêng. Các thăm dò Network Synthetic Monitor được triển khai trong VPC của người tiêu dùng, nhắm mục tiêu IP điểm cuối này. Các thăm dò này đi qua cơ sở hạ tầng xương sống của AWS giữa các Region, cung cấp các số liệu RTT và mất gói quan trọng liên quan đến đường dẫn ứng dụng của bạn.

Các thăm dò Network Synthetic Monitor cần được cấu hình với TCP vì các điểm cuối PrivateLink không chuyển tiếp lưu lượng ICMP (ping). Các thăm dò đi qua cơ sở hạ tầng xương sống của AWS: giữa các AZ hoặc giữa các Region theo yêu cầu, cung cấp cho bạn dữ liệu RTT và mất gói liên quan đến đường dẫn ứng dụng của bạn.

Điều kiện tiên quyết

Trước khi bắt đầu, bạn sẽ cần:

Một tài khoản AWS đang hoạt động với các quyền IAM thích hợp để tạo và quản lý các dịch vụ sau:

• Amazon VPC
• AWS PrivateLink
• Amazon CloudWatch Network Synthetic Monitor
• Network Load Balancer

Ít nhất hai VPC (lý tưởng là ở các AWS Region khác nhau) nơi bạn có thể triển khai các tài nguyên nhà cung cấp và người tiêu dùng.

Kiến thức cơ bản về các khái niệm mạng AWS, đặc biệt là VPC và PrivateLink.

Để biết các yêu cầu về quyền chi tiết, hãy xem tài liệu CloudWatch Network Synthetic Monitor.

Giám sát điểm cuối PrivateLink giữa các Region

1. Thiết lập kết nối PrivateLink của bạn

• Trong VPC của nhà cung cấp dịch vụ (ví dụ: ở us-east-1), cung cấp backend của bạn thông qua Network Load Balancer; tạo một VPC Endpoint Service.

Hình 2 – Dịch vụ VPC Endpoint ở us-east-1 với Network Load Balancer

• Trong VPC của người tiêu dùng dịch vụ (ví dụ: ở us-west-2), cấu hình một VPC Interface Endpoint nhắm mục tiêu dịch vụ điểm cuối của nhà cung cấp.
• Xác nhận ENI(s) của điểm cuối được cung cấp trong (các) subnet mong muốn của bạn.

Hình 3 – VPC Interface Endpoint ở us-west-2 được kết nối với dịch vụ VPC Endpoint ở us-east-1

2. Định vị địa chỉ IP của điểm cuối PrivateLink

• Tìm ENI của interface endpoint trong VPC/subnet của người tiêu dùng của bạn. Ghi lại IP riêng. Đây sẽ là mục tiêu giám sát.

3. Tạo Network Synthetic Monitor

• Trong bảng điều khiển CloudWatch, đi tới Network Synthetic Monitor và chọn Create monitor. Nhập tên cho monitor của bạn.
• Trong Advanced Settings, chọn khoảng thời gian thăm dò của bạn.

Hình 4 – Tạo Network Synthetic Monitor

• Chọn các subnet nguồn (từ đó bạn muốn các thăm dò chạy. Đối với đa vùng, chọn các subnet trong Region quan sát mong muốn).
• Đặt đích đến là IP điểm cuối PrivateLink.
• Protocol: chọn TCP.
• Port: Đặt cổng này là cổng được dịch vụ của bạn cung cấp qua NLB/PrivateLink (ví dụ: 443 cho HTTPS, 80 cho HTTP hoặc cổng tùy chỉnh của bạn).

Hình 5 – Tạo Network Synthetic Monitor, cấu hình thăm dò

• Chọn kích thước gói của bạn.
• Xem lại cài đặt và tạo monitor của bạn.

4. Trực quan hóa và Cảnh báo

• Các bảng điều khiển CloudWatch có sẵn cung cấp biểu đồ RTT và mất gói cho mỗi thăm dò.
• Đặt CloudWatch Alarms trên các ngưỡng liên quan đến ứng dụng của bạn (ví dụ: mất gói > 1%, RTT > 200ms).
• Tích hợp với AWS User Notifications, Amazon Simple Notification Service, hàm Lambda hoặc EventBridge để kích hoạt các quy trình khắc phục hoặc cảnh báo.

Hình 6 – Bảng điều khiển Network Synthetic Monitor

Các dịch vụ bổ sung để giám sát mạng

• AWS Health: Cung cấp khả năng hiển thị các sự kiện công khai và cụ thể theo tài khoản ảnh hưởng đến các dịch vụ AWS.
• Network Manager Infrastructure Performance: Cung cấp dữ liệu độ trễ và tính sẵn sàng được AWS thu thập ở cấp độ xương sống trên các Region, Availability Zones và các vị trí Direct Connect.
• Amazon CloudWatch Synthetics Canaries: Hữu ích ở lớp ứng dụng để đo lường tính sẵn sàng và độ trễ của ứng dụng (HTTP/API), không phải các số liệu mạng thô.
• VPC Flow Logs: Phân tích pháp y mạng dựa trên nhật ký hồi cứu, nhưng không chủ động cho độ trễ hoặc mất mát.
• Amazon VPC Network Flow Monitor: Cung cấp khả năng hiển thị gần thời gian thực về các mẫu lưu lượng mạng cho lưu lượng truy cập đang hoạt động. Nó không chủ động kiểm tra kết nối hoặc hiệu suất khi không có lưu lượng truy cập đang hoạt động.
• Reachability Analyzer: Chỉ cung cấp kiểm tra đường dẫn và bảo mật theo yêu cầu, không phải thăm dò liên tục.

Dọn dẹp

Để tránh các khoản phí, hãy xóa Network Synthetic Monitor khỏi bảng điều khiển CloudWatch. Xóa VPC Interface Endpoint trong VPC của người tiêu dùng và VPC Endpoint Service trong VPC của nhà cung cấp. Xóa Network Load Balancer và loại bỏ bất kỳ CloudWatch Alarms nào bạn đã tạo cho monitor.

Kết luận

CloudWatch Network Synthetic Monitor cho phép khách hàng phát hiện và khắc phục các suy giảm đường dẫn PrivateLink, đa vùng và đa AZ trong vòng vài phút kể từ khi xảy ra thông qua kiểm tra tổng hợp liên tục.

Bằng cách sử dụng các thăm dò riêng tư, được quản lý, không cần tác nhân (agentless) trực tiếp quan sát các điều kiện mạng của bạn, bạn có thể tự động hóa phản hồi và giám sát, tích hợp với các bảng điều khiển và cảnh báo của CloudWatch, đồng thời tăng cường khả năng hiển thị vào các đường dẫn mạng của bạn.

Đọc thêm

• Thiết lập Amazon CloudWatch Network Synthetic Monitor
• AWS PrivateLink
• One Observability Workshop

Về tác giả

Nilo Bustani
Nilo Bustani là Kiến trúc sư Giải pháp Cấp cao tại AWS với hơn 20 năm kinh nghiệm trong phát triển ứng dụng, kiến trúc đám mây và lãnh đạo kỹ thuật. Cô chuyên giúp khách hàng xây dựng các chiến lược quan sát mạnh mẽ và thực hành quản trị trên các môi trường lai và đa đám mây. Cô tận tâm trao quyền cho các tổ chức bằng các công cụ và thực hành cần thiết để thành công trong hành trình chuyển đổi đám mây và AI của họ.

Luis Rodolfo Moreno Concha
Luis Rodolfo Moreno Concha là Quản lý Tài khoản Kỹ thuật tại AWS, giúp khách hàng thuộc nhiều ngành dọc khác nhau trong hành trình đám mây của họ. Luis tập trung vào việc cung cấp các giải pháp tùy chỉnh nhằm thúc đẩy kết quả kinh doanh đồng thời duy trì các tiêu chuẩn bảo mật và tuân thủ. Với nền tảng kỹ thuật, anh đam mê các công nghệ mới nổi và xây dựng quan hệ đối tác khách hàng lâu dài để đẩy nhanh đổi mới.

Rahul Popat
Rahul Popat là Kiến trúc sư Giải pháp Cấp cao tại Amazon Web Services. Anh làm việc với khách hàng để giúp họ tận dụng AWS xây dựng các ứng dụng có khả năng mở rộng, chịu lỗi, hiệu suất cao và tiết kiệm chi phí. Anh đam mê các công nghệ serverless và có nền tảng vững chắc về phát triển và kiến trúc ứng dụng.