Networking
D1 · Secure
D2 · Resilient
~1 phút đọcVPC, subnet, routing & connectivity
Hiểu thấu VPC: subnet, route table, IGW, NAT, endpoints, peering, Transit Gateway, VPN, Direct Connect.
vpc
subnet
nat
endpoint
tgw
direct-connect
Sơ đồ tổng quan
Đang tải sơ đồ…
Cấu trúc cơ bản
- VPC = mạng ảo của bạn trong 1 region, chọn CIDR block /16 → /28.
- Subnet thuộc 1 AZ. Public subnet = có route 0.0.0.0/0 → IGW; Private subnet = không.
- Route Table gán cho subnet. Main Route Table là fallback.
- Internet Gateway: egress/ingress public IPv4/IPv6. Egress-only IGW: IPv6 egress-only.
- NAT Gateway: managed, HA trong AZ, đắt nhưng không lo scaling. NAT Instance: self-managed, rẻ nhưng phải tự HA.
Security layers
- Security Group: stateful, attached to ENI/instance, chỉ có Allow rule.
- Network ACL: stateless, áp ở subnet, có Allow & Deny, rule evaluate theo số thứ tự.
- Flow Logs: ACCEPT/REJECT → CloudWatch Logs/S3/Kinesis, useful cho forensic.
Kết nối VPC ↔ VPC
- VPC Peering: 1-1, không transitive, không overlap CIDR.
- Transit Gateway: hub-and-spoke, connect nhiều VPC, VPN, DX; hỗ trợ multi-account.
- PrivateLink (Interface Endpoint): expose service qua ENI mà không route qua internet/peering.
Hybrid connectivity
- Site-to-Site VPN: qua Internet, mã hóa IPsec, thiết lập nhanh.
- Direct Connect: đường dây riêng, latency ổn định, băng thông tới 100 Gbps.
- DX Gateway + Transit Gateway: kết nối 1 DX tới nhiều VPC / nhiều region.
- Best practice: DX primary + VPN backup.
VPC Endpoints
- Gateway endpoint: CHỈ cho S3 & DynamoDB. Miễn phí.
- Interface endpoint: dùng PrivateLink (ENI trong subnet), hỗ trợ hầu hết service AWS + third-party. Trả tiền theo giờ + GB.
Lưu ý
Service A trong VPC cần gọi S3 KHÔNG qua Internet → Gateway Endpoint, đừng dùng NAT (tốn tiền).
Nội dung liên quan
Quiz liên quan