- Mạng riêng ảo cho phép deploy các resources
Subnet
- Chia VPC thành từng phần riêng biệt
- Thường chia theo AZ
- Bao gồm
public subnetvàprivate subnet- public subnet: có thể access được tới mạng internet và ngược lại (thông qua Internet Gateway)
- private subnet: đúng như tên gọi,
khôngthể access từ bên ngoài cũng như access ra bên ngoài
- Muốn kiểm soát traffics giữa các subnet, sử dụng
Route tables
Internet Gateways và NAT gateways
- Internet Gateway: cho phép VPC kết nối tới mạng Internet
- NAT Gateways hoặc NAT Instances cho phép các resource trong Private subnet có thể kết nối tới mạng Internet mà vẫn đảm bảo tính private (kết nối 1 chiều)
So sánh NACLs và Security Groups
| Security Group | Network ACL |
|---|---|
Kiểm soát traffics tới các instances | Kiểm soát traffics tới các subnets |
CHỈhỗ trợ Allow rules | Hỗ trợ cả Allow và Deny rules |
| Apply tới các instances nếu được configured | Apply tới tất cả các instances trong subnet |
| Cần config tới các port (chỉ cần inbound rule để tạo connection) | inbound và outbound riêng rẽ nhau (cần config cả 2 để tạo connection) |
Một số thông tin khác
- Lưu vết các thông tin về connection với VPC Flow logs
- Muốn kết nối nhiều VPCs khác nhau, sử dụng VPC Peering
- Sử dụng VPC endpoints để kết nối các resources trong một private subnet tới một số services
- Kết nối server tự có với AWS: sử dụng Site to Site VPN hoặc Direct Connection
Best Practices khi thiết kế VPC
- Phân chia subnet hợp lý:
Mỗi Availability Zone (AZ) nên có ít nhất một public và một private subnet để đảm bảo khả năng chịu lỗi (high availability). - Giới hạn quyền truy cập:
- Chỉ mở các port thật sự cần thiết trong Security Group.
- Dùng NACL để chặn traffic không mong muốn ở cấp subnet.
- Sử dụng riêng biệt cho môi trường:
- Tách biệt VPC cho các môi trường dev, staging, production để tránh rủi ro truy cập chéo.
- Kết hợp với các dịch vụ bảo mật:
- Sử dụng AWS WAF hoặc Network Firewall để bảo vệ thêm tầng ứng dụng.
- Kích hoạt VPC Flow Logs để giám sát toàn bộ luồng dữ liệu.
Tình huống sử dụng thực tế (Use Cases)
- Triển khai ứng dụng web 3 tầng (Three-tier architecture):
- Public subnet: chứa Load Balancer.
- Private subnet (App): chứa EC2 hoặc ECS chạy ứng dụng.
- Private subnet (DB): chứa RDS hoặc Aurora.
→ Giúp tách biệt hoàn toàn các tầng, tăng bảo mật và dễ mở rộng.
- Kết nối hạ tầng on-premise với AWS:
- Dùng Site-to-Site VPN hoặc Direct Connect để kết nối mạng nội bộ doanh nghiệp với VPC.
- Thường áp dụng khi doanh nghiệp di chuyển dần lên cloud (Hybrid Cloud).
- VPC Peering hoặc Transit Gateway:
- Kết nối nhiều VPC thuộc các vùng (region) hoặc tài khoản khác nhau.
- Hữu ích khi tổ chức có nhiều môi trường hoặc team độc lập cần chia sẻ tài nguyên.
Tổng kết
Amazon VPC là nền tảng mạng lõi của AWS, giúp bạn:
- Xây dựng môi trường riêng biệt, bảo mật và linh hoạt trong đám mây.
- Tùy chỉnh hoàn toàn việc phân chia subnet, routing, bảo mật và kết nối.
- Là cơ sở hạ tầng cho hầu hết các dịch vụ AWS khác như EC2, RDS, EKS, Lambda, v.v.
Khi thiết kế VPC, hãy tập trung vào:
- Phân vùng hợp lý, bảo mật nhiều lớp, và giám sát lưu lượng thường xuyên.
- Đảm bảo khả năng scalability và fault tolerance ngay từ đầu.
Tài liệu tham khảo
- Amazon VPC Documentation
🔗 https://docs.aws.amazon.com/vpc/ - AWS VPC Best Practices
🔗 https://aws.amazon.com/architecture/networking/ - AWS Well-Architected Framework – Networking Pillar
🔗 https://aws.amazon.com/architecture/well-architected/ - AWS Networking Blog
🔗 https://aws.amazon.com/blogs/networking-and-content-delivery/ - VPC Tutorials (FreeCodeCamp / TechWorld with Nana)
