Giới thiệu

Tổng quan

ℹ️ Information: Theo mặc định, các VPC bên trong AWS Cloud là tách biệt và không thể giao tiếp trực tiếp với nhau. Ở bài thực hành này, bạn sẽ tiến hành thiết lập kết nối VPC Peering giữa hai VPC để các tài nguyên bên trong hai VPC đó có thể liên lạc trực tiếp với nhau. Nhờ vậy, các giao tiếp giữa hai VPC không cần phải thông qua Internet công cộng nữa, góp phần gia tăng tính bảo mật cho VPC.

💡 Pro Tip: VPC Peering là một giải pháp hiệu quả về chi phí và bảo mật để kết nối các VPC trong cùng một region hoặc khác region, thậm chí là khác AWS account.

Bạn sẽ tạo ra kiến trúc cho bài thực hành như sau:

VPC Peering

VPC Peering Connection

ℹ️ Information: Kết nối VPC Peering là một kết nối mạng giữa 2 VPC cho phép bạn định tuyến traffic giữa chúng sử dụng địa chỉ private IPv4 hoặc IPv6. Những instance ở trong 1 trong 2 VPC có thể giao tiếp với nhau như chúng đang nằm cùng 1 mạng.

🔒 Security Note: VPC Peering không hỗ trợ chuyển tiếp (transitive peering). Nếu VPC A kết nối với VPC B và VPC B kết nối với VPC C, thì VPC A không thể giao tiếp với VPC C thông qua VPC B.

VPC Peering

Network Access Control List (Network ACL)

ℹ️ Information: Bạn đã thực hành nhiều với Security Group - một dạng stateful firewall ở quy mô tài nguyên (resource-level). Trong bài này, bạn sẽ sử dụng Network ACL - một dạng statelesss firewall ở quy mô subnet (subnet-level). Cụ thể, Network ACL chỉ có thể được gán vào subnet chứ không thể gán vào từng Instance bên trong subnet.

💡 Pro Tip: Network ACL và Security Group nên được sử dụng kết hợp để tạo nhiều lớp bảo mật (defense in depth). Network ACL hoạt động ở tầng subnet và có thể chặn traffic trước khi nó đến được Security Group.

⚠️ Warning: Network ACL là stateless, nghĩa là bạn phải cấu hình cả inbound và outbound rules. Mỗi rule có thể cho phép hoặc chặn traffic dựa trên port và protocol.

Cross-Peering DNS

ℹ️ Information: Cross-Peering DNS là một tính năng của VPC Peering cho phép các tài nguyên bên trong một VPC phân giải DNS của một tài nguyên khác VPC.

💡 Pro Tip: Khi Cross-Peering DNS được bật, các instance có thể sử dụng tên DNS của instance trong VPC khác để kết nối, thay vì phải nhớ địa chỉ IP.

⚠️ Warning: Quy ước: VPC default = VPC 1; HG VPC = VPC 2.

Các tính năng chính của VPC Peering

  1. Kết nối trực tiếp:

    • Không cần gateway, VPN, hoặc kết nối vật lý
    • Traffic đi qua mạng AWS backbone, không qua Internet

  2. Bảo mật:

    • Không có điểm chung về bảo mật
    • Mỗi VPC có thể quản lý security groups và network ACLs riêng

  3. Hiệu suất:

    • Độ trễ thấp
    • Băng thông cao
    • Không có chi phí cho data transfer giữa các VPC

  4. Khả năng mở rộng:

    • Hỗ trợ kết nối giữa các VPC trong cùng region
    • Hỗ trợ kết nối giữa các VPC khác region
    • Hỗ trợ kết nối giữa các VPC khác AWS account