Skip to content
Khoá học AWSElastic Compute CloudIP và Security Group

Địa chỉ IP và Security Group

Trong Amazon EC2, địa chỉ IP và Security Group là hai thành phần quan trọng giúp bảo mật và kiểm soát truy cập vào các instance của bạn. Việc hiểu rõ cách sử dụng chúng sẽ giúp bạn bảo vệ tài nguyên và dữ liệu của mình một cách hiệu quả.

IP trong Networking

Trong networking có 2 loại IPs: IPv4IPv6

  • IPv4: Phổ biến thường gặp có format: [0-255].[0-255].[0-255].[0-255] (VD: 1.222.33.22)
  • IPv6: Ra đời mới hơn IPv4 và giải quyết tốt các bài toán về IoT với format y:y:y:y:y:y:y:y (VD: 3ffe:1900:4545:3:200:f8ff:fe21:67cf)

Private IP và Public IP

  • Public IP: Dùng để định danh thiết bị/tài nguyên trên môi trường internet (WWW). Có thể dùng để định vị địa lý (geo-located)
  • Private IP: Dùng để định danh thiết bị/tài nguyên trên Private Network.

Thiết bị trong Private Network có thể kết nối tới WWW bằng cách dùng NAT + Internet Gateway (a proxy)

Địa chỉ IP trong EC2

Amazon EC2 cung cấp hai loại địa chỉ IP chính:

  • Public IP: Được gán tự động cho mỗi instance khi khởi tạo, cho phép truy cập từ Internet. Địa chỉ này có thể thay đổi khi instance được khởi động lại.
  • Private IP: Được gán cho mỗi instance trong một VPC, chỉ có thể truy cập từ các instance khác trong cùng một VPC. Địa chỉ này không thay đổi khi instance được khởi động lại.

Từ ngày 01/02/2024, public IPv4 sẽ được tính phí $0.005/hour/IP

Elastic Network Interfaces (ENI) là gì

Elastic Network Interface (ENI) là một card mạng ảo trong Amazon EC2, đại diện cho một kết nối mạng độc lập mà bạn có thể:

  • Gắn vào / tách khỏi EC2 Instance
  • Gán địa chỉ IP (private và public)
  • Gán Security Group, Subnet
  • Chuyển ENI giữa các EC2 instance

Nói cách khác, địa chỉ IP của EC2 là đến từ ENI

Elastic IP là gì

  • Elastic IP là một địa chỉ IP tĩnh, có thể gán cho một instance EC2.
  • Bạn có thể giữ Elastic IP ngay cả khi instance của bạn bị dừng hoặc khởi động lại.
  • Elastic IP giúp bạn duy trì địa chỉ IP cố định cho các ứng dụng cần truy cập từ bên ngoài.

Elastic IP giúp bạn duy trì IP cố định cho các dịch vụ cần DNS ổn định hoặc whitelist IP.

AWS Security Group là gì

Security Group là một tập hợp các quy tắc bảo mật được áp dụng cho các instance EC2. Nó hoạt động như một tường lửa, kiểm soát lưu lượng truy cập vào/ra khỏi instance của bạn.

Đặc điểm chính

  • Stateful: Nếu bạn cho phép inbound, outbound tương ứng được tự động cho phép.
  • Chỉ định theo instance: Có thể gán nhiều security group cho một instance.
  • Cho phép, không chặn: Security Group chỉ định lưu lượng được phép, không hỗ trợ chặn.
⚠️

Mặc định, tất cả inbound traffic bị chặn, outbound traffic được cho phép.

Security Group Referencing là gì

  • Security Group Referencing cho phép bạn tham chiếu đến một Security Group khác trong các quy tắc của Security Group.
  • Điều này giúp bạn dễ dàng quản lý và áp dụng các quy tắc bảo mật cho nhiều instance mà không cần phải lặp lại các quy tắc.
Security Group Referencing là gì

Ví dụ như hình vẽ trên, “Security Group B” được tham chiếu đến 1 rule trong Security Group A. Điều này có nghĩa là tất cả các instance được gắn Security Group B sẽ được phép truy cập vào các instance được gắn Security Group A.

Mô hình tính phí EC2Spot Instance và Spot Fleet