Skip to content
Khoá học AWSVirtual Private CloudCác thành phần cơ bản của VPC

Các thành phần cơ bản của VPC

Một Amazon VPC bao gồm nhiều thành phần mạng giúp bạn kiểm soát hoàn toàn kiến trúc và luồng dữ liệu. Việc nắm rõ vai trò của từng thành phần là nền tảng để thiết kế hệ thống hiệu quả và bảo mật.

Dưới đây là các thành phần chính:

1. CIDR Block là gì

  • CIDR (Classless Inter-Domain Routing) xác định dải địa chỉ IP mà VPC sử dụng.
  • Mỗi VPC yêu cầu một IPv4 CIDR block (ví dụ: 10.0.0.0/16).
  • Bạn cũng có thể gán thêm IPv6 CIDR nếu cần.

Tool kiểm tra CIDR

2. Subnets trong VPC

  • Subnet chia nhỏ không gian địa chỉ trong VPC để triển khai tài nguyên.
  • Có thể là:
    • Public Subnet: có route tới Internet Gateway.
    • Private Subnet: không có route ra Internet.
  • Resources nằm trong subnet sẽ thừa hưởng tính chất public/private.
  • Mỗi subnet phải nằm trong một AZ

3. Route Tables là gì

  • Định tuyến lưu lượng giữa các subnet, Internet, NAT Gateway, VPN,…
  • Mỗi subnet gắn với một Route Table (mặc định hoặc tuỳ chỉnh).
  • Route Table xác định “hướng đi” cho các gói tin.

4. Internet Gateway (IGW) là gì

  • Là cổng kết nối VPC với Internet.
  • Cần gắn IGW vào VPC để subnet có thể public.
  • Phải có route trong Route Table để chuyển lưu lượng ra IGW.

5. NAT Gateway / NAT Instance

  • Dùng để cho phép các Instance trong Private Subnet truy cập ra Internet mà không cho phép truy cập ngược lại từ Internet vào.
  • NAT Gateway (managed) thường được ưu tiên hơn NAT Instance (self-managed).

6. Security Group (SG) là gì

  • Là firewall ở cấp độ Instance.
  • Cho phép cấu hình inbound và outbound traffic.
  • stateful: nếu cho phép outbound, thì response tự động được cho phép inbound.

7. Network ACL (NACL) là gì

  • Firewall ở cấp độ subnet.
  • Stateless: mỗi chiều cần khai báo rule riêng.
  • Dùng để kiểm soát lưu lượng ra/vào subnet.

8. VPC Peering là gì

  • Cho phép kết nối 2 VPC với nhau để các tài nguyên có thể giao tiếp mà không thông qua Internet.

9. VPC Endpoint là gì

  • Kết nối private tới dịch vụ AWS mà không đi qua Internet.
  • Có hai loại:
    • Gateway Endpoint: S3, DynamoDB
    • Interface Endpoint: các dịch vụ còn lại, dựa trên ENI.

10. Elastic IP (EIP) là gì

  • Địa chỉ IPv4 cố định từ AWS.
  • Có thể gán vào EC2 hoặc NAT Gateway.
  • Giúp duy trì IP tĩnh kể cả khi instance bị dừng/khởi động lại.

11. DHCP Option Set là gì

  • Cho phép cấu hình dịch vụ DNS, NTP,… cho các instance trong VPC.

12. Transit Gateway là gì

  • Đóng vai trò như một Hub đứng giữa các VPCs, VPN Connection, Direct Connect

13. Elastic Network Interface (ENI)

  • Đóng vai trò như 1 card mạng ảo
Giới thiệu Amazon VPCSubnets (Public & Private)