Kết nối VPC tới hạ tầng On-Premises

Trong bài này chúng ta sẽ tìm hiểu các phương thức, thành phần chính để kết nối AWS VPC với mạng ngoài (on-premises) và giữa các VPC:

• Site-to-Site VPN — kết nối an toàn qua Internet bằng IPsec.
• AWS VPN CloudHub — kết nối nhiều site on-premises tới một hoặc nhiều VPC bằng VPN.
• AWS Direct Connect (DX) — kết nối riêng, có băng thông lớn và độ trễ thấp.

Giới thiệu AWS Site-to-Site (S2S) VPN

AWS Site-to-Site VPN là một dịch vụ được quản lý hoàn toàn của AWS cho phép bạn tạo một kết nối bảo mật giữa mạng tại chỗ (On-Premises) của bạn và VPC của bạn trên AWS.

Site-to-Site VPN tạo kênh mã hoá IPsec giữa Gateway tại On-Premises hay gọi là Customer Gateway (CGW) và AWS Virtual Private Gateway (VGW) hoặc AWS Transit Gateway (TGW). Kênh này truyền qua Internet nhưng được bảo mật bằng cơ chế mã hoá.

Thành phần và Kiến trúc cơ bản

Để tạo được kết nối trên chúng ta sẽ cần có 3 thành phần chính:

• Virtual Private Gateway (VPG): Là một cổng VPN ở phía AWS, gắn với VPC của bạn.
• Customer Gateway (CGW): Là một thiết bị hoặc phần mềm VPN ở phía On-Premises.
• VPN Connection: Là con đường kết nối 2 Gateway ở trên
  • Mỗi kết nối thường có 2 Tunnel để dự phòng (2 Tunnel này hoạt động theo cơ chế ACTIVE - DỰ PHÒNG)
  • Có hỗ trợ Border Gateway Protocol(BGP)

Usecase thường gặp

• Kết nối nhanh, đơn giản tới AWS.
• Kết nối dự phòng (backup) cho Direct Connect.
• Triển khai giai đoạn đầu trước khi có Direct Connect.

AWS VPN CloudHub là gì?

VPN CloudHub là một mô hình sử dụng AWS Virtual Private Gateway để kết nối nhiều site on-premises tới cùng một VPC. Về bản chất, mỗi site có một VPN tunnel tới VGW và VGW giúp các site truyền thông thông qua VPC hoặc qua routing BGP.

Thành phần và Kiến trúc cơ bản

• Sử dụng mô hình Hub-and-Spoke trong đó:
  • Hub: là Virtual Private Gateway trên AWS
  • Spoke: là các On-Premises
• Mỗi site kết nối tới cùng một VGW bằng tunnel IPsec.

Usecase thường gặp

• Doanh nghiệp có nhiều Data Center ở các chi nhánh khác nhau cần kết nối lãn nhau thông qua AWS

AWS Direct Connect (DX) là gì?

Direct Connect cung cấp “private connectivity” giữa on-premises và AWS thông qua một cổng vật lý tại điểm kết nối Direct Connect (DX location). Kết nối này có thể cung cấp băng thông lớn và độ trễ thấp hơn so với Internet (Cách mà VPN đang làm).

AWS Direct Connect Locations hầu hết sẽ có ở gần các khu vực có Region của AWS. Bạn cần Order trước để có thể sử dụng.

Loại kết nối

Với AWS Direct Connect, chúng ta có thể sử dụng 2 loại kết nối

• Dedicated Connection:
  • AWS cung cấp cho bạn một cổng vậy lý chuyên biệt (physical ethernet)
  • Dung lượng: thường là 1 Gbps, 10 Gbps hoặc 100 Gbps.
• Hosted Connection:
  • Được cung cấp thông qua đối tác
  • Dung lượng: linh hoạt, có thể bắt đầu từ 50 Mbps, 500 Mbps, 1 Gbps, 10 Gbps tùy đối tác.

Thành phần và Kiến trúc cơ bản

Sau khi kết nối vật lý được thiết lập, bạn có thể tạo các Virtual Interfaces - VIFs để kết nối với các tài nguyên AWS của bạn. Có ba loại VIFs:

• Private VIF: Cho phép bạn kết nối với một Amazon VPC bằng IP private.
• Public VIF: Cho phép bạn truy cập các dịch vụ public của AWS (như Amazon S3, SQS, v.v.) bằng IP public.
• Transit VIF: Cho phép bạn kết nối với AWS Transit Gateway, từ đó có thể truy cập nhiều VPC và các tài khoản AWS khác nhau.

Usecase thường gặp

• Ứng dụng doanh nghiệp cần throughput cao, độ trễ thấp, và độ ổn định (ví dụ: truyền dữ liệu lớn, DB replication, media workloads).

Direct Connect Gateway là gì

AWS Direct Connect Gateway (DX Gateway) là một thành phần trung gian trong AWS Direct Connect cho phép bạn kết nối một hoặc nhiều VPC ở nhiều Region khác nhau tới cùng một kết nối Direct Connect.